Channel Header
182990

WLAN-Schwachstellen ermitteln und beheben

22.03.2019 | 08:06 Uhr | Arne Arnold

Sicherheitslücken im Heimnetz lassen sich mit Netzwerkscannern gut aufspüren. Doch die gefundenen Schwachstellen zu beseitigen, ist oft kompliziert. Hier erfahren Sie, wie Sie die Lücken in Ihrem Heimnetz entdecken und so gut wie möglich schließen können.

Wer nicht nur Windows-PCs, sondern auch andere Netzwerkgeräte wie NAS, Smart-TV oder smarte Hi-Fi-Anlage nutzt, sollte sein Netzwerk auf Schwachstellen prüfen. Das geht recht einfach mit dem Heimnetzscanner Bitdefender Home Scanner . Doch was der Scanner nach seinem Suchlauf zutage fördert, sind oft vertrackte Probleme wie veraltete, angreifbare Protokolle, Standard-Log-in-Daten in Netzwerkgeräten oder komplett fehlerhafte Systeme. Als Lösung wird meist ein System-Update vorgeschlagen. Doch oft gibt es keine Updates, da die Gerätehersteller an der Sicherheit sparen und keine Entwicklerzeit für bereits verkaufte Hardware investieren.

Darum will dieser Beitrag nicht bei der Empfehlung für ein Update stehen bleiben, sondern darüber hinaus nach Möglichkeiten suchen, wie man ein anfälliges Gerät am besten schützen kann. Dazu stellen wir drei typische Fälle von Sicherheitslücken im Heimnetz vor. Zuerst starten wir aber mit dem Netzwerkscan.

Siehe auch: Das große Kompendium zur Netzwerksicherheit

So scannen Sie Ihr Heimnetz mit Bitdefender Home Scanner

Ein empfehlenswerter Scanner für Schwachstellen im Heimnetz ist der Bitdefender Home Scanner . Sie installieren das Tool auf einem Windows-Computer und scannen von dort aus das Netzwerk. Das Programm geht dabei recht gründlich zur Sache. Es scannt sämtliche ins Netzwerk eingebundene Hardware wie PCs, NAS, mobile Rechner und smarte Geräte. Dabei spielt es keine Rolle, ob die Hardware Windows, Linux, Mac, Android, iOS oder ein anderes System verwendet. Zu den Maßnahmen von Bitdefender Home Scanner zählt ein Portscan, der Hinweise auf Schachstellen oder Backdoors liefern kann. Darüber hinaus sucht das Tool nach Log-in-Möglichkeiten in Geräten und testet diese auf Standardpasswörter. Dieser Test ist wichtig, da auch Angreifer so vorgehen. Sollte Ihr Router tatsächlich nur mittels Standardpasswort geschützt sein, würde das Bitdefender-Programm das aber nur protokollieren und später in der Zusammenfassung der Testergebnisse für das Gerät melden.

Die Installation von Bitdefender Home Scanner geht schnell vonstatten.
Vergrößern Die Installation von Bitdefender Home Scanner geht schnell vonstatten.

So geht’s: Nach der Installation von Bitdefender Home Scanner müssen Sie sich über die Software bei Bitdefender registrieren. Erst danach ist ein Scan des Netzwerks möglich. Sie müssen außerdem zwei Mal bestätigen, dass es sich tatsächlich um Ihr Netzwerk und um Ihren Router handelt, bevor der Scan startet. Der Grund: In den meisten Ländern ist es gesetzlich verboten, fremde Netzwerke auf Schwachstellen zu untersuchen, es sei denn, man handelt im Auftrag des Netzwerkinhabers.

Abschließend liefert Ihnen das Tool zu jedem Gerät einen Bericht und zeigt darin sowohl die gefundenen Basisinfos als auch mögliche Schwachstellen an. Teilweise meldet Bitdefender Home Scanner auch veraltete Firmware von Geräten.

Ist alles so weit in Ordnung, zeigt das Tool lediglich Gerätenamen sowie IP- und Mac-Adresse an. Oft findet das Tool allerdings auch Schwachstellen, um die Sie sich dann kümmern müssen.

Der Scan des eigenen Netzwerks kann einige Zeit in Anspruch nehmen.
Vergrößern Der Scan des eigenen Netzwerks kann einige Zeit in Anspruch nehmen.

Wichtig: Der Bitdefender Home Scanner kann auch einen vorübergehenden Schaden in Ihrem Heimnetz anrichten. Konkret geht es darum, dass Ihr Router oder Ihr NAS den Home-Scanner-PC zeitweise aus dem Heimnetz aussperrt. Die Folge: Dieser PC hat dann weder Zugang zum Internet noch zum Heimnetz. Die Sperre tritt dann in Kraft, wenn Ihr Router den Scanvorgang von Bitdefender Home Scanner als „Angriffsversuch“ erkennt und anschließend die Ursprungs-IP-Adresse blockt. Hochwertige Router und auch manche NAS-Geräte erkennen etwa, wenn sich jemand mehrmals am Gerät mit falschen Log-in-Daten anzumelden versucht. Genau das macht der Home Scanner aber, wenn er eine Handvoll Standardpasswörter ausprobiert. Wenn bei Ihnen der Router eine IP-Sperre gegen den Scan-PC verhängt, müssen Sie sich über ein anderes Gerät (Smartphone, Tablet, Zweitrechner) im Router anmelden und die Sperre wieder aufheben. Die meisten Heimrouter verfügen allerdings nicht über eine solche Angriffserkennung. Diese Scanmethode des Home Scanners hat in unserem Testnetzwerk übrigens auch zu einem Fehlalarm im Bitdefender-Scanner geführt.

Kali, Parrot & Co: Diese Livesysteme ermitteln Sicherheitslücken im Netzwerk

Fehler 1: Unsichere Benutzerund Passwortkombination

Hier moniert Bitdefender Home Scanner eine unsichere Kombination aus Benutzername und Passwort.
Vergrößern Hier moniert Bitdefender Home Scanner eine unsichere Kombination aus Benutzername und Passwort.

Darum geht’s: Eine häufige Meldung des Bitdefender Home Scanners betrifft unsichere Kombinationen aus Benutzername und Passwort. In unserem Testnetz wurde etwa ein Etagen-Drucker bemängelt, der einen Telnet-Dienst mit einem unsicheren Log-in anbietet.

Gerät schützen: Ein solcher Fehler lässt sich nur dann einfach beheben, wenn das entsprechende Gerät eine Änderung der Log-in-Daten zulässt. Schlagen Sie im Handbuch oder auf der Website des Gerätes nach, welche Benutzerkonten das System anlegen lässt und wie Sie die Log-in-Daten ändern. Vielleicht hatten Sie selber ein schwaches Passwort auf diesem Gerät vergeben und können es leicht ändern.

Fehler lässt sich nicht beheben: Es kann aber auch sein, dass eines der vorhandenen Standardkonten mit einem nicht änderbaren Passwort versehen ist, etwa „admin“ für den Benutzernamen und „admin“ für das Passwort. Dann können Sie versuchen, den entsprechenden Dienst abzustellen. Hier hilft ein Blick ins Handbuch. Geht das nicht, lässt sich die Sicherheitslücke nicht schließen. Fahren Sie dann so fort, wie ab Punkt „Kein Update vorhanden: Lücke besser einschätzen“ beschrieben.

Fehler 2: Schwachstellen durch veraltetes Netzwerkprotokoll

Hier erkennt der Home Scanner eine gefährliche Schwachstelle im SSH-Protokoll einer Hi-Fi-Anlage.
Vergrößern Hier erkennt der Home Scanner eine gefährliche Schwachstelle im SSH-Protokoll einer Hi-Fi-Anlage.

Darum geht’s: Ein häufiges Sicherheitsproblem im Heimnetz sind smarte Geräte wie Hi-Fi-Anlagen mit Internetanschluss, digitale Videorekorder oder Smart-TVs. Damit Sie mit den Geräten kommunizieren können, bieten diese verschiedene Verbindungsprotokolle und die dazugehörigen Dienste an. Dazu zählt etwa das SSH-Protokoll. SSH steht für Secure Shell und bezeichnet ein Netzwerkprotokoll, mit dem man eine verschlüsselte Verbindung zwischen zwei Geräten herstellen kann. Meist dient es dazu, das System zu konfigurieren. Da SSH grundsätzlich verschlüsselt ist, sollte das unproblematisch sein. Allerdings werden auch in verschlüsselten Protokollen immer wieder Schwachstellen entdeckt, die per Updates beseitigt werden müssen. Doch für viele smarte Gerät erhalten Sie nur selten oder gar keine Updates. Sollte der Bitdefender Home Scanner eine Lücke melden, die sich auf SSH oder ein anderes Protokoll bezieht, gehen Sie wie folgt vor.

Gemeldete Lücke per Update schließen

Üblicherweise schließen Sie eine Sicherheitslücke in einem Protokolldienst wie SSH über ein Firmware-Update für das Gerät. In unserem Beispiel ist es eine Hi-Fi-Anlage. Höherwertige smarte Geräte bieten oft die grundsätzliche Möglichkeit für Updates. Informationen dazu entnehmen Sie dem Handbuch des Geräts. Im besten Fall lässt sich ein Update einfach über das Menü des Geräts laden und installieren. Das geht etwa bei der Hi-Fi-Anlage Denon N-4 CEOL Piccolo . Bei anderen Geräten muss das Update auf einen USB-Stick geladen und dieser an das Gerät angesteckt werden. Nach dem Einschalten des Gerätes lädt sich das Firmware-Update selbständig vom Stick.

Wie bei jedem Firmware-Update gilt es, genau nach Anleitung vorzugehen, denn ein vermurkstes Update kann das Gerät unbrauchbar machen. Nach dem Update starten Sie den Netzwerkscan mit Bitdefender Home Scanner erneut, um zu prüfen, ob die Sicherheitslücke nun geschlossen ist.

Kein Update vorhanden: Lücke besser einschätzen

Sollte es für Ihr Gerät kein Update geben, sollten Sie herausfinden, ob sich die Sicherheitslücke überhaupt von einem Angreifer praktisch ausnutzen lässt. Die wichtigste Frage lautet dann: Ist das Gerät mit seiner Lücke aus dem Internet heraus erreichbar? Das ist eine Frage, die der Bitdefender Home Scanner nicht beantwortet. Die Antwort lässt sich meist auch nicht so einfach ermitteln. Denn nur permanente Freigaben lassen sich einfach aufspüren. Diese sind über offene Ports an Ihrem Router erkennbar. Suchen Sie die Ports mit einen Portscanner, der Ihre öffentliche IP-Adresse untersucht. Das geht etwa über den Online-Portscanner von www.dnstools.ch . Rufen Sie die Website www.dnstools.ch/port-scanner.html auf. Diese hat die IP-Adresse Ihres Routers bereits ermittelt und in das Feld „Host“ eingetragen. Klicken Sie in das Kästchen vor „Ich bin kein Roboter“ und dann auf „Scannen“. Der Scanner prüft alle Standardports und zeigt deren Status an.

Ausführlicher Scan: Das Onlinetool unter www.dnstools.ch sucht nur die Standardports ab. Wenn Sie einen ausführlichen Scan durchführen möchten, benötigen Sie einen eigenen Portscanner, etwa den Advanced Port Scanner .

Starten Sie das Tool und geben Sie die öffentliche IP-Adresse Ihres Routers ein. Diese können Sie etwa unter www.wasistmeineip.de ablesen. Wechseln Sie im Advanced Port Scanner neben dem Eingabefeld noch auf „Alle TCP-Ports 1-65535“, und drücken Sie auf den Scanbutton. Sollten offene Ports vorliegen, zeigt das der Scanner auf der rechten Seite an. Es dauert eine Weile, bis der komplette Scan abgeschlossen ist. Sie erkennen das daran, dass der Scanbutton von grau wieder auf grün wechselt.

Angriffsfläche reduzieren: Offene Ports schließen

Sollte beim Scan des Routers ein offener Port gemeldet werden, müssen Sie prüfen, ob er zu Ihrem unsicheren Gerät führt oder ob er von einem anderen Gerät genutzt wird, etwa von Ihrem Router. Dafür öffnen Sie die Weboberfläche Ihres Routers. Bei der Fritzbox geht das über die Eingabe von fritz.box in die Adresszeile des Browser. Aktivieren Sie darin gegebenenfalls die erweiterte Ansicht. Ab Fritz-OS 7 klicken Sie dafür auf das Menüsymbol rechts oben, bis Fritz-OS 6 klicken Sie auf „Ansicht: Standard“ auf der Übersichtsseite unten. In der Weboberfläche der Fritzbox finden Sie dann Freigaben unter „Interne –› Freigaben –› Portfreigaben“. Ist dort kein Eintrag zu finden, gehört der offene Port wahrscheinlich zum Router. Haben Sie zum Beispiel den Fernzugriff der Fritzbox aktiviert, ist der Port 443 mit dem Protokoll SSL offen. Sollten Sie dort aber einen Eintrag für Ihr unsicheres Gerät finden, dann löschen Sie diese Freigabe. Sollte dieser Eintrag zudem nicht von Ihnen stammen, sollten Sie auch UPnP deaktivieren.

UPnP deaktivieren, um temporäre Freigaben zu verhindern: Mit dem Portscan der öffentlichen IP-Adresse des Routers finden Sie permanente Freigaben zuverlässig. Doch können Geräte in Ihrem Netzwerk sich über UPnP auch selber und auch vorübergehende Freigaben im Router holen. Ob Sie das bei einem einmaligen Scan ermitteln, ist fraglich. Darum sollten Sie für den Fall, dass Sie ein unsicheres Netzwerkgerät in Ihrem Heimnetz haben, UPnP am Router deaktivieren. Eine Anleitung dazu finden Sie im Kasten weiter unten. Wenn Sie auf diese Weise dafür gesorgt haben, dass das Gerät nicht vom Internet aus erreichbar ist, haben Sie trotz unsicherer Hardware meist noch ein ausreichend geschütztes Heimnetz. Dass es von dieser Regel Ausnahmen gibt, zeigt „Fehler 3“.

Relevant: Netzwerkscan mit Eset Internet Security durchführen

Weitere Infos einholen: Wie gefährlich ist das Problem?

Advanced Port Scanner prüft, ob an Ihrem Router Ports geöffnet sind.
Vergrößern Advanced Port Scanner prüft, ob an Ihrem Router Ports geöffnet sind.

Auch wenn Ihr unsicheres Gerät nur noch intern erreichbar ist, sollten Sie weitere Informationen zur Sicherheitslücke einholen. Der Home Scanner liefert allerdings nur allgemeine Infos zu einer Lücke. In unserem Test bemängelt er zum Beispiel, dass der SSH-Dienst eines Raspberry Pi das Ausführen von beliebigem Code zulässt. Dasselbe meldete er für eine Hi-Fi-Anlage. Das klingt dramatisch, aber um welche Lücken es genau geht, verrät der Scanner nicht.

Um sich ein besseres Bild von der Schwachstelle zu machen, sollten Sie die Version des monierten Dienstes in Erfahrung bringen. Dabei hilft wieder das bereits erwähnte Tool Advanced Port Scanner (gratis, für Windows 7, 8, 10). Starten Sie den Scanner und geben Sie die IP-Adresse des bemängelten Gerätes in die Adresszeile unter dem „Scannen“-Button ein und drücken dann diesen Button. Die passende IP-Adresse entnehmen Sie der Meldung des Bitdefender Home Scanners. In unserem Beispiel erfahren wir so, dass auf dem Raspberry Pi OpenSSH in der Version 6.7p1 auf dem Standardport 22 aktiv ist (siehe Abbildung).

Eine Google-Suche mit OpenSSH 6.7p1 liefert als Treffer die zugehörigen Sicherheitslücken auf der Seite von Cvedetails . Diese informiert englischsprachig über sechs Lücken in Version 6.7p1. Wer etwas Zeit investiert, erhält so ein besseres Bild von den Lücken und wie leicht oder schwer sie sich von einem Angreifer ausnutzen lassen. Wer es eilig hat, der kann sich grob an dem CVSS-Score (Common Vulnerability Scoring System) orientieren. Grundsätzlich gilt, dass Lücken mit einem CVSS-Score von 7 bis 10 auf jeden Fall beseitigt werden sollten. Für Werte von 4 bis 6 gilt typischerweise, dass sie sich nicht von extern, also über das Internet, ausnutzen lassen. Entsprechend könnte man solche Sicherheitslücken in einem Heimnetz temporär bestehen lassen. Eine Einzelprüfung der Fehlerbeschreibung ist aber dennoch dringend geraten. Werte unter 4 stellen in der Regel nur ein Problem dar, wenn sich zu ihnen weitere Schwachstellen gesellen und diese in der Kombination dann eine gefährliche Lücke ergeben. Eine ausführliche, englischsprachige Beschreibung zum Score-Wert finden Sie hier . Einschränkend sei noch gesagt, dass der CVSS-Score zwar schon in einer mehrfach überarbeiteten Version vorliegt, aber dennoch kontrovers diskutiert wird.

Szenario: Angriff über eine lokale Sicherheitslücke

Erstellen Sie einen Gastzugang und melden Sie angreifbare, aber ungefährliche Onlinegeräte dort an. So können Hacker höchstens diese Geräte kapern, nicht aber das lokale Netzwerk.
Vergrößern Erstellen Sie einen Gastzugang und melden Sie angreifbare, aber ungefährliche Onlinegeräte dort an. So können Hacker höchstens diese Geräte kapern, nicht aber das lokale Netzwerk.

Wie hoch das Risiko einer Sicherheitslücke ist, hängt wie gesagt sehr davon ab, ob sie sich über das Internet ausnutzen lässt oder nur lokal. Als ein Szenario wollen wir das Risiko für eine lokale Lücke durchspielen. Als Beispiel dient hier eine Sicherheitslücke im SSH-Protokoll einer Hi-Fi-Anlage, für die es kein Update gibt. Der Test auf offene Ports am Router hat ergeben, dass ihr SSH-Dienst nur im lokalen Netzwerk verfügbar ist. Ein Angreifer kann die Schwachstelle also nur ausnutzen, wenn er sich bereits in Ihrem Netzwerk befindet. Das sollte aber durch einen stets gut gesicherten Router und ein langes und komplexes WLAN-Passwort nicht geschehen. Also ist das Netz trotz der Lücke in der Hi-Fi-Anlage sicher, das Gerät für Hacker nicht angreifbar.

Allerdings gilt diese Einschätzung nur für Nutzer mit einem durchschnittlichen Sicherheitsbedürfnis. Denn theoretisch lässt sich die Anlage doch kapern, wenn nämlich Folgendes passiert:

Ein Hacker will über die SSH-Sicherheitslücke in Ihrer smarten Hi-Fi-Anlage in Ihr Netzwerk eindringen. Dafür muss die Hi-Fi-Anlage per WLAN mit dem Netzwerk verbunden sein. Der Hacker muss sich vor Ihrer Wohnung positionieren und sein eigenes, feindliches WLAN installieren. Dieses muss deutlich stärker sein als Ihr heimisches WLAN, aber denselben Namen tragen. So wird sich Ihr smartes Gerät früher oder später mit dem Hacker-WLAN verbinden. Dann hat der Angreifer die Möglichkeit, die SSH-Lücke auszunutzen . Im Falle der Lücke CVE-2018-10933 etwa kann er sich sogar bedingt Zugriff auf die Hi-Fi-Anlage beschaffen. Die Lücke auszunutzen ist in diesem Beispiel nicht schwer, da es dafür ein Metasploit-Modul gibt. Metasploit ist ein Angriffssystem, in dem es fertige Module für Angriffe auf Lücken mit CVE-Nummer gibt. Unter Umständen findet der Hacker sogar einen Weg, feindlichen Code in die Firmware der Hi-Fi-Anlage zu bringen. Dieser Code muss dann zusätzlich in der Lage sein, ein weiteres Gerät im Heimnetz anzugreifen. Beides ist nicht unmöglich, aber nur in sehr selten Fällen tatsächlich umsetzbar – selbst für einen Profi-Hacker. Darum gilt: Wenn der Angreifer tatsächlich schon vor Ort ist, dann wäre es für ihn deutlich einfacher, die Haustür einzutreten und den PC oder andere interessante Netzwerkgeräte einfach aus der Wohnung zu tragen.

Notlösung: Eigenes Netzwerk für Onlinegeräte

All diese Firmen nutzen Geräte des Herstellers Xiongmai.
Vergrößern All diese Firmen nutzen Geräte des Herstellers Xiongmai.

Es gibt mehrere Möglichkeiten, anfällige Netzwerkgeräte weiterhin zu nutzen. Ein Beispiel: Sie haben ein Gerät mit einer Schwachstelle, der Hersteller liefert aber kein Update dafür. Abhängig von der Schwachstelle und der Aufgabe des Geräts können Sie es in ein eigenes, virtuelles Netzwerk stecken. Sollte ein Angreifer die Kontrolle über das Gerät übernehmen, dann ist es wenigstens von den übrigen Geräten und PCs getrennt. Die Trennung geht zum Beispiel recht einfach über das Gäste- WLAN, das der Router anbietet. Eine ausführliche Schritt-für-Schritt-Anleitung zu dem Thema finden Sie hier .

Ein solches Vorgehen empfiehlt sich allerdings nicht für jedes Gadget. Eine angreifbare Webcam sollte niemand online belassen. Schließlich möchte man das Live-Bild der Kamera nicht an einen Hacker verlieren. Akzeptabel ist es dagegen eher, eine Hi-Fi-Anlage, die ihre Musik von Spotify bezieht, in ein Gästenetzwerk zu stecken.

Fehler 3: Sicherheitslücke in der Cloud

Darum geht’s: Die Hersteller von Webcams und ähnlichen Geräten wollten die Angriffsfläche auf ihre Hardware verringern und außerdem die Konfiguration vereinfachen. Deshalb strichen sie den Zugriff über offene Ports am Router auf die Geräte. Damit die Webcam dennoch vom Internet aus erreichbar ist, entwickelten die Hersteller eine Vermittlungsstelle in der Cloud: Auf dem Internetserver des Herstellers meldet sich der Webcam-Nutzer per Browser oder App an und erstellt dort ein Nutzerkonto. Auch seine Webcam stellt eine Verbindung zum Internetserver des Herstellers her. Dafür müssen keine Firewall-Regeln am Router geändert werden, da der Verbindungsaufbau ja von Gerät ausgeht. Theoretisch hat man so ein gut geschütztes System, das einen Zugriff auf ein Heimnetzwerkgerät von Internet aus ermöglicht.

Allerdings tauchten bereits mehrere Lücken in diesem System auf. Im Jahr 2018 entdeckten Sicherheitsforscher, dass mehrere Millionen Webcams über die Cloud ihres Herstellers angreifbar sind. Alleine in Deutschland sollen 1,3 Millionen Cams betroffen sein. Das betrifft konkret Geräte der Firma Xiongmai, die von vielen Anbietern unter eigenem Namen vertrieben werden. Das Problem bei Xiongmai: Die Geräte melden sich nicht mit einer zufällig generierten ID in der Cloud an, sondern mit einer Nummer, die aus ihrer MAC-Adresse errechnet wurde. Ein Anfängerfehler, der Netzwerkgeräte schon oft angreifbar gemacht hat. Zusätzlich konnten Sicherheitsforscher auf den Cloudservern von Xiongmai nach den Geräte-IDs suchen, da die Server nicht gut genug gegen solche Scans geschützt waren. Zusammen mit den IDs erhielten die Forscher weitere Infos, die ausreichten, sich über die Cloud mit Standard-Log-in-Daten in den Webcams anzumelden.

Die Lücken sind nicht geschlossen: In diesem Fall liegen drei entscheidende Lücken vor. In der Webcam sind Standard- Log-in-Daten hinterlegt, und das Gerät nutzt eine errechenbare ID. Beides müsste durch ein Firmware-Update behoben werden. Zum anderen muss der Cloudserver von Xiongmai gefixt werden, damit Angreifer nicht mehr an Geräte-Informationen herankommen. Angeblich ist beides bisher noch nicht geschehen.

Schutz ohne Update: Zunächst müssen Sie herauszufinden, ob in Ihrer Webcam Xiongmai-Technik steckt. Mit Glück meldet das der Bitdefender Home Scanner. Falls nicht, soll es laut Sicherheitsforschern helfen, die IP-Adresse des Geräts im Browser einzugeben und um den Eintrag /err.htm zu ergänzen. Der angezeigte Text kann den Namen Xiongmai enthalten. Weitere Hinweise für die Identifizierung eines anfälligen Geräts liefert die Site der Firma Sec Consult , die die Sicherheitslücke entdeckt hat.

Ist Ihr Gerät betroffen, bleibt nur die Möglichkeit, die Webcam ausschließlich im lokalen Netzwerk zu nutzen. Am einfachsten erreichen Sie das, indem Sie dem Gerät im Router den Zugang zum Internet sperren. Die meisten Router bieten eine solche Funktion. In der Fritzbox etwa wählen Sie in der Weboberfläche „Internet –› Filter –› Kindersicherung“ und dann das „Bearbeiten“-Symbol hinter dem betreffenden Gerät. Aktivieren Sie „Gesperrt“ und bestätigen Sie die Änderung mit „OK“.

Natürlich haben Sie so nicht mehr die Möglichkeit, von unterwegs aus auf die Webcam zuzugreifen. Am Ende gilt es abzuwägen, ob man das Risiko einer anfälligen Webcam im Hauses eingehen möchte. Im Zweifelsfall sollte man ein Gerät, das private Bilder aufzeichnet und dessen Sicherheit ungewiss ist, besser aussortieren.

Hinweis: Fehlalarm vom Bitdefender Home Scanner

Hier meldet Bitdefender Home Scanner eine Denial-of-Service-Schwachstelle in unserem NAS.
Vergrößern Hier meldet Bitdefender Home Scanner eine Denial-of-Service-Schwachstelle in unserem NAS.

Wie viele andere Sicherheitstools verursacht auch der Bitdefender Home Scanner gelegentlich einen Fehlalarm. Das heißt: Nicht jede vom Scanner gemeldete Schwachstelle ist tatsächlich eine Lücke. In unserem Fall monierte der Home Scanner eine Denial-of-Service-Schwachstelle (DoS) im Netzwerkspeicher, genau genommen im SSH-Dienst des Geräts. Denial-of-Service bedeutet, dass ein Angreifer das Gerät mit einer Vielzahl von Anfragen zum Absturz bringen kann. Doch tatsächlich hatte unser NAS den Rechner mit dem Bitdefender Home Scanner einfach geblockt, als dieser mehrfach versuchte, sich mit Standardpasswörtern im Gerät anzumelden.

UPNP im Router deaktivieren

UPnP steht für Universal Plug and Play, einen Standard, der ein ganzes Bündel an Netzwerkprotokollen beschreibt. Sie alle dienen dazu, dass sich Geräte im Heimnetz automatisch verbinden und steuern können. Das ist zum Beispiel für Audio- und Videowiedergaben sehr nützlich. UPnP im Router kann von Netzwerkgeräten aber auch dazu genutzt werden, Ports zu öffnen. Das kann ein Sicherheitsrisiko sein.

In der Weboberfläche der Fritzbox sowie vieler anderer Router lässt sich UPnP für den Router deaktivieren.
Vergrößern In der Weboberfläche der Fritzbox sowie vieler anderer Router lässt sich UPnP für den Router deaktivieren.

So schalten Sie UPnP in der Fritzbox ab: Rufen Sie im Browser die Weboberfläche der Fritzbox über die Eingabe von fritz.box auf und aktivieren Sie gegebenenfalls die erweiterte Ansicht. Ab Fritz-OS 7 geht das über das Menüsymbol rechts oben, bei Fritz-OS 6 über „Ansicht: Standard“ auf der Übersichtsseite unten.

Dann wählen Sie „Internet –› Portfreigaben“ und entfernen den Haken bei „Änderungen der Sicherheitseinstellungen über UPnP gestatten“. Das war es auch schon. Die Einstellung unter „Heimnetz –› Netzwerk –› Netzwerkeinstellungen –› Statusinformationen über UPnP übertragen“ können Sie aktiviert lassen. Kein Gerät kann sich darüber eine Portfreigabe besorgen.

Das sind die Folgen: Wenn Sie UPnP im Router ausschalten, können sich Geräte im Heimnetz keine Portfreigaben am Router mehr einrichten. Das liefert den gewünschten Sicherheitsgewinn. Es bedeutet aber auch, dass einige Geräte oder Tools dann nicht mehr wie gewohnt funktionieren. Typische Kandidaten sind etwa die Xbox, ältere Webcams oder Tauschbörsensoftware. Für diese Geräte und Programme muss man dann manuell die benötigen Ports öffnen und Weiterleitungen zu den Geräte-IPs einrichten. Das geht in der Fritzbox an derselben Stelle, an der Sie UPnP deaktiviert haben. Zwei Mediengeräte, etwa Ihr Smart-TV und Ihr Smartphone, können sich aber meist immer noch per UPnP finden, konfigurieren und Fotos und Videos abspielen.

PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
182990