1960661

Schutz vor WLAN-Hackern: So sichern Sie Ihren Router ab

24.04.2017 | 08:22 Uhr |

Wenn der Router Sicherheitslücken hat, kann er Ihr Heimnetz nicht schützen. Mit unseren Tipps finden Sie heraus, ob Ihr Gerät betroffen ist und wie Sie Angreifer trotzdem abwehren.

Fast jeden Tag lesen Sie von Sicherheitslücken in WLAN-Routern. Und denen können Sie kaum entgehen, denn jeden Routerhersteller und Provider erwischt es einmal – auch beliebte Geräte wie die Fritzboxen von AVM oder die Speedport-Router der Telekom sind nicht fehlerlos.

Die möglichen Folgen einer Routerlücke können banal sein, Sie aber auch viel Geld kosten: Zum Beispiel, wenn Hacker die Log-in-Daten für Ihren Telefonzugang kapern und auf Ihre Kosten teure Gespräche führen. Oder dem übernommenen Router werden Phishing-Webseiten untergeschoben, die Passwörter für Onlinebanking und -shopping abgreifen. Viele Hacker-Angriffe zielen darauf ab, den Router in ein Botnetz einzugliedern, um beispielsweise massenweise Spammails zu verschicken. Da der Router das Tor ins lokale Netzwerk ist, sind auch Dateien auf Netzwerkrechnern bei einer Routerlücke nicht sicher.

Allerdings erkennen Sie nicht immer sofort, ob es einem Hacker gelungen ist, in Ihren Router einzudringen. Deshalb geben wir Tipps, wo Sie im Routermenü Hinweise finden, dass etwas nicht stimmt. Und natürlich zeigen wir Schutzmaßnahmen auf, die es Angreifern so schwer wie möglich machen, eine Sicherheitslücke zu Ihrem Nachteil auszunutzen.

Router-Grundlagen: Fünf Tipps zur optimalen Einrichtung

Basisschutz für das Heimnetz

Die WLAN-Sicherheit steht für die meisten Anwender im Zentrum ihres Sicherheitsplans: Das ist vernünftig, denn das Funknetz bietet potenziell die größte Angriffsfläche für Hacker. Deshalb unterstützen die meisten Router-Hersteller bei allen aktuellen Modellen, dass das WLAN ab Werk mit WPA2 und einem individuellen Passwort verschlüsselt ist.

Darüber hinaus können folgende Tipps die Sicherheit erhöhen – allerdings meist auf Kosten des Bedienungskomforts im Heimnetz:

1. Ändern Sie den werksseitigen WLAN-Schlüssel. Er ist meist auf dem Router aufgedruckt. Wer sich bei Ihnen zu Hause aufhält, könnte ihn auf diese Art herausfinden.

2. Sichern Sie auch einen Gastzugang für das WLAN mit einem starken Passwort. Achten Sie außerdem darauf, ihn wieder abzuschalten, sobald er nicht mehr benötigt wird. Bei vielen Routern, etwa der Fritzbox, kann er sich nach einer bestimmten Zeit – oder wenn keine Geräte mehr angemeldet sind – automatisch deaktivieren.

3. Vergeben Sie feste IP-Adressen für Geräte im Heimnetz. Anschließend schalten Sie die DHCP-Funktion des Routers ab. So verhindern Sie, dass unerlaubte Geräte einfach eine IP-Adresse bekommen können. Wollen Sie die Vorteile von DHCP nutzen, kann es nützlich sein, die Zahl der IP-Adressen zu begrenzen, die der Router vergibt.

4. Verbergen Sie die Netzwerkkennung (SSID) Ihres WLAN, und richten Sie einen MAC-Filter ein, damit sich nur bekannte Geräte im WLAN anmelden dürfen. Ähnlich wie beim Abschalten von DHCP erhöhen Sie damit zwar die Sicherheit, weil ein gezielter Angriff etwas aufwendiger ist; doch Sie machen das Verwalten des Heimnetzes dadurch deutlich unbequemer.

Keine Angriffsfläche: Achten Sie immer auf eine aktuelle Firmware

Die Firmware ist das Betriebssystem Ihres Routers – und wie Sie es von Windows kennen, ist sie nie fehlerlos. Deshalb schützen Sie den Router am besten, indem Sie immer darauf achten, die aktuellste Firmware-Version auf dem Gerät zu haben. Auch das gewährt noch keinen hundertprozentigen Schutz: Denn selbst eine neue Firmware kann fehlerhaft sein. Doch um es Angreifern nicht zu leicht zu machen, lohnen sich Updates immer: Denn wenn Sicherheitsexperten eine Sicherheitslücke in einer Firmware entdecken, melden sie dies üblicherweise zunächst dem Hersteller. Der kann dann mit einer neuen Firmware reagieren und die Lücke schließen. Sobald eine Lücke bekannt wird, konzentrieren sich Angreifer deshalb auf Geräte, die noch mit einer älteren Firmware-Version laufen, weil der Besitzer das Update versäumt hat.

Prüfen Sie den Router regelmäßig auf eine neue Firmware-Version: So können Sie Sicherheitslücken schließen, bevor Angreifer diese ausnutzen.
Vergrößern Prüfen Sie den Router regelmäßig auf eine neue Firmware-Version: So können Sie Sicherheitslücken schließen, bevor Angreifer diese ausnutzen.

Am besten automatisch: So spielen Sie neue Firmware auf

Aktuelle Router machen es Ihnen einfach: Entweder weisen sie von sich aus auf eine neue Firmware-Version hin, oder sie lassen sich so einstellen, dass sie eine aktualisierte Version automatisch installieren.

Bei den meisten Routern erhalten Sie im Routermenü einen Hinweis, wenn eine aktuellere als die installierte Firmware-Version bereitsteht. Deshalb ist es sinnvoll, regelmäßig das Routermenü aufzurufen – selbst, wenn Sie gerade nicht Einstellungen verändern wollen. Aktuelle Router von Netgear beispielsweise zeigen auf der Startseite des Menüs, ob eine neue Firmware bereitsteht. Schon beim ersten Einrichten verbindet sich der Router mit dem Herstellerserver und bietet eine neue Firmware an, sofern es eine aktuellere gibt: So sind Sie vom Start weg auf dem aktuellsten Stand. Bei aktuellen Asus-Routern zeigt ein blinkendes Ausrufezeichen auf der Startseite des Routermenüs an, dass eine aktuellere Firmware bereitsteht. Bei Klick auf „Firmware aktualisieren“ startet der Update-Prozess sofort, ebenso bei Netgear-Geräten. Auch der Vodafone-Router Easybox 804 lädt eine neue Firmware herunter und installiert sie umgehend selbsständig, wenn Sie im Routermenü auf „Einstellungen -> Firmware-Aktualisierung -> Online-Aktualisierung, Firmware suchen“ klicken. Auch TP-Link hat bei den neuesten Modellen wie dem VR2600v jetzt eine Anzeige einer frischen Firmware eingerichtet.

Am einfachsten haben Sie es bei Routern von AVM: Viele Modelle wie zum Beispiel die Fritzbox 7490 , 7580 , 7560 und 3490 installieren eine neue Firmware automatisch. Wählen Sie dafür folgende Einstellung im Routermenü: „System -> Update -> Auto-Update, Über neue FRITZ!OS-Versionen informieren und neue Versionen automatisch installieren“. Einigen AVM-Router fehlt diese Option: Hier haben Sie nur die Möglichkeit, notwendige Updates automatisch installieren zu lassen. Hier entscheidet AVM, ob ein Update notwendig ist – für sicherheitsrelevante Firmware-Versionen gilt das aber auf jeden Fall: So sind Sie geschützt, auch wenn Ihre Fritzbox nicht die Option besitzt, jede neue Version selbstständig zu installieren. Diese Optionen bieten auch die Router von 1&1, die auf den entsprechenden Fritzbox-Modellen basieren – etwa der Home Server Speed ( Fritzbox 7560 ) und der Business Server ( Fritzbox 7580 ).

Die meisten Router können die Firmware nicht automatisch aktualisieren. Aber sie machen im Menü auf eine neue Version aufmerksam, wie hier beim Asus DSL-AC87VG.
Vergrößern Die meisten Router können die Firmware nicht automatisch aktualisieren. Aber sie machen im Menü auf eine neue Version aufmerksam, wie hier beim Asus DSL-AC87VG.

Bevor Sie das automatische Updaten aktivieren, sollten Sie aber mindestens einmal selbst prüfen, ob eine neue Firmware-Version verfügbar ist. Das erledigen Sie im Fritzbox-Menü: Gehen Sie dafür auf „System -> Update -> Fritz!OS-Version, Neues FRITZ!OS suchen“. Ein anderer Weg geht über den Assistenten: Hier klicken Sie auf „Update“. Findet die Fritzbox ein neues Update, installieren Sie es über „Update starten“. Während der Router das Update herunterlädt und installiert, blinkt die Info-LED am Gehäuse; auf der Seite des Menüs sehen Sie eine Animation mit einem blinkenden, blauen Band. Nach rund einer Minute startet der Router neu und verbindet sich anschließend wieder mit dem Internet. Nach rund drei Minuten ist der Vorgang abgeschlossen, die LEDs am Router leuchten wieder so wie vor dem Update. Zum Schluss ruft die Fritzbox wieder die Anmeldeseite des Menüs auf. Passiert das nach längerer Zeit nicht, obwohl die LEDs ganz normal leuchten, können Sie das Browserfenster aktualisieren, um die Menü-Startseite aufzurufen.

Ebenfalls selbstständig können die Speedport-Router der Telekom eine neue Firmware installieren. Dazu muss die Funktion „Easy Support“ aktiviert sein, die Sie im Menü unter „Einstellungen -> Easy Support“ finden.

So funktioniert das automatische Firmware-Update

Wenn Sie die automatische Update-Funktion aktiviert haben, kann der Hersteller – oder bei einem Mietgerät der Internetprovider – eine neue Firmware ohne Ihr Zutun auf dem Router installieren. Häufig nutzen sie dazu Technik, die im Standard TR-069 beschrieben ist – die Telekom zum Beispiel nennt dieses Verfahren Easy Support. TR-069 kam Ende letzten Jahres ins Gerede, weil es als Verursacher für den massenhaften Ausfall von Telekom-DSL-Routern galt. Allerdings stellte sich später heraus, dass die Speedport-Geräte aufgrund der massiven Angriffsversuche über den Port 7547, den TR-069 nutzt, ausfielen – aber dass sie für die eigentliche Sicherheitslücke, die bei anderen Routern über diesen Port bestand, nicht anfällig waren.

Trotzdem ist es ein grundsätzliches Problem bei TR-069, dass ein Routerport wie der 7547 – beziehungsweise der 8089 bei einer gemieteten Fritzbox, die vom Internetprovider versorgt wird –, für das Internet geöffnet sein muss, damit die Firmware aufs Gerät kommen kann. Der Standard sieht deshalb mehrere Schutzverfahren vor: Der Autokonfigurationsserver (ACS), von dem das Firmware-Update kommt, muss sich bei der Kontaktaufnahme gegenüber dem Router authentifizieren. Erst wenn der Router festgestellt hat, dass es sich um den korrekten ACS handelt, kontaktiert er wiederum den ACS, um die Übertragung des Updates auszuhandeln. Das sichert die Verbindung, sofern der Anbieter dafür Sorge trägt, dass ein Angreifer nicht den ACS manipulieren kann.

AVM nutzt für die eigenen Fritzbox-Updates ein anderes System: Hier gibt es keinen offenen Port für die Kontaktaufnahme. Sondern die Fritzbox fragt regelmäßig beim AVM-Server nach, ob es eine neue Version gibt – etwa alle zwei bis vier Tage. Die Antwort des Servers ist signiert, sodass der Router weiß, dass es sich um die erwartete Gegenstelle handelt. Laut AVM wird ein Update in einem Zeitfenster nachts durchgeführt, damit die notwendige Unterbrechung der Internetverbindung nicht stört. Läuft zum vorgesehenen Zeitpunkt Datenverkehr über die Onlineverbindung, wird das Update auf einen späteren Zeitpunkt verschoben.

Firmware: Wie Sie selbst ein Update durchführen

Besitzt Ihr Router keine automatische oder halbautomatische Update-Funktion, müssen Sie selbst Hand anlegen und eine neue Firmware manuell einspielen. Laden Sie zunächst die passende Datei von der Support-Seite des Herstellers herunter. Achten Sie unbedingt darauf, dass es genau die passende Firmware für Ihr Modell ist. Neben der genauen Modellbezeichnung sind auch Ergänzungen wie zum Beispiel eine Revisionsnummer, etwa v2 oder v3, entscheidend. Die Modellbezeichnung entnehmen Sie dem Handbuch oder einem Aufkleber am Gerät. Laden Sie die Firmware-Datei herunter, und speichern Sie sie auf einem Heimnetzrechner: In den meisten Fällen ist es ein Zip-Archiv, das eine Update-Anleitung als HTML-oder PDF-Datei enthält sowie das eigentlich Firmware-Image, das abhängig vom Hersteller eine Datei-Endung wie .bin, .chl oder .trx besitzt.

Bei den Speedport-Routern der Telekom müssen Sie zunächst Easy Support für das automatische Update ausschalten, wenn Sie eine Firmware selbst einspielen wollen.
Vergrößern Bei den Speedport-Routern der Telekom müssen Sie zunächst Easy Support für das automatische Update ausschalten, wenn Sie eine Firmware selbst einspielen wollen.

So funktioniert das Update: Rufen Sie die Firmware-Option im Routermenü auf. Häufig finden Sie sie unter Systemtools, System oder Verwaltung. Dort müssen Sie die gespeicherte Firmware-Datei auswählen und anschließend mit der Schaltfläche „Upgrade“ oder „Aktualisieren“ die neue Version installieren.

Auch bei Routern, die ein automatisches Update unterstützen, können Sie die Firmware selbst installieren und die Automatikfunktion abstellen – etwa, um den Zeitpunkt der Aktualisierung selbst zu bestimmen. Bei der Fritzbox aktiveren Sie dazu im Update-Menü unter „Auto-Update“ die Option „Über neue FRITZ!OS-Version informieren“. Bei einem Speedport-Router müssen Sie vor dem Abschalten des Easy-Supports erst bestätigen, dass Sie den Router nicht im Rahmen eines Internettarifs von der Telekom gemietet haben. Markieren Sie die entsprechende Checkbox im Menü „Einstellungen -> Easy Support“. Anschließend können Sie die Services wie automatische Einrichtung, Hotline-Support sowie die Geräteadministration über das Telekom-Kundencenter und die automatischen Updates abschalten.

Um Probleme während des Update-Vorgangs zu vermeiden, schließen Sie den Rechner, auf dem Sie das Firmware-Update gespeichert haben, per LAN-Kabel an den Router an. Außerdem ist es empfehlenswert, die aktuellen Einstellungen des Routermenü zu sichern und nach dem Update wieder einzuspielen. Bei der Fritzbox beispielsweise geht das unter „System -> Sicherung“.

Tipp: Kein Zugriff auf den Router? So klappt der Login

WLAN-Sicherheit: Wie gut ist die Verschlüsselung per WPS?

Immer wieder klaffen Sicherheitslücken in Routerfunktionen, die die Bedienung eigentlich erleichtern sollten. Bestes Beispiel ist WPS (Wi-Fi Protected Setup): Damit lassen sich neue Geräte einfach per Knopfdruck oder PIN-Eingabe sicher in ein Funknetz einbinden. Und das Verfahren arbeitet auch zuverlässig, sofern die Funktion korrekt eingebaut ist. Wenn Routerhersteller bei der WPS-Funktion aber schlampen, reißt das eine riesige Sicherheitslücke: Betroffen waren im letzten Jahr zum Beispiel Router von Vodafone, so der Hitron CVE-30360 und der CH6640E von Compal, sofern deren WLAN-Modul aktiviert war. Mit automatisch eingespielten Firmware-Updates hat Vodafone die Lücke bei beiden Routern Ende November geschlossen.

So funktioniert der Angriff: Problematisch ist dabei immer das WPS-PIN-Verfahren: Der Router gibt einen achtstelligen Zahlencode aus, den Sie auf dem Client eingeben, der sich sicher ins WLAN einbuchen will. Bei den Vodafone-Routern lässt sich dieser PIN recht einfach aus der MAC-Adresse des Routers berechnen. Ein Angreifer in Reichweite des WLANs kann sich dann dort anmelden und auf andere Netzwerkgeräte oder sogar den Router zugreifen. Aber auch andere Router sind bei WPS-PIN schwach auf der Brust. Sie verschlüsseln den WPS-PIN beim Austausch mit der Gegenstelle nicht ausreichend stark, indem sie dafür statt Zufallszahlen immer den gleichen Wert nutzen oder ein triviales Verfahren, das sich leicht erraten lässt. So kann ein Hacker, der den WPS-PIN-Austausch belauscht, daraus dann offline in aller Ruhe den WPS-PIN errechnen. Entsprechende Linux-Tools für diese Pixidust genannte Lücke sind frei verfügbar. Eine Liste mit betroffenen Routern finden Sie hier .

Tipp: Die 14 nervigsten WLAN-Probleme lösen

Das können Sie dagegen tun: Prüfen Sie zunächst, ob eine aktuelle Firmware für Ihren Router vorliegt, die dieses Problem behebt. Der Pixiedust-Angriff ist seit August 2014 bekannt, die Hersteller hatten also ausreichend Zeit zu reagieren.

Ist dies nicht der Fall, schalten Sie WPS-PIN ab. Bei Routern von Netgear beispielsweise geht das über „Erweiterte Einrichtung > WLAN-Konfiguration > WPS-Einstellungen > Router-Pin deaktivieren“. Bei den meisten Routern können Sie aber nur WPS komplett abschalten. Das ist ärgerlich, da die bequeme Variante WPS-PBC nicht von der Lücke betroffen ist: Dabei drücken Sie einen Knopf am Router und einen an der Gegenstelle, damit sich die beiden Geräte auf eine sichere Verschlüsselung verständigen.

Lässt sich die Lücke auf diese Art nicht schließen, sollten Sie das WLAN des Routers abschalten und stattdessen einen anderen Accesspoint einsetzen, der nicht betroffen ist. Mit diesem können Sie WPS-PIN dann gefahrlos nutzen.

Neue Firmware: So bleiben Sie auf dem Laufenden

Der Weg ins Routermenü ist der sicherste, um über neue Firmware-Versionen informiert zu werden. Doch abgesehen von Netzwerkprofis statten wohl die wenigsten Routerbesitzer dem Menü häufiger einen Besuch ab. Um trotzdem auf dem Laufenden zu bleiben, können Sie zum Beispiel beim Surfen regelmäßig den Besuch auf der Support-Webseite des Herstellers Ihres Routers einbauen. Auch IT-Webseiten wie www.pcwelt.de informieren über Firmware-Updates für die wichtigsten Routermodelle. Von den Herstellern selbst kommt wenig Unterstützung: Bei Netgear etwa können Sie sich für einen Newsletter mit Sicherheitshinweisen unter https://netgear.de/about/security/ anmelden.

Am einfachsten haben es Besitzer einer Fritzbox: Sie können sich per E-Mail über eine aktualisierte Firmware für ihren Router informieren lassen. Dazu aktivieren Sie im Routermenü den Pushservice: Diese Einstellung finden Sie unter „System“. Benennen Sie eine E-Mail-Adresse für den Versand, und aktivieren Sie auf der Übersichtsseite die Zeile „Neues FRITZ!OS“, um bei einer aktuellen Firmware benachrichtigt zu werden. Wer keine Post von seinem Router erhalten will, findet unter https://avm.de/service/downloads/update-news/ eine übersichtliche Webseite mit Meldungen zu aktuellen Firmware-Updates für AVM-Netzwerkprodukte.

Mitsurfer ausschließen: Wie stark ist Ihr WLAN-Passwort?

Inzwischen bieten fast alle neuen Router ein ab Werk verschlüsseltes WLAN. Doch selbst bei WPA2, der derzeit gängigen und sichersten Verschlüsselungsmethode für Funknetze, hängt Sicherheit vom Passwort ab. Je kürzer und einfacher es ist, desto schneller kann es ein Hacker berechnen – indem er alle möglichen Zeichenkombinationen ausprobiert (Brute Force) oder vorgefertigte Passwort-oder Hash-Listen nutzt (Wörterbuchangriff). Auch Passwörter, die vor einigen Jahren noch als sicher galten, können inzwischen knackbar sein, da die gestiegene Prozessorleistung die Berechnungen beschleunigt. Das gilt für Passwörter, die Sie sich selbst ausdenken, aber auch genauso für voreingestellte Passwörter – wenn der Hersteller eine zu simple Methode gewählt hat, um sie zu erstellen.

Die Fritzbox bewertet Länge und Komplexität eines Passworts, das Sie selbst eingeben. Auch mit Onlinetools können Sie die Passwortsicherheit prüfen.
Vergrößern Die Fritzbox bewertet Länge und Komplexität eines Passworts, das Sie selbst eingeben. Auch mit Onlinetools können Sie die Passwortsicherheit prüfen.

So funktioniert der Angriff: Ende letzten Jahres gelangte ein Tool ins Internet, mit dem sich die ab Werk voreingestellten Passwörter von WLAN-Routern des österreichischen Providers UPC ermitteln lassen. Das Standardpasswort beruht auf der Seriennummer des Routers, die wiederum mit dem WLAN-Namen (SSID) zusammenhängt. Das Tool berechnet dann mögliche Passwörter für eine bestimmte SSID. Kurz nach der Entdeckung forderte auch der deutsche Provider Unitymedia seine Kunden auf, das Werkskennwort für das WLAN zu ändern.

Das können Sie dagegen tun: Sie sollten auf alle Fälle ein eigenes WLAN-Passwort vergeben, auch wenn der Router eines mitbringt. Denn nur dann können Sie dafür sorgen, dass es komplex genug ist, um eine Attacke sinnlos zu machen. Außerdem ist das Werkskennwort bei vielen Routern am Gerät angebracht, sodass es eventuell auch für Personen sichtbar ist, denen Sie keinen WLAN-Zugang verschaffen wollen.

Siehe auch: So erhöhen Sie die Reichweite Ihres WLAN

Ein WPA2-Schlüssel sollte mindestens 20 Zeichen und neben Buchstaben auch Ziffern und Sonderzeichen enthalten. Hier müssen Sie ausprobieren, denn nicht jeder Router kann mit allen Sonderzeichen umgehen. Idealerweise zeigt der Router bei der Eingabe im Menü an, ob das WLAN-Kennwort ausreichend lang und komplex ist. Bietet Ihr Router das nicht, nutzen Sie unter www.browsercheck.pcwelt.de/passwortstarke-messen den PC-WELT-Browsercheck. Das Webtool bewertet Länge und Komplexität des eingegebenen Kennworts und zeigt das Ergebnis in der Zeile „Bewertung“ an.

Unangreifbar wird Ihr WLAN natürlich auch dann, wenn Sie es abschalten. Bei vielen Routern können Sie das Funknetz per Knopfdruck, bei einigen auch zeitgesteuert deaktivieren. Im Menü der Fritzbox machen Sie das unter „WLAN > Zeitschaltung > WLAN Zeitschaltung aktivieren“.

Der PC-WELT-Browsercheck hilft Ihnen, ein wirklich sicheres Passwort für den WLAN-Zugang zu finden. Außerdem kann das Tool den Router auf offene Ports untersuchen.
Vergrößern Der PC-WELT-Browsercheck hilft Ihnen, ein wirklich sicheres Passwort für den WLAN-Zugang zu finden. Außerdem kann das Tool den Router auf offene Ports untersuchen.

Routermenü: Standardkennwort unbedingt ändern

Wer den Router beherrscht, beherrscht das Netzwerk. Deshalb sollten Sie unbedingt das Browsermenü gegen ungewollte Zugriffe schützen – von innen aus dem Netzwerk oder von außen über das Internet. Denn wenn ein Angreifer die Konfiguration des Routers ändern kann, hat er alle Möglichkeiten des Missbrauchs: Er schneidet Netzwerkdaten mit, um Passwörter zu ermitteln, hat Zugriff auf andere Netzwerkgeräte und kann eigene Geräte mit dem Router verbinden sowie sie aus dem WLAN aussperren.

So funktioniert der Angriff: Der häufigste Angriff geschieht mittels Cross Site Request Forgery (CSRF), um Einträge für die DNS-Server zu verbiegen. Da bei den meisten Routern die Standardkennwörter für das Menü bekannt sind, weil sie im Handbuch oder auf den Support-Webseiten zu finden sind, machen Sie es dem Angreifer extrem leicht, wenn Sie kein individuelles Passwort setzen. Nur wenige Routerhersteller verpassen ihren Geräten ab Werk ein einzigartiges Menükennwort – so beispielsweise AVM bei der Fritzbox 7430 .

Das können Sie dagegen tun: Neben einem neuen Kennwort für das Routermenü lässt sich der unerlaubte Zugang noch weiter erschweren. Wenn Sie das Menü aufrufen, sollten Sie nicht gleichzeitig per Browser auf das Internet zugreifen. Melden Sie sich immer sofort aus dem Menü ab, wenn Sie den Zugang nicht mehr benötigen. Wenn Sie das vergessen, beenden viele Router die Browser-Sitzung automatisch, wenn innerhalb einer bestimmten Zeit keine Eingaben mehr erfolgen. Bietet das Menü eine entsprechende Einstellung, wählen Sie eine möglichst kurze Dauer für die automatische Abmeldung. Bei manchen Routern können Sie auch den Zugriff aufs Menü auf bestimmte interne IP-oder MAC-Adressen beschränken – bei TP-Link-Geräten geht das unter „Local Management“.

Um die Anfälligkeit für CSRF-Angriffe zu reduzieren, sollten Sie auch weitere Standardeinstellungen ändern: Wechseln Sie beispielsweise die interne IP-Adresse des Routers. Bei einem Speedport-Router der Telekom geht das unter „Heimnetzwerk > Heimnetzwerk (LAN) > Name und Adresse des Routers > Lokale IPv4-Adresse“. Es reicht aus, wenn Sie nur das dritte Ziffern-Trio der IP-Adresse ändern. Auf jeden Fall müssen Sie darauf achten, dass die neue IP-Adresse des Routers nicht aus dem Adressbereich stammt, den er per DHCP vergibt. Sonst kann es vorkommen, dass im Heimnetz eine IP-Adresse doppelt vergeben ist.

So kapern Angreifer Ihren Router mit einem Weblink

Viele Router sind anfällig für Cross Site Request Forgery (CSRF): Bei dieser Methode bettet der Angreifer ein gefährliches Javascriptprogramm oder einen Link auf einer Webseite ein. Ruft der Nutzer diese per Browser von einem Heimnetz-PC auf, versucht das Programm, das Routermenü zu starten. Dazu nutzt es die standardmäßige interne IP-Adresse des Routers und die Zugangsdaten für dessen Webmenü. Haben Sie diese Werte auf Werkseinstellungen belassen, bekommt der Angreifer Zugriff, denn für den Router sieht diese Anfrage so aus, als käme sie erlaubterweise von einem Rechner im internen Netz. Auf diese Weise lassen sich Befehle ausführen, die zum Beispiel die Einträge für den DNS-Server ändern, um Browseranfragen aus dem internen Netzwerk auf manipulierte Webseiten oder einen Proxyserver des Angreifers umzuleiten.

DNS-Einträge prüfen: Werden Ihre Daten umgeleitet?

Auf welcher Seite Sie landen, wenn Sie im Browser eine Webadresse eingeben, bestimmt der DNS-Server. Er übersetzt eine Anfrage wie www.pcwelt.de in die dazugehörige IP-Adresse, die Netzwerkgeräte benötigen, um zu wissen, wohin sie die Datenpakete schicken müssen. Wenn Angreifer dem Router einen manipulierten DNS-Server unterschieben, können sie eine eingegebene Adresse auf eine beliebige Webseite umleiten.

Ändern Sie im Router so viele Standardeinstellungen wie möglich ? beispielsweise seine interne IP-Adresse und die Adressen, die der Router per DHCP an Heimnetzgeräte vergibt.
Vergrößern Ändern Sie im Router so viele Standardeinstellungen wie möglich ? beispielsweise seine interne IP-Adresse und die Adressen, die der Router per DHCP an Heimnetzgeräte vergibt.

So funktioniert der Angriff: Ist ein Router anfällig für eine CSRF-Attacke, genügt schon ein Klick auf eine manipulierte Webseite, damit ein Angreifer Zugriff auf das Routermenü hat. Dort trägt er einen DNS-Server ein, der unter seiner Kontrolle steht. Wenn Sie nun von einem Heimnetzrechner etwa die Webseite Ihrer Bank aufrufen, wird der Browser auf eine Phishing-Seite umgeleitet, um Kennwörter abzugreifen. Oder alle Internetanfragen aus dem Heimnetz werden über einen Proxyserver geschleust, um den Datenverkehr mitzuschneiden.

Das können Sie dagegen tun: Prüfen Sie, an welchen DNS-Server die Heimnetzgeräte ihre Anfragen stellen. Öffnen Sie dazu die Eingabeaufforderung, und geben Sie den Befehl ipconfig/all ein. In der Zeile DNS-Server sollte die IP-Adresse des Routers stehen. Dieser reicht im Netzwerk üblicherweise den DNS-Server, den er vom Provider zugewiesen bekommt, an die Heimnetzgeräte weiter.

Anschließend kontrollieren Sie im Routermenü, welcher DNS-Server dort eingetragen ist. Die Information finden Sie meist in einer Statusübersicht: bei der Fritzbox im Menü „Internet > Online-Monitor > Genutzte DNS-Server“. Die angegebene IP-Adresse können Sie über eine Internetdatenbank prüfen lassen, etwa http://whois.syndicat.com. Als Inhaber der IP-Adresse sollte Ihr Internetprovider genannt sein.

Kein Zugang von außen: Fernzugriff am besten abschalten

Ein Router lässt sich nicht nur per LAN verwalten. Die meisten Geräte bieten auch die Möglichkeit, das Browsermenü übers Internet zu erreichen und dort Änderungen vorzunehmen.

So funktioniert der Angriff: Viele Sicherheitslücken eines Routers lassen sich nur ausnutzen, wenn der Angreifer aus dem Heimnetz zugreift. Ist allerdings der Fernzugriff aus dem Internet ungeschützt, lässt sich die Attacke auch außerhalb des LANs starten. Router von D-Link und Trendnet wiesen letztes Jahr beispielsweise eine Lücke auf, die es ermöglichte, ohne Kenntnis des Menüpassworts Dateien auf das Gerät zu laden. Bestimmte Netgear-Modelle schalteten die Passwortabfrage aus, wenn eine bestimmte URL mehrmals aufgerufen wird. Bei einem ungesicherten Fernzugriff benötigt der Angreifer also keine zusätzlichen Informationen, um den Router zu übernehmen.

Das können Sie dagegen tun: Wenn Sie den Fernzugriff nicht benötigen, sollten Sie ihn abschalten. Bei fast allen Routern ist dies ab Werk der Fall. Falls Sie ihn aktiveren, wird ein starkes Kennwort für den Zugriff aufs Routermenü noch wichtiger, denn bei den meisten Geräten gelangen Sie per Fernzugriff auf die Log-in-Seite des Menüs – wie aus dem LAN heraus. Falls im Routermenü vorgesehen, beschränken Sie den Fernzugriff auf das HTTPS-Protokoll. Als weitere Hürde gegen Angriffe können Sie eine externe IP-Adresse oder einen Adressbereich festlegen, von dem ein Zugriff erfolgen darf. Das funktioniert aber nur dann, wenn der Fernzugang eine feste IP-Adresse besitzt.

Sinnvoller ist es deshalb, eine VPN-Verbindung mit dem Router einzurichten. Wie das bei der Fritzbox funktioniert, lesen Sie in diesem Ratgeber .

Angreifer versuchen häufig, einen manipulierten DNS-Server im Router einzutragen. Mit einer Datenbankabfrage prüfen Sie, ob der aktive Server zu Ihrem Provider gehört.
Vergrößern Angreifer versuchen häufig, einen manipulierten DNS-Server im Router einzutragen. Mit einer Datenbankabfrage prüfen Sie, ob der aktive Server zu Ihrem Provider gehört.

Den Zugriff von außen sichern: Offene Ports schließen

Die Firewall im Router schottet das Heimnetz gegen unaufgeforderte Anfragen von außen ab. Doch manchmal soll das Heimnetz Daten von außen empfangen können – zum Beispiel für Onlinespiele oder wenn Sie einen PC oder ein NAS als Web-oder Dateiserver eingerichtet haben. Dazu öffnen Sie Ports in der Firewall, damit der Router sie durchlässt.

Damit diese absichtlichen Lücken in der Heimnetzverteidigung nicht von Angreifern ausgenutzt werden, sollten Sie regelmäßig prüfen, ob tatsächlich nur diejenigen Ports offen sind, die das Heimnetz für den Dateiaustausch benötigt.

So funktioniert der Angriff: Mithilfe eines Portscans stellt ein Angreifer fest, ob und welche Ports im Router offenstehen. Lässt sich darüber ein Programm mit einer Schwachstelle erreichen, kann er dies nutzen, um ins Heimnetz zu kommen. Bei zahlreichen Routern fand sich letztes Jahr beispielsweise eine Schwachstelle beim Telnet-Dienst, der über Port 21 erreichbar ist: Über ein unveränderbares Passwort, das sich unter anderem aus der MAC-Adresse zusammensetzte, gelangte ein Angreifer damit auf den Router.

So können Sie sich schützen: Offene Ports in der Routerfirewall ermitteln Sie mit dem PC-WELT-Browsercheck . Das Ergebnis sollte nur offene Ports zeigen, die Sie bewusst aktiviert haben und die auf einen Dienst im Heimnetz zeigen, den Sie zusätzlich gesichert haben – zum Beispiel einen passwortgeschützten VPN-Zugang. Können Sie sich auf eine Portfreigabe keinen Reim machen, sollten Sie den Port schließen. Bei der Fritzbox schalten Sie eine Freigabe über „Internet > Freigaben > Portfreigaben“ aus.

Problematisch ist in diesem Zusammenhang Universal Plug’n’Play: Mit dieser Funktion können Programme Ports, die sie benötigen, selbstständig öffnen. Dadurch verlieren Sie eventuell den Überblick über offene Ports. Schalten Sie UPnP jedoch ab, lassen sich bestimmte Tools aber nicht mehr nutzen – außer, Sie geben die benötigten Ports manuell frei. Hier müssen Sie immer die Vor-und Nachteile der automatischen Portfreigabe abwägen.

Heimnetz im Blick: Wie Sie Auffälligkeiten sofort erkennen

In jedem Routermenü gibt es einige Einstellungen, die Ihnen den aktuellen Status des Heimnetz anzeigen. Am interessantesten sind dabei die Übersicht der aktiven Netzwerkgeräte sowie das Routerprotokoll. Überprüfen Sie beide regelmäßig, um schnell verdächtigen Aktivitäten im Heimnetz auf die Spur zu kommen.

In der Netzwerkübersicht finden Sie eine Liste der Geräte, die aktuell mit dem Router verbunden sind. Häufig sind dort auch alle inaktiven Geräte vermerkt, also Rechner, die einmal mit dem Router Kontakt aufgenommen haben, aber jetzt nicht mehr angeschlossen sind. Bei der Fritzbox steht die Netzwerkübersicht unter „Heimnetz -> Heimnetzübersicht“, bei einem Speedport-Router ist sie zu finden unter „Heimnetzwerk -> Heimnetzwerk (LAN) -> Übersicht der Geräte im Heimnetzwerk“. Dort sollten nur Geräte vermerkt sein, die Sie zuordnen können.

Im Protokoll hält der Router alle Aktionen fest, die im Heimnetz passieren. Sie können dort zum Beispiel nachvollziehen, von welchem Rechner aus sich jemand im Browsermenü des Routers angemeldet oder es versucht hat. Außerdem sind Änderungen festgehalten, die im Menü vorgenommen wurden. Und die Liste der Anmeldungen im WLAN geben Ihnen ebenfalls Ausschluss darüber, ob jemand versucht, ins Netzwerk einzudringen. Bei der Fritzbox finden Sie das Protokoll unter „System -> Ereignisse“. Die Einträge lassen sich nach bestimmten Kriterien filtern, etwa WLAN oder Internetverbindung. Damit Sie ständig auf dem Laufenden bleiben, können Sie sich das Protokoll per E-Mail zusenden lassen: Sie stellen das unter „System -> Push Service“ ein. Die E-Mail-Adresse tragen Sie im Menü „Absender“ ein.

0 Kommentare zu diesem Artikel
1960661