Router sicher einrichten: So machen Sie Hackern den Garaus
Wer Hackern die Tür vor dem eigenen Router zumacht, hat viele Sorgen weniger. © asharkyu /
Dem Router im Heimnetz schenkt man in der Regel wenig Beachtung, solange er nur funktioniert. Dabei spielt Ihr WLAN-Router eine entscheidende Rolle für den Schutz Ihrer Geräte und Daten zu Hause. Ein schlecht gesicherter Router bietet Angreifern die Möglichkeit, sich in Ihrem Heimnetz einzunisten und unerfreuliche Dinge zu tun. Neben dem Ausspähen diverser Zugangsdaten verwenden Kriminelle gekaperte Router auch immer häufiger für ferngesteuerte Angriffe aus dem Internet. Dabei werden bestimmte Ziele im Internet mit so vielen Anfragen bombardiert, bis das Angriffsziel seinen Dienst einstellen muss. Man spricht hierbei von Denial of Service- oder DoS-Attacken. Sichern Sie Ihren Router deshalb so gut wie möglich ab. Wir zeigen Ihnen die wichtigsten Schutzmaßnahmen.
TIPP 1: Halten Sie Ihren Router mit Firmware-Updates auf dem Laufenden
Die Firmware ist das Betriebssystem Ihres Routers – ähnlich wie Windows für das Notebook oder den PC. Kein Betriebssystem ist unfehlbar, weshalb Microsoft seine Windows-Versionen immer wieder mit automatischen Updates nachbessert. Verantwortungsvolle Router-Hersteller verfahren ebenso, indem sie Updates für die Firmware ihrer Router bereitstellen. Diese Firmware-Updates sollten Sie unbedingt auf Ihren Router aufspielen, da das Gerät sonst für im Internet bekannte Sicherheitslücken, sogenannte Exploits, angreifbar ist. Die meisten Router-Hersteller bieten hierzu inzwischen eine Update-Funktion im Webmenü des Routers an. Diese weist Sie darauf hin, ob für Ihren Router eine aktuelle Firmware-Version bereitsteht. Mit einem Klick lässt sich diese Version herunterladen und auf dem Router installieren. Deshalb sollten Sie wenigstens einmal im Monat einen Blick in das Webmenü Ihres Routers werfen.
Anzeige
Die Updatefunktion der Fritzbox führt kritische Updates eigenständig durch. © Screenshot WEKA / PCgo
Anzeige
Manche Hersteller, wie zum Beispiel AVM in seinen Fritzbox-Modellen, bieten bereits eine automatische Update-Funktion an. Hier führt der Router sicherheitskritische Firmware-Updates selbstständig durch, sofern man im Router-Menü keine andere Einstellung vorgenommen hat.
Lesetipp: Fritzbox 7490 bekommt Update - alle Infos
Bedenken Sie: Ihr Router ist der Torwächter zwischen dem Internet und Ihrem Heimnetz mit allen darin angeschlossenen Geräten. Wer ihn mit einer veralteten Firmware betreibt, geht ein hohes Risiko ein.
TIPP 2: Sicheres Passwort zum Router-Menü vergeben
Sichern Sie den Zugang zum Router-Menü grundsätzlich über ein eigenes Passwort ab. Nach wie vor statten viele Hersteller ihre Router-Modelle in den Werkseinstellungen mit unsicheren, sogenannten default-Zugangsdaten aus. Sehr häufig wird dabei admin als Benutzername und password als Passwort verwendet. Alle default-Zugangsdatenkombinationen für jedes beliebige Routermodell stehen im Internet zum Abruf bereit. Somit kann jeder Angreifer, der sich bereits in Ihrem Heimnetz befindet, in wenigen Augenblicken Zugang zu einem solchen Router erhalten. Vorsicht: Auch Schadprogramme, die man sich am PC oder Smartphone eingefangen hat, können Ihr Heimnetz nach Schwachstellen durchsuchen, wie zum Beispiel einen schlecht gesicherten Router.
Lesetipp: Sicheres Passwort erstellen - so geht's
Vergeben Sie deshalb grundsätzlich ein eigenes, sicheres Zugangspasswort zum Routermenü. Dieses Passwort sollte sich aus Ziffern, Groß- und Kleinbuchstaben zusammensetzen und mindestens 10-stellig sein. Falls möglich, ändern Sie auch den häufig vorgegeben Benutzernamen admin in einen alternativen Benutzernamen. Viele Routermodelle haben inzwischen das default-Passwort durch ein für jeden Router individuell erzeugtes Passwort ersetzt. Dieses Passwort ist dann meist auf der Unterseite des Router-Gehäuses abgedruckt. Wenn auch kein Mitbewohner Zugang ins Routermenü erhalten soll, empfiehlt es sich, auch dieses individuelle Passwort durch ein eigenes Router- Passwort zu ersetzen.
Anzeige
Bei einem Asus-Router lässt sich auch der Benutzername (Router Kontoname) ändern. © Screenshot WEKA / PCgo
Anzeige
TIPP 3: WLAN vor unerwünschten Nutzern schützen
Da ein WLAN-Router auch außerhalb der eigenen vier Wände funkt und somit von jedem beliebigen WLAN-Client in Reichweite angesprochen werden kann, sollten Sie die Funkverbindung Ihres Routers grundsätzlich sichern. Dazu verwenden Sie die WPA2-Verschlüsselung, die in allen halbwegs aktuellen Routern bereits voreingestellt ist. Manche WLAN-Router verwenden dabei eine Kombination aus WPA (TKIP) und WPA2 (AES). Wenn möglich, ändern Sie diese Einstellung auf WPA2 ab. WLAN-Clients mit WPA (TKIP) sind bereits veraltet. Zudem ist die WPA(TKIP)-Verschlüsselungsmethode nicht so sicher wie WPA2.
Lesetipp: Die besten WLAN-Router
Verwenden Sie ein ausreichend starkes WPA2-Passwort, mit dem Sie den Zugang zu Ihrem WLAN-Netz absichern. Dieses WPA-Passwort sollte mindestens 20-stellig sein, sich ebenfalls aus Ziffern, Groß- und Kleinbuchstaben zusammensetzen und nicht im Wörterbuch stehen.
Verwenden Sie außerdem grundsätzlich Ihr WLAN-Gastnetz, wenn Sie Ihren Besuch oder den Freunden Ihrer Kinder mit einem Internetzugang versorgen möchten. In der Regel ist das Gastnetz von Ihren Geräten im Heimnetz getrennt und besitzt eine eigene SSID (WLAN-Name). Verschlüsseln Sie auch Ihr Gastnetz mit WPA2 samt Passwort, und schalten Sie es wieder ab, sobald Ihre Gäste abgereist sind.
Anzeige
TIPP 4: Knopfdruck mit Risiko: WPS über Router-PIN deaktivieren
Für die drahtlose Einbindung Ihrer WLAN-Clients können Sie anstelle der wenig komfortablen Passworteingabe auch einfach das praktische WPS-Verfahren nutzen. Dabei wird die verschlüsselte WLAN-Verbindung einfach durch das Drücken eines WPS-Knopfes an Router und Client erledigt. Neben dieser sehr komfortablen Knopfdruck- oder Push-Button-Methode unterstützt WPS außerdem noch die sogenannte PIN-Methode, bei der anstelle des langen WPA2-Passworts nur eine kurze Router-PIN in den Client oder eine kurze Client-PIN in den Router eingetragen wird. Leider ist die WPS-Router-PIN-Methode in vielen WLAN-Routern mit einer Sicherheitslücke behaftet und kann deshalb mit geeigneten Tools geknackt werden. Manche Router bieten die Möglichkeit, die sicherheitskritische (Router-) PIN-Methode explizit abzuschalten. Falls Sie sich nicht sicher sind, deaktivieren Sie WPS im Routermenü komplett, nachdem Sie Ihre WLAN-Clients im Heimnetz eingerichtet haben.
Anzeige
Bei diesem TP-Link-Router können Sie die unsichere WPS-Methode mittels Router-PIN explizit abschalten. Die Push- Button-Methode lässt sich trotzdem nutzen. © Screenshot WEKA / PCgo
Anzeige
TIPP 5: Sicherheits-Diagnose im Routermenü nutzen
Einige Hersteller statten ihre Router mit einer umfassenden Diagnosefunktion aus, die dem Anwender einen Überblick über alle sicherheitsrelevanten Einstellungen im Router gibt. So lässt sich rasch ermitteln, an welchen Optionen im Routermenü eventuell noch Veränderungen vorzunehmen sind.
AVMs aktuelle Fritzbox-Modelle listen unter Diagnose/Sicherheit unter anderem auf, ob die Firmware noch aktuell ist, der Zugang zum Router kennwortgesichert ist oder welche Portweiterleitungen am Router eingerichtet sind. Am Ende der Liste wird sogar angezeigt, welcher Benutzer sich wann zuletzt an der Fritzbox angemeldet hat und welche Rechte man den einzelnen Benutzern zugewiesen hat – sofern die Benutzerverwaltung in der Fritzbox überhaupt aktiviert ist.
Noch einen Schritt weiter geht Asus mit seiner Router-Sicherheitsbewertung, die im Routermenü unter Allgemein/AiProtection/Netzwerk-Schutz zu finden ist. Nach einem Klick auf Prüfen werden alle sicherheitsrelevanten Einstellungen aufgelistet und können bei Bedarf mit einem Klick auf Router sichern behoben werden. Wer allerdings bestimmte Portweiterleitungen oder einen (gesicherten) Fernzugang auf seinen Router dringend benötigt, sollte hier unbedingt selektiv vorgehen.
Anzeige
AVMs Fritzbox bietet eine sehr ausführliche Sicherheits-Diagnose. © Screenshot WEKA / PCgo
Anzeige
TIPP 6: Fernzugang nur unter bestimmten Voraussetzungen freischalten
Apropos Fernzugang auf den Router: Die meisten Anwender werden Einstellungen in ihrem Router sowieso nur vornehmen, wenn Sie zu Hause im Heimnetz angemeldet sind. Sofern das auch für Sie zutrifft, lassen Sie den Fernwartungszugang in Ihrem Router grundsätzlich deaktiviert. Dann kann auch niemand vom Internet aus auf das Menü Ihres Routers gelangen.
Falls Sie dennoch aus der Ferne auf Ihren Router zugreifen möchten, dann sollten Sie das ausschließlich über eine sichere SSL-Verbindung erledigen. Fast alle Routermodelle ermöglichen den Fernzugang über eine SSL-verschlüsselte HTTPS-Verbindung und nicht über das unverschlüsselte HTTP. Es gibt immer noch vereinzelte Router-Hersteller, deren Fernwartung sich nur über das HTTP-Protokoll abwickeln lässt. Dabei werden Benutzername und Passwort zu Ihrem Routermenü im Klartext übers Internet geschickt. In einem solchen Fall müssen Sie grundsätzlich auf die Fernwartung verzichten.
Da der Fernzugriff auf Ihren Router meist über ein unsigniertes SSL-Zertifikat des Router-Herstellers läuft, warnt Sie Ihr Browser beim ersten Aufruf des Router- Menüs aus dem Internet vor einer unsicheren Verbindung. Damit der SSL-Zugriff funktioniert, schlagen Sie in diesem Fall die Warnung Ihres Browsers in den Wind und öffnen die „unsichere“ Webseite trotzdem. Sofern Ihr Router noch andere Zugriffsdienste wie Telnet oder SSH unterstützt, die Sie vermutlich nicht benutzen werden, so lassen Sie diese grundsätzlich deaktiviert.
Anzeige
TIPP 7: Steuerung der Portfreigaben über UPnP abschalten
Auch diverse Heimnetzgeräte, wie zum Beispiel Netzwerkfestplatten (NAS) oder Spielekonsolen, benötigen für Zugriffe aus dem Internet bestimmte Port-Weiterleitungen oder -Freigaben im Router. Die hierzu nötigen Einstellungen in der Router-Firewall sind kompliziert. Aus diesem Grund wurde das UPnP-Protokoll entwickelt, das diese Einstellungen quasi automatisch regelt. NAS oder Spielkonsole kommunizieren dann per UPnP direkt mit dem Router und teilen ihm mit, welche Ports der Router zu welchem Zeitpunkt öffnen soll. Somit ist UPnP vom Grundgedanken her äußerst komfortabel und anwenderfreundlich.
Allerdings kann mithilfe dieses Protokolls auch ein beliebiger, möglicherweise schädlicher Client im Heimnetz per UPnP die Firewall des Routers nach Belieben „konfigurieren“ – zum Beispiel auch eine schädliche Software auf einem angeschlossenen PC oder Smartphone, die an die Firewall Ihres Routers entsprechende Anweisungen sendet. Die Steuerung über UPnP ist bereits seit Jahren ab Werkseinstellung in fast allen Router-Modellen im Handel aktiviert. Wer diese nicht unerhebliche Sicherheitslücke schließen möchte, sollte UPnP deaktivieren. Nur AVM bietet aktuell eine Lösung für dieses Problem.
Anzeige
Anonym surfen: So bewegen Sie sich anonym im Netz
Es müssen nicht immer gleich Kriminelle sein: Drittparteien wie Internet Service Provider (ISPs) oder die Betreiber der Websites, die wir besuchen, können anhand unserer IP-Adresse so einiges über unsere Vorlieben und andere Aspekte unserer Identität ableiten. Sie verrät zwar nicht unseren Namen, gibt jedoch Auskunft über unseren Standort und die Websites, die wir aufsuchen.
Darüber hinaus sind wir im Netz allen möglichen Tracking-Versuchen ausgesetzt: Dabei versuchen Dritte mit sogenannten Cookies, Ihre Online-Aktivitäten zu verfolgen und zu protokollieren. Das dient meist keinen (allzu) finsteren Absichten, sondern in erster Linie der Optimierung von Websites und der Gewinnsteigerung durch personalisierte Werbung.
Und letztlich gibt es auch Kriminelle, die versuchen, Sie auszuspionieren und wertvolle Daten und Informationen zu erbeuten, mit denen sie Cyberangriffe durchführen können. Über Lauschangriffe im öffentlichen WLAN und nicht-verschlüsselte Websites (also diejenigen ohne HTTPS-SSL-Zertifikat, das durch das Schloss-Symbol in der Adressleiste bestätigt wird) könnten Kriminelle im schlimmsten Fall mitlesen, was Sie online anstellen.
BGH zu Wlan-Haftung: Voreingestellte individuelle Passwörter sind vertrauenswürdig
Wer seinen Wlan-Anschluss entsprechend der beim Kauf geltenden Sicherheitsstandards verschlüsselt hat, haftet grundsätzlich nicht, wenn sich Fremde Zugang verschaffen und eine Filmdatei über diesen Internetanschluss zum Download anbieten. Das hat der Bundesgerichtshof (BGH) am Donnerstag entschieden. Eine Wlan-Nutzerin muss die 750 Euro Anwaltskosten nun nicht bezahlen.
Der Wlan-Router der Frau war vom Werk mit einer aus 16 Ziffern bestehenden, auf der Rückseite des Routers aufgedruckten WPA2-Verschlüsselung versehen. Diese war nur für dieses Gerät vergeben und sie wurde von der Nutzerin nicht geändert. 2012 bot ein Unbekannter dann von diesem Internetanschluss aus in einer Internet-Tauschbörse den Film "The Expendables 2 - Back for War" zum Download an.
Warnung erfolgte erst zwei Jahre später
Die Firma mit den Verwertungsrechten des Films versendete daraufhin ein Anwaltsschreiben an die Frau, verlangte von ihr eine Unterlassungserklärung und 750 Euro anwaltlicher Abmahnkosten. Die ahnungslose Frau gab die Unterlassungsversicherung ab, aber die 750 Euro zahlte sie nicht. Denn sie sah kein Verschulden ihrerseits. Tatsächlich gab es zwei Jahre später eine Sicherheitswarnung für den Routertyp, die Verschlüsselung konnte in etwa 80 Minuten geknackt werden. Eigentlich beträgt die Wahrscheinlichkeit nur eins zu einer Billiarde. Aber diese Sicherheitslücke wurde erst lange nach dem Vorfall bekannt.
Die Klage des Filmvertreibers auf Zahlung der Abmahnkosten blieb bereits vor dem Amtsgericht und dem Landgericht Hamburg erfolglos. Auch der BGH verneinte jetzt eine Haftung der Nutzerin. Sie habe alle Prüfpflichten erfüllt, die vom Werk gelieferte nur einmal vergebene Verschlüsselung habe dem Sicherheitsstandard entsprochen. Gleichzeitig stellt der BGH allerdings klar, dass ein Wlan-Nutzer das Passwort dann ändern muss, wenn es vom Hersteller für mehrere Geräte vergeben wird. (AZ: I ZR 220/15)
Von Bedeutung war ebenfalls, dass es zum Zeitpunkt des Missbrauchs keine Verdachtsmomente gab. Schon in früheren Urteilen hatte der BGH klargestellt, dass bei Missbrauch von Internetanschlüssen durch Dritte der Inhaber dann haftet, wenn er trotz konkreter Anhaltspunkte untätig bleibt. Eltern müssen ihren Kindern zwar deutlich machen, dass sie sich nicht an illegalen Tauschbörsen beteiligen dürfen. Ohne Verdachtsmomente sind aber keine speziellen Sicherheitsvorkehrungen, Sperreinrichtungen oder Überwachungsmaßnahmen notwendig. Wenn sich die Kinder nicht an das Verbot halten, müssen allerdings weitere Maßnahmen ergriffen werden.
FritzBox-Nutzer nicht betroffen
Die Entscheidung aus Karlsruhe betrifft indirekt auch die Wlan-Router der Berliner Firma AVM. Das Unternehmen mit der Router-Reihe FritzBox ist in Deutschland Marktführer und verwendet eine 20-stellige Zahlenkombination (bei einigen älteren Modellen 16 Stellen) zur Absicherung des Funknetzes. Nach den Warnungen anderer Routerhersteller hatte AVM weiterhin die Sicherheit ihrer Produkte betont. Alle Modelle aus der FritxBox-Reihe seien ab Werk mit einem individuellen, nach Zufallsprinzip erstellten Wlan-Schlüssel geschützt. Es sei nicht möglich, aus der Seriennummer oder anderen gerätespezifischen Merkmalen den Wlan-Schlüssel zu ermitteln. In der Konsequenz gab es darum von AVM auch keine Warnungen an seine Kunden, das Passwort zu ändern. An dieser Haltung kann das Unternehmen nun auch nach der Karlsruher Entscheidung festhalten.
Gibt es vom Router-Hersteller eine solche Zusicherung nicht, ist ein Wechsel des Passwortes angeraten. Das Bundesamt für die Sicherheit in der Informationstechnik BSI empfiehlt ein komplexes Passwort mit 20 Stellen. Die Einrichtung sollte per Kabelverbindung (Lan oder USB) und nicht über das Wlan erfolgen. Auch der Zugang zum Router sollte durch ein eigenes Passwort geschützt werden. Um wirklich auf Nummer sicher gehen zu können, sollte zudem regelmäßig oder automatisch geprüft werden, ob es vom Hersteller Updates für den Wlan-Router gibt.
Video 02:01 Min. Israelische Firma knackt Smartphones in Sekunden
