Netzwerk-Sicherheit: Zahlreiche Router sind unsicher
0 ( 0 )
Die Sicherheit im World Wide Web darf sich nicht nur auf Websites und Clouds erstrecken. Sie beginnt schon viel früher: Beim Router, beim Zugangspunkt der Geräte zum Internet. Wie die Netzwerk-Sicherheit unterschätzt wird, zeigt ein Sicherheitstest des Fraunhofer-Instituts für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE). Lesen Sie die erschreckenden Ergebnisse des Tests sowie Tipps, die Ihre Netzwerksicherheit erhöhen.
WLAN-Router im Test
Das Fraunhofer FKIE hat seinen aktuellen „Home Router Security Report 2020“ veröffentlicht und spricht von „alarmierenden Ergebnissen“. Insgesamt wurden 127 Router für Privatnutzer getestet, die von sieben namhaften Herstellern stammen. Das FKIE stellte Sicherheitsmängel fest, „teilweise sogar ganz erhebliche. Diese reichen von fehlenden Sicherheitsupdates, über einfach zu entschlüsselnde, hartcodierte Passwörter bis hin zu bereits bekannten Schwachstellen, die eigentlich längst behoben sein müssten“, erklärt das FKIE.
Die Mängel, die die Forscher um Peter Weidenbach und Johannes vom Dorp, jeweils aus der Abteilung „Cyber Analysis & Defense“ des FKIE, feststellen mussten, sind gravierend: „Die Auswertung hat ergeben, dass kein einziger Router ohne Fehler war. Manche waren sogar von Hunderten bekannter Schwachstellen betroffen. 46 Router hatten in den letzten zwölf Monaten kein Sicherheitsupdate erhalten“, so Weidenbach. Tatsächlich gibt es sogar einen Extremfall, der 2.000 Tage – das heißt: mehr als 5 Jahre – kein Sicherheitsupdate erhalten hat!
Über 90 Prozent der getesteten Router setzten auf Linux als Betriebssystem, jedoch oftmals in veralteten Versionen. Vom Dorp sieht hier ganz klar die Routerhersteller in der Pflicht: „Linux arbeitet permanent daran, Sicherheitslücken in seinem Betriebssystem zu schließen und neue Funktionalitäten zu erarbeiten. Die Hersteller müssten eigentlich nur die aktuellste Software aufspielen, aber sie integrieren diese nicht in dem Maße, wie sie es könnten und müssten.“
Neben langjährig bekannten Sicherheitslücken, die die Hersteller längst hätten beseitigen können und müssen, erstaunte die FKIE-Wissenschaftler auch der laxe Umgang mit Passwörtern: „Etliche Router haben einfach zu knackende oder bekannte Passwörter bzw. hartcodierte Anmeldedaten, die vom Benutzer auch nicht geändert werden können.“
Zum Zeitpunkt der Testungen des FKIE wurden sämtliche Geräte aktiv von den Herstellern beworben. Daraus schlossen die Forscher, dass alle Router neu genug sind, um aktiv Updates zu erhalten. Insgesamt konnten die Forscher feststellen, dass der Hersteller AVM „mehr Wert auf die Sicherheitsaspekte als die anderen Anbieter“ legte, „auch wenn AVM Router ebenfalls nicht ohne Sicherheitsmängel“ seien. ASUS und Netgear zeigten sich in den Tests in diversen Punkten „zuverlässiger als D-Link, Linksys, TP-Link und Zyxel“.
Netzwerk-Sicherheit: Schwachstellen im Visier
Es war zum Auffinden der Schwachstellen nicht notwendig, dass die FKIE-Mitarbeiter die Router mühsam manuell untersuchten. Es genügte, das eigens vom FKIE entwickelte Open Source-Tool „Firmware Analysis and Comparison Tool“ (FACT) zu nutzen und die Router-Software so auf fünf Sicherheitsaspekte hin zu untersuchen:
Wie viel Zeit verging seit dem letzten Firmware-Release für dieses Gerät?
In welcher Version liegt das unterliegende Betriebssystem-Kernel vor?
Existieren Exploitschutz-Maßnahmen?
Existieren private Kryptoschlüssel im System?
Existieren voreingestellte Passwörter?
Konkret untersuchte man mithilfe des Tools automatisiert 127 Firmware-Images der sieben Router-Hersteller Asus, AVM, D-Link, Linksys, Netgear, TP-Link sowie Zyxel.
Sicherheitsrisiken häufen sich
Die Forscher luden mittels FACT die Firmware-Images herunter. Das Router-Betriebssystem wurde extrahiert; wie bereits erwähnt, setzen die meisten auf Linux. Anschließend stand das Prüfen der Software auf die oben genannten Sicherheitsaspekte an. Die Ergebnisse, die die Tests zeigten, können in der Tat nur als alarmierend bezeichnet werden:
22 der Router wurden in den letzten zwei Jahren überhaupt nicht mit Firmware-Updates versorgt. Über ein Drittel der getesteten Router basieren auf deutlich veralteten Linux-Kernelversionen (mind. 9 Jahre kein Sicherheitsupdate). Den traurigen Rekord diesbezüglich hält ein Linksys-Gerät, welches auf einem fast 18 Jahre alten Linux-Kernel basiert. AVM ist laut der Studie der einzige Hersteller, der durchgängig neuere Kernelversionen einsetzt.
Weiter sind den Forschern im Schnitt rund fünf private Kryptoschlüssel je untersuchtem Firmware-Image aufgefallen. Auch hier bildet AVM die rühmliche Ausnahme: Nicht ein einziger Schlüssel fand sich in der Firmware.
In sagenhaften 50 der 127 getesteten Images fand das FKIE voreingestellte Passwörter, die in 16 Routern extrem einfach zu knacken waren. Hier hat Asus die Nase vorn: Dies ist tatsächlich der einzige Hersteller, der auf voreingestellte Passwörter verzichtet.
Die Fraunhofer-Forscher haben mit ihrem Tool nicht in der Tiefe, sondern eher oberflächlich analysiert – und schon dabei fielen derartig viele Sicherheitslücken auf. Zwar könnten sich einige dieser Sicherheitslücken nicht zwangsläufig als angreifbar herausstellen. Dennoch: Die Analyse zeigt, dass in Routern für Heimanwender handfeste Sicherheitsmängel fester Bestandteil sind.
Tatsächlich ist es noch immer ein Ding der Unmöglichkeit, Sicherheitslücken an die Router-Hersteller zu melden. Updates kommen entweder verspätet oder gar nicht. Details darüber in Erfahrung zu bringen, wann welche Schwachstelle geschlossen werden könnte, braucht man gar nicht erst versuchen. Selbst wenn die entdeckten Mängel nicht aktiv ausgenutzt werden, sollte doch klar sein, dass das Implementieren zeitgemäßer Technologien Angriffe verhindern könnte. Derzeit sind zum Teil Daten auslesbar, die auch dafür sorgen können, dass die Verschlüsselung von Kommunikationen im betroffenen Netzwerk angreifbar ist.
Dringender Handlungsbedarf für Netzwerk-Sicherheit
Eines wird deutlich durch den Test der Forscher des FKIE: es besteht dringender Handlungsbedarf! Erst wenn die Hersteller bei ihren Geräten grundsätzlich auf effiziente Sicherheitsmaßnahmen setzen, werden auch Anwenderinnen und Anwender in die Lage versetzt, auf mehr Netzwerk-Sicherheit hinzuarbeiten.
Hersteller sind in der Pflicht
Wie die Forscher rund um Weidenbach festgestellt haben, ist Linux selbst immer auf dem neusten Stand – nur nutzen die Router-Hersteller das eben nicht. Gegenüber dem MDR erklärt Weidenbach, warum das so sein könnte: „Irgendjemand muss quasi die Sicherheitsupdates zusammenstellen. Die müssen getestet werden, damit nicht eine andere Funktion des Routers nicht mehr läuft. Das kostet Geld.“
Ein weiteres Problem sei das der nichtvorhandenen Haftung: Werden Router und damit Netzwerk von Dritten gekapert, haften die Router-Hersteller nicht. Deshalb fordern Forscher wie Weidenbach verbindliche Sicherheitsrichtlinien, die Hersteller zu Updates und weiteren Sicherheitsmaßnahmen verpflichten.
Natürlich können auch Verbraucherinnen und Verbraucher aktiv werden: Lassen Sie sich nicht einfach irgendeinen Router zusenden. Entscheiden Sie selbst, welchen Sie nutzen möchten. Weidenbach rät nach der aktuellen Studie zu AVM, denn hier erfolgen Updates immerhin einmal jährlich. Wenngleich auch dies völlig unzureichend wäre, sei das immer noch besser als neun Jahre alte Systeme, erklärt er. Seine Idealvorstellung wären wöchentliche Updates, die ohne Zutun des Anwenders automatisch ausgeführt werden.
So erhöhen Sie Ihre Netzwerk-Sicherheit
Auf die Hersteller können Sie derzeit leider nicht setzen – solange es keine verbindlichen Richtlinien gibt, gibt es für die Hersteller keinen Grund, etwas zu ändern. Sie jedoch können Ihre Netzwerk-Sicherheit immer optimieren, beispielsweise mit den folgenden Tipps:
Updates: Seien Sie schlauer als der Hersteller Ihres Routers. Wann immer ein Update herausgegeben wird, spielen Sie es zügig ein. Halten Sie die Firmware stets so aktuell wie möglich, vermeiden Sie es, dass Sicherheitslücken ausgenutzt werden können.
Router-Passwort: Vermeiden Sie es, einen Router zu erwerben, bei dem das Ändern des Passworts nicht möglich ist. Existiert ein voreingestelltes Passwort, ändern Sie dies bitte. Kombinieren Sie dafür mindestens acht Stellen aus Klein-, Großbuchstaben, Ziffern und – wenn möglich – Sonderzeichen.
WLAN-Passwort: Nicht nur Ihr Router, sondern auch Ihr WLAN ist normalerweise passwortgeschützt. Ändern Sie auch hier das voreingestellte Passwort. Idealerweise besteht dieses Passwort aus deutlich mehr als nur acht Zeichen, 20 sind empfehlenswert.
Netzwerkname: Wenn Ihr Router dies erlaubt, ändern Sie auch den Netzwerknamen. Verzichten Sie dabei darauf, Bezüge zu Ihrem Leben herzustellen, indem Sie Ihren Namen, Ihre Straße oder Ihren Wohnort, Herstellernamen oder gar Gerätetypen angeben.
WPS-Button: Es ist schon praktisch: Neue Netzwerkgeräte lassen sich per Knopfdruck (WiFi Protected Setup, WPS) drahtlos ins Netzwerk einbinden. Aber ist das auch sicher? Es empfiehlt sich, nach Einbinden aller Clients, den WPS-Button zu deaktivieren. So haben Sie die Kontrolle darüber, wenn sich neue Geräte im Netzwerk anmelden möchten.
Fernzugriff: Nahezu jeder moderne Router bietet die Möglichkeit, über einen beliebigen Browser aufs Web-Menü des Routers zuzugreifen. Tatsächlich kann dieser Fernzugriff Einfallstor für Cyberkriminelle werden. Wenn es um den Home-Router geht, auf den man ohnehin nur aus den heimischen vier Wänden zugreift, kann man diesen Fernzugriff deaktivieren. Möchten Sie auf den Fernzugriff nicht verzichten oder können Sie dies nicht, verbinden Sie sich unbedingt via HTTPS und/ oder VPN.
Gastzugänge: Die meisten Router verfügen über Gastzugänge: Kommen Gäste, können diese ihr Smartphone beispielsweise über diesen Gastzugang ins Heimnetzwerk einbinden. Nutzen Sie diese Möglichkeit! Denn: In aller Regel ist ein solcher Gastzugang vom Heimnetz getrennt. Gäste können also kostenfrei surfen, haben jedoch keinerlei Zugriffe auf die Geräte im Heimnetzwerk. Dass Sie für den Gästezugang eine von Ihrem Passwort abweichende Kennung einrichten, versteht sich von selbst. Einige Router erlauben es, den Gästezugang nach eingestellten Intervallen automatisch wieder zu deaktivieren.
WLAN in Abwesenheit: Sind Sie aufgrund eines Urlaubs oder einer Dienstreise eine Zeitlang nicht Zuhause, können Sie das WLAN am Router zwischenzeitlich deaktivieren. So verringern Sie in Abwesenheitszeiten die Angriffsfläche. Haben Sie jedoch Überwachungs- oder Smart Home-Geräte ins Netzwerk eingebunden, kann dieser Tipp zuweilen hinfällig sein.
WLAN bei Bedarf: Wer vorrangig kabelgebunden surft und beispielsweise nur abends drahtlos am TV beschäftigt ist, kann das WLAN auch entsprechend bedarfsweise nutzen. Die meisten Router erlauben Zeitschalt-Optionen: Sie könnten zwischen 24 und 18 Uhr Ihr WLAN deaktivieren und abends zum Fernsehen aktivieren.
MAC Filter: Richten Sie einen MAC Filter ein, um damit die Zugangsrechte zu Ihrem Netzwerk zu beschränken. Viele Hersteller bieten Anleitungen zum Festlegen der sogenannten Media-Access-Control-Adresse auf ihren Websites.
Funktionalitäten: Viele Router bringen etliche Funktionalitäten mit – Tools und Werkzeuge, die Sie nicht zwangsläufig alle benötigen. Deaktivieren Sie sämtliche Funktionen Ihres Routers, die Sie nicht benötigen. So verringern Sie die Angriffsfläche.
Wie ist das bei Ihnen: Für welchen Router haben Sie sich entschieden und warum? Tun Sie aktiv etwas für Ihre Netzwerksicherheit oder verlassen Sie sich auf die Hersteller? Haben Sie ergänzende Sicherheitstipps für unsere Leserinnen und Leser? – Kommen Sie mit uns ins Gespräch, wir freuen uns auf Ihre Kommentare!
Schutz für Wi-Fi-Netzwerke
Mithilfe eines WLANs können Sie Ihren Computer nahezu überall im Haus bequem nutzen und dennoch auf andere Computer im Netzwerk oder auf das Internet zugreifen. Wenn das WLAN jedoch nicht gesichert ist, bestehen hohe Risiken. So können Hacker beispielsweise:
Gesendete oder empfangene Daten abfangen
Auf Ihre freigegebenen Dateien zugreifen
Ihre Internetverbindung übernehmen und so Bandbreite oder Datenvolumen aufbrauchen
Tipps zur Internetsicherheit – damit Sie Ihr WLAN sicher nutzen können
Hier erfahren Sie, wie Sie mit ein paar einfachen Schritten WLAN und Router schützen können:
Risikofaktor Router – Tipps zum Absichern
Router bilden das Tor zwischen Internet und internem Netzwerk bzw. den dort betriebenen Geräten ab. Sicherheitsanbieter Avira hat eine aktuelle Avira Studie durchgeführt und schreibt, dass viele Deutsche das Risiko für smarte Geräte, verursacht durch mangelnde Router-Sicherheit, unterschätzen. Der Hersteller von Sicherheitsprodukten gibt Avira praktische Tipps im Hinblick auf die Router-Sicherheit.
Anzeige
Anzeige
Kurz vor Weihnachten – und möglicherweise auch auf Grund der Coronavirus-Pandemie – wurden in den vergangenen Monaten mehr smarte Gadgets denn je gekauft. Doch bei der Sicherheit hinken die Deutschen hinterher: Nur ein Drittel (34 Prozent) ergreifen Maßnahmen, um die Sicherheit des Routers zum Schutz ihrer smarten Geräte zu verbessern, und 32 Prozent verwenden einen Router mit eingebauter Sicherheits-Software. Zu diesem Ergebnis kommt eine von Avira in Auftrag gegebene Studie [1], die im September 2020 mittels einer Online-Umfrage in Deutschland, Frankreich, Italien und den Vereinigten Staaten durchgeführt wurde.
Des Weiteren zeigt die Studie, dass 24 Prozent der Befragten nicht glauben, dass smarte Geräte ein Sicherheitsrisiko darstellen, und sich 35 Prozent bezüglich einer potenziellen Bedrohung unsicher sind. Daraus lässt sich schließen, dass viele Nutzer smarter Geräte nicht wissen, welche Gefahren von diesen ausgehen können.
Der Router als Einfallstor für Malware
Da die Anzahl an smarten Geräten in den Haushalten stetig wächst, steigt die Anzahl an Gefahrenquellen. Denn die meisten vernetzten Geräte haben keine oder nur unzureichende Schutzfunktionen. Daher sind sie anfällig für Hacker- und Hijacking-Angriffe. Wird ein Gerät gehackt, können die Kriminellen auf andere Geräte wie den Laptop zugreifen und sensible Daten abfangen. Der Router stellt in der Regel das Einfallstor für Hacker dar. Denn alle vernetzen Geräte wie zum Beispiel Smart-TVs sind über den Router mit dem heimischen WLAN verbunden. Daher stellt Avira im Folgenden die sechs wichtigsten Sicherheitsmaßnahmen zum Schutz des Routers und somit des Heimnetzwerks vor.
Die 6 wichtigsten Schutzmaßnamen für Router
Die im Folgenden aufgeführten Einstellungen lassen sich im Router-Menü vornehmen. Um es aufzurufen, genügt die Eingabe der Standard-IP-Adresse des Routers – auch Default-Gateway genannt – in die Adresszeile des Browsers. Die Verwaltungsoberfläche einer Fritzbox lässt sich in der Regel über die Eingabe von „fritz.box" oder die Standard-IP „192.168.178.1" erreichen. Idealerweise sollte der Computer, mit dem auf den Router zugegriffen wird, mit einem Patchkabel mit dem Router verbunden sein. Weitere Infos zum Zugriff auf das Router-Menü finden sich auf den Support-Seiten der Hersteller oder im mitgelieferten Benutzerhandbuch. Dort lässt sich meist auch das Kürzel (z. B. fritz.box) finden, über das ein Zugriff auf das Menü ebenfalls möglich ist.
1. Router-Passwort, WLAN-Passwort und WLAN-Namen (SSID) ändern
Da die voreingestellten Standard-Passwörter leicht zu knacken sind, sollten eigene Passwörter vergeben werden. Das gilt sowohl für das Router-Passwort, mit dem man zum Menü des Routers gelangt, als auch für das WLAN-Passwort (auch WLAN-Schlüssel, WPA2-/WPA-/WEP-Schlüssel, Netzwerkschlüssel oder Netzwerkkennwort genannt). Der voreingestellte Netzwerkname bzw. WLAN-Name sollte ebenfalls geändert werden, da Hacker anhand diesen das Router-Modell leichter identifizieren und mögliche Sicherheitslücken ausnutzen können. Bei der Erstellung sicherer, komplexer Passwörter hilft ein Passwort-Manager.
2. Firewall aktivieren und nicht benötigte Funktionen deaktivieren
Die meisten Router verfügen über eine integrierte Firewall, die jedoch oft erst manuell aktiviert werden muss und regelmäßig aktualisiert werden sollte. Zudem sollten voreingestellte Funktionen, die nicht verwendet werden, deaktiviert werden, da jeder Dienst ein potenzielles Einfallstor für Angreifer darstellt.
3. WPA2-Verschlüsselung nutzen
Sofern möglich, sollte die derzeit sicherste WPA2-Verschlüsselungsstufe gewählt werden. Wenn diese vom Router nicht unterstützt wird, kann auf die nächstsicherste WPA+WPA2-Verschlüsselung zurückgegriffen werden.
4. Firmware regelmäßig updaten
Die Router-Firmware ist mit dem Betriebssystem eines Computers vergleichbar und sollte wie dieses regelmäßig aktualisiert werden. Denn Updates schließen nicht nur Sicherheitslücken, über die Cyber-Kriminelle Malware einschleusen können, sondern stellen meist auch neue oder verbesserte Funktionen zur Verfügung.
Anzeige
Anzeige
5. Ports überprüfen und unnötige schließen
Da Hacker häufig gezielt nach offenen Ports suchen, um über diese Malware einzuschleusen, sollten nicht benötigte offene Ports geschlossen werden. Beim Aufspüren dieser Ports kann ein Port-Scanner behilflich sein, der einen Sicherheits-Scan durchführt und anschließend alle Ports im Heimnetzwerk auflistet, die überprüft und gegebenenfalls geschlossen werden sollten. Im Router-Menü kann häufig eingesehen werden, welche Standard-Ports geöffnet bleiben müssen, damit eine Internet- und Telefonverbindung aufgebaut werden kann.
6. Gäste-WLAN einrichten
Mit der Einrichtung eines separaten WLAN-Zugangs mit eigener IP-Adresse und Kennung für Gäste kann nicht nur das Einschleusen von Malware über das Gerät eines Besuchers, der das heimische WLAN nutzt, verhindert werden. Auch smarte Haushaltsgeräte können mit diesem verbunden werden, sodass der Schaden im Falle eines Angriffs auf das Netzwerk minimiert wird.
Die obigen Maßnahmen sind zwar erfahrenen Nutzern alle bekannt. Es kann aber nicht schaden, die Punkte einfach mal wieder aufzuführen.
Der einfachste Weg, seinen Router zu schützen, besteht in der Verwendung eines Routers mit integrierter Sicherheits-Software. Er blockiert alle Angriffe auf das Heimnetzwerk, einschließlich Hijacking-, Phishing- und Spyware-Attacken, und bietet oft noch viele weitere nützliche Sicherheitsfunktionen.
Weitere Informationen zur Avira Studie sind hier abrufbar. Auf dem Avira Blog gibt es weiterführende Artikel zu den fünf gefährlichsten Amazon Alexa-Funktionen sowie zu Tipps rund um Smart-TVs.
[1] Diese quantitative Studie wurde von Opinion Matters im Auftrag von Avira im Rahmen einer Online-Umfrage durchgeführt, an der 2.000 Befragte, gruppiert nach Alter und Geschlecht ab 18 Jahren, in den folgenden Ländern teilnahmen: Deutschland, Frankreich, Italien und den USA. Die Umfrage wurde zwischen dem 2. und 15. September 2020 durchgeführt.
