Risikofaktor Router – Tipps zum Absichern

Router bilden das Tor zwischen Internet und internem Netzwerk bzw. den dort betriebenen Geräten ab. Sicherheitsanbieter Avira hat eine aktuelle Avira Studie durchgeführt und schreibt, dass viele Deutsche das Risiko für smarte Geräte, verursacht durch mangelnde Router-Sicherheit, unterschätzen. Der Hersteller von Sicherheitsprodukten gibt Avira praktische Tipps im Hinblick auf die Router-Sicherheit.

Kurz vor Weihnachten – und möglicherweise auch auf Grund der Coronavirus-Pandemie – wurden in den vergangenen Monaten mehr smarte Gadgets denn je gekauft. Doch bei der Sicherheit hinken die Deutschen hinterher: Nur ein Drittel (34 Prozent) ergreifen Maßnahmen, um die Sicherheit des Routers zum Schutz ihrer smarten Geräte zu verbessern, und 32 Prozent verwenden einen Router mit eingebauter Sicherheits-Software. Zu diesem Ergebnis kommt eine von Avira in Auftrag gegebene Studie [1], die im September 2020 mittels einer Online-Umfrage in Deutschland, Frankreich, Italien und den Vereinigten Staaten durchgeführt wurde.

Des Weiteren zeigt die Studie, dass 24 Prozent der Befragten nicht glauben, dass smarte Geräte ein Sicherheitsrisiko darstellen, und sich 35 Prozent bezüglich einer potenziellen Bedrohung unsicher sind. Daraus lässt sich schließen, dass viele Nutzer smarter Geräte nicht wissen, welche Gefahren von diesen ausgehen können.

Der Router als Einfallstor für Malware

Da die Anzahl an smarten Geräten in den Haushalten stetig wächst, steigt die Anzahl an Gefahrenquellen. Denn die meisten vernetzten Geräte haben keine oder nur unzureichende Schutzfunktionen. Daher sind sie anfällig für Hacker- und Hijacking-Angriffe. Wird ein Gerät gehackt, können die Kriminellen auf andere Geräte wie den Laptop zugreifen und sensible Daten abfangen. Der Router stellt in der Regel das Einfallstor für Hacker dar. Denn alle vernetzen Geräte wie zum Beispiel Smart-TVs sind über den Router mit dem heimischen WLAN verbunden. Daher stellt Avira im Folgenden die sechs wichtigsten Sicherheitsmaßnahmen zum Schutz des Routers und somit des Heimnetzwerks vor.

Die 6 wichtigsten Schutzmaßnamen für Router

Die im Folgenden aufgeführten Einstellungen lassen sich im Router-Menü vornehmen. Um es aufzurufen, genügt die Eingabe der Standard-IP-Adresse des Routers – auch Default-Gateway genannt – in die Adresszeile des Browsers. Die Verwaltungsoberfläche einer Fritzbox lässt sich in der Regel über die Eingabe von „fritz.box“ oder die Standard-IP „192.168.178.1“ erreichen. Idealerweise sollte der Computer, mit dem auf den Router zugegriffen wird, mit einem Patchkabel mit dem Router verbunden sein. Weitere Infos zum Zugriff auf das Router-Menü finden sich auf den Support-Seiten der Hersteller oder im mitgelieferten Benutzerhandbuch. Dort lässt sich meist auch das Kürzel (z. B. fritz.box) finden, über das ein Zugriff auf das Menü ebenfalls möglich ist.

1. Router-Passwort, WLAN-Passwort und WLAN-Namen (SSID) ändern

Da die voreingestellten Standard-Passwörter leicht zu knacken sind, sollten eigene Passwörter vergeben werden. Das gilt sowohl für das Router-Passwort, mit dem man zum Menü des Routers gelangt, als auch für das WLAN-Passwort (auch WLAN-Schlüssel, WPA2-/WPA-/WEP-Schlüssel, Netzwerkschlüssel oder Netzwerkkennwort genannt). Der voreingestellte Netzwerkname bzw. WLAN-Name sollte ebenfalls geändert werden, da Hacker anhand diesen das Router-Modell leichter identifizieren und mögliche Sicherheitslücken ausnutzen können. Bei der Erstellung sicherer, komplexer Passwörter hilft ein Passwort-Manager.

2. Firewall aktivieren und nicht benötigte Funktionen deaktivieren

Die meisten Router verfügen über eine integrierte Firewall, die jedoch oft erst manuell aktiviert werden muss und regelmäßig aktualisiert werden sollte. Zudem sollten voreingestellte Funktionen, die nicht verwendet werden, deaktiviert werden, da jeder Dienst ein potenzielles Einfallstor für Angreifer darstellt.

3. WPA2-Verschlüsselung nutzen

Sofern möglich, sollte die derzeit sicherste WPA2-Verschlüsselungsstufe gewählt werden. Wenn diese vom Router nicht unterstützt wird, kann auf die nächstsicherste WPA+WPA2-Verschlüsselung zurückgegriffen werden.

4. Firmware regelmäßig updaten

Die Router-Firmware ist mit dem Betriebssystem eines Computers vergleichbar und sollte wie dieses regelmäßig aktualisiert werden. Denn Updates schließen nicht nur Sicherheitslücken, über die Cyber-Kriminelle Malware einschleusen können, sondern stellen meist auch neue oder verbesserte Funktionen zur Verfügung.

5. Ports überprüfen und unnötige schließen

Da Hacker häufig gezielt nach offenen Ports suchen, um über diese Malware einzuschleusen, sollten nicht benötigte offene Ports geschlossen werden. Beim Aufspüren dieser Ports kann ein Port-Scanner behilflich sein, der einen Sicherheits-Scan durchführt und anschließend alle Ports im Heimnetzwerk auflistet, die überprüft und gegebenenfalls geschlossen werden sollten. Im Router-Menü kann häufig eingesehen werden, welche Standard-Ports geöffnet bleiben müssen, damit eine Internet- und Telefonverbindung aufgebaut werden kann.

6. Gäste-WLAN einrichten

Mit der Einrichtung eines separaten WLAN-Zugangs mit eigener IP-Adresse und Kennung für Gäste kann nicht nur das Einschleusen von Malware über das Gerät eines Besuchers, der das heimische WLAN nutzt, verhindert werden. Auch smarte Haushaltsgeräte können mit diesem verbunden werden, sodass der Schaden im Falle eines Angriffs auf das Netzwerk minimiert wird.

Die obigen Maßnahmen sind zwar erfahrenen Nutzern alle bekannt. Es kann aber nicht schaden, die Punkte einfach mal wieder aufzuführen.

Der einfachste Weg, seinen Router zu schützen, besteht in der Verwendung eines Routers mit integrierter Sicherheits-Software. Er blockiert alle Angriffe auf das Heimnetzwerk, einschließlich Hijacking-, Phishing- und Spyware-Attacken, und bietet oft noch viele weitere nützliche Sicherheitsfunktionen.

Weitere Informationen zur Avira Studie sind hier abrufbar. Auf dem Avira Blog gibt es weiterführende Artikel zu den fünf gefährlichsten Amazon Alexa-Funktionen sowie zu Tipps rund um Smart-TVs.

[1] Diese quantitative Studie wurde von Opinion Matters im Auftrag von Avira im Rahmen einer Online-Umfrage durchgeführt, an der 2.000 Befragte, gruppiert nach Alter und Geschlecht ab 18 Jahren, in den folgenden Ländern teilnahmen: Deutschland, Frankreich, Italien und den USA. Die Umfrage wurde zwischen dem 2. und 15. September 2020 durchgeführt.

Dieser Beitrag wurde unter Geräte, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

17 Antworten zu Risikofaktor Router – Tipps zum Absichern

  1. Dat Bundesferkel sagt:

    Hach ja, Empfehlungen von Avira auf Computer Blöd-Niveau. Wenn man schon empfiehlt „ungenutzte Ports“ zu schließen, sollte man auch unbedingt auf das völlig bescheuerte Feature UPNP hinweisen, welches jeder willigen Malware Tür und Tor öffnen kann.

    Das mit dem W-LAN Schlüssel ist auch nur ein wenig durchdachter Einzeiler von Avira. In der Theorie mag das mit dem komplexen und langen Paßwort ja alles gut und richtig sein, aber anscheinend hatten sie noch nicht mit vielen W-LAN Geräten zu tun. Oft wird nicht die max. spezifizierte Schlüssellänge von Endgeräten unterstützt, noch häufiger allerdings werden Sonderzeichen nicht akzeptiert. Und da darf man bei Verbindungsproblemen erst mal heraustüfteln, welches Gerät das betrifft (noch recht einfach) und in Erfahrung bringen, welche Sonderzeichen erlaubt werden.
    Der Klassiker sind ältere IP-Cams mit integriertem Webserver, aber auch ältere Spielekonsolen wie die Nintendo Wii.

    „Der einfachste Weg, seinen Router zu schützen, besteht in der Verwendung eines Routers mit integrierter Sicherheits-Software.“
    Der einfachste Weg? Ja. Der beste Weg? Mitnichten! Das hat Beides nichts auf einer gemeinsamen Plattform zu suchen und öffnet nur unnötig Sicherheitslücken, die dann für den Laien nicht ein mal überprüf- und beherrschbar sind.

    Über Hinweise zu Tunnelprotokollen (Teredo) liest man auch nichts.

    Avira… bleib‘ bei Deiner komischen AV-Software. Wenn ihr medial präsent und im Gedächtnis bleiben wollt, habe ich ’n tollen Tip: Einfach überzeugende, verläßliche und funktionierende Produkte auf den Markt werfen, die nicht nur mit false positives, deaktivierten Lizenzen und Werbespam auf sich aufmerksam machen. :)

    Das war mein Gegifte zum Sonntag. Kaffee. Schwarz. Heiß. Lecker. Jetzt!

    • micha45 sagt:

      So schauts aus, beide Daumen hoch, besser hätte man es nicht ausführen können.

    • mw sagt:

      FullACK!
      Ich war schon erwartungsvoll enttäuscht nach der Überschrift und das hat sich mal wieder bewahrheitet. Da wird von Router gesprochen und es ist ein AccessPoint gemeint. Der Zugangsrouter zum Internet hat kein WLAN und ist natürlich besonders gehärtet. Klar, Millionen beutzten diese All-in-One Plasteboxen, aber mit Sicherheit hat das absolut nichts tun. Und mit Avira Zeugs wirds nicht sicherer sondern unsicherer. Eine Schutz ist immer mehrstufig und mit heterogenen Geräten ausgerüstet, so daß sich ein Fehler nicht mehrfach ausnutzen läßt. Sorry aber das ist wirklich BILD Niveau und hat in diesem ansonsten qualitativ guten Blog wirklich nichts zu suchen.

  2. Henner sagt:

    Dazu eine Frage: einer befreundeten Familie war an ihrem O2-DSL-Zugang die Fritzbox ausgestiegen und sie haben jetzt die ursprünglich mitgelieferte O2 Homebox 6641 installiert. Die ist allerdings auf Firmware d14b. Aktuell soll wohl bei O2 d22b sein. Die kommt aber nicht. Wie lange nach dem Anschließen dauert es, bis ein automatisches Update vom Provider kommt? 24h, 48h, …? Lt. O2-Community können sich ältere Firmwares aber teilw. nicht automatisch aktualisieren. Ab/für welche Versionen das gilt, lässt sich nicht herausfinden, und manuelles Aktualisieren ist nicht vorgesehen. Die O2-Hotline war zu dem Thema so hilfreich wie die Zeitansage, die haben das gar nicht verstanden. Mehr als dass fehlende Updates kein Grund für einen Routertausch seien (ist auch nicht das Ziel!), wenn der Anschluss sonst funktioniert, und Fritzboxen ohnehin nicht empfohlen würden (läuft ja auch nicht mehr!), kam nicht. Da wurde ich dann gefragt… und muss es auch weiterreichen…

    • Nobody Private sagt:

      Wäre vielleicht ein Thema bei Heise (ct) für deren „Vorsicht Kunde“

    • woodpeaker sagt:

      Ich denke mal du solltest deine Frage hier stellen:
      https://www.ip-phone-forum.de/forums/

      Sonst kämen eine Menge Fragen auf dich zu und ich denke dafür ist Günters Blog nicht vorgesehen, bzw. ist nicht so Günters mainstream. ;-)

      Aber noch was grundsätzlich zu Providern. Da kocht jeder so sein Süppchen.
      Frag mal die Leute die einen „Fremdrouter“ an einen 1&1 Anschluß zu laufen bekommen möchten.

    • PattyG sagt:

      Die 1.00(AAJG.0)D14b ist meines Wissens die Firmware, mit der die O2 Homebox 6641 im Jahr 2014 ausgeliefert wurde. Habe hier auch noch eine herumliegen. Die lässt sich nicht mehr automatisch auf die D22 aktualisieren.
      Entweder die Homebox durch O2 tauschen lassen oder (besser!) einen alternativen Router neu kaufen.
      Die für die manuelle (!) Einrichtung eines alternativen Routers benötigten Zugangsdaten erhält man über den „Mein O2“ -> „Tarif & Optionen“ -> Reiter „Vertrag verwalten“ -> „Zugangsdaten für Ihren DSL Router“.
      Aktuelle FritzBoxen laufen normalerweise problemlos am O2-Anschluss.

  3. 1ST1 sagt:

    Eigentlich ist WPA3 aktuell, WPA2 ist inzwischen teilweise knackbar. Außerdem sollte man UPNP abschalten, denn damit kann sich ein Programm weitere Rechte auf dem Router schaffen. Man sollte den Router vor allem nicht nur von innen, sondern vor allem von Draußen scannen lassen, Heise.de bietet diesen Service an.

    Das mit der Passwortkomplexität ist tatsächlich ein Problem. Unseren 1 Jahr alten VW habe ich in mein Heimnetz und ans Handy angebunden, wegen der Navigation und wegen Firmware/kartenupdates etc. Der kann nur alphanummerische Passwörter bis 8 Zeichen, mehr geht nicht. Ich musste extra fürs Heimnetz einen alten Accesspoint hervorkramen und auf dem ein eigenes WLAN aufspannen, mit simplem Passwort. Dafür habe ich dann aber Mac-Adress-Filtering eingeschaltet, so dass nur der VW das nutzen kann. Ok, ist auch fälschbar, aber man muss das erstmal rausbekommen.

    • ralf sagt:

      wobei WPA3 aber auch schon angreifbar ist („dragonblood“).

      ergaenzend:
      daneben wurde auch versaeumt, auf die sicherheitsproblematik von WPS einzugehen (sollte man, sofern moeglich, deaktivieren).

  4. Anonymous sagt:

    pfsense und OpenWRT. Nachhaltig da die Hardware mehr als nur zwei Jahre einsetzbar ist. Sicher da ich auch nach zwei Jahren noch Updates bekomme. Keine Abokosten und damit plötzlich ablaufende Sicherheit. Im Falle eines Defektes spiele ich einfach die alte Konfiguration ein und habe innerhalb von Minuten alles wieder einsatzbereit. Sorry aber sicher werde ich sowas nicht durch einen proprietären Kram ablösen. Wenn überhaupt heißt es für mich mehr OpenSource nicht weniger! Zudem muss gerade im Blick auf IPv6 jedes Gerät sicher sein muss und nicht nur der Router. Diese alte ein Gerät sichert das ganze Netzwerk Doktrin ist einfach veraltet und Mist. Eine Kette ist nur so stark wie ihr schwächstes Glied.

    • Some-Joe sagt:

      pfsense hat mit dem aktuellen Update aber auch 8-9 Monate gebraucht… das ist bei Sicherheits Fixes eher weniger prikelnd. Gut, immer hin liefern sie Updates.

      • Anonymous sagt:

        Da muss ich leider zustimmen, sie scheinen aber aktuell bei pfsense wieder in Fahrt zu kommen. Man könnte auch zu OPNsense wechseln :) Da läuft das eine oder andere aber noch nicht so ganz so wie ich es gerne hätte. Tatsächlich ist dieser Umstieg trotzdem auf lange Sicht für mich geplant. Ich sehe die Aufteilung in Community und Bezahlversion bei pfsense gerade auch eher etwas kritisch. Aber das wird die Zukunft zeigen wie sich das so entwickelt. IT ist halt stetiger Wandel.

  5. Anonymous sagt:

    Wird dann sicher auch wieder nur mit Aufbrechen der SSL-Verbindungen und irgendeinem global gültigem Zertifikat funktionieren. So wie ich Avira kenne ist das Zertifikat dann für alle Router gleich und einfach extrahierbar ;)

    Die Diskussion hatte ich schon mit meinem Chef der meinte man müsste unbedingt die Verbindungen aufbrechen um die Mitarbeiter auszuspionieren…

    Ich mache sowas nicht weil ich ansonsten ab dann jede Verbindung ins Intenet als kompromittiert ansehen müsste. Leider ist das Aufbrechen der SSL-Verbindung aber recht weit verbreitet. Aber dann über die Great Firewall in China schimfen :)

  6. Hardy sagt:

    Den WLAN Zugriff durch Eintrag der Mac Adressen, der im Netzwerk befindlichen Geräte zu begrenzen, ist doch auch in vielen Routern möglich. Ist das nicht auch eine weitere Möglichkeit sein Internet, bzw. sein Netzwerk zu schützen, von den oben genannten Möglichkeiten natürlich abgesehen, bei den Namen der Router?
    Ist manchmal etwas nervig, denn mein alter Speedport 724 sperrte manchmal das Gerät wieder aus, nachdem ich das Internet wieder unsichtbar machte, sogar hatte ich Geräte, die sich weigerten danach wieder mit dem Internet zu verbinden, was mir letztens mit dem „super UHD TV Stick“ von Amazon passierte. Ob die Unsichtbarkeit wirklich ein plus an Sicherheit ist, aber ich fühle mich damit sicherer?

  7. Micha sagt:

    Zum Thema Updates kann ich nur sagen das die Hersteller es teilweise nicht hinkriegen vorhandene Updates für Europa zu lokalisieren.

    Ein gutes Beispiel dafür ist mein Huawei B818-263. Es handelt sich um ein nicht gebrandetes Gerät. Ich wollte eigentlich nur in Erfahrung bringen weshalb VoLTE nicht im Web UI als Funktion angezeigt wird. Telefonieren über das 3G Netz von O2 funktioniert einwandfrei. Laut O2 Seite ist es mit allen Verträgen möglich VoLTE zu nutzen.

    Dabei habe ich festgestellt das die Firmware auf dem Router von Ende 2019 stammt. Eine neuere Version gibt es für Europa nicht. Gekauft wurde der Router ende 2020.

    Nach einer weiteren Suche im Internet stellt ich fest das es neuere Firmware für den Router gibt. Eine Anfrage beim Technischen Support von Huawei ergab dann das neue Firmware eventuell mit einer größeren Verzögerung für Europa freigegeben wird.

    Zur eigentlichen Frage weshalb VoLTE in der aktuellen Router Firmware deaktiviert ist gibt es bis jetzt leider keine Antwort.

    Da bis zum ende des Jahres 2021 das 3G Netz von O2 abgeschaltet wird habe ich erwartet das VoLTE in der Router Firmware aktiviert ist.

    • Anonymous sagt:

      Ich kann nur aus eigener Erfahrung sprechen, aber im o2 Netz nutze ich kein VoLTE weil das imemr wieder dazu führt das Gespräche nicht angenommen werden können oder ständig abbrechen. Öft hört man mich auch einfach nicht. Liegt warscheinlich an der völlig überlasteten Zelle hier, denn die bringt oft keine 64Kbit! Ich freu mich auch schon auf die Steinzeit wenn dann 3G abgeschalten wird aber 5G noch nicht verfügbar sein wird :(

      Ich verstehe einfach nicht warum wir ins Deutschland so hoffnungslos rückständig sind was neue Technologien angeht. Aber Hauptsache Milliarden in der dreckigen Automobilindustrie versenken die uns vorher so schön verarscht hat.

      • Micha sagt:

        Meine verwendete Zelle ist Völlig in Ordnung. Wenn Band 1 (2100MHz) und Band 20 (800MHz) aggregiert wird erreiche ich zwischen 150 und 170 Mbit/s Download und 38 Mbit/s Upload.

        Die Update Politik von Huawei gefällt mir aber gar nicht. Es kann doch nicht sein das ein relativ teures (rund 180€) modernes Gerät nach einem Jahr erste Funktionen verliert weil niemand willens ist die Firmware zu aktualisieren. Der verwendete Balong Chipsatz unterstützt VoLTE.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert