Weltweiter Angriff auf Router: Ist die Fritzbox sicher?
Dem weltweiten Angriff auf DSL-Router, der hunderttausende Speedport-Geräte der Telekom lahmlegte, werden wahrscheinlich weitere folgen. Viele Fritzbox-Nutzer fragen sich daher: Ist mein Router sicher? n-tv.de hat nachgefragt.
Nicht nur Computer sind heutzutage Angriffsziele von Hackern, schon längst haben diese das sogenannte Internet der Dinge für sich entdeckt. Mit Millionen vernetzten Geräten vom Thermostat über das Garagentor bis zum Babyfon ist es für die Cybergangster ein Schlaraffenland, weil der Schutz oft vernachlässigt oder sogar komplett weggelassen wird. Besonders attraktiv sind für sie natürlich auch Router, über die all die vernetzten Geräte Verbindung zum Internet haben. Sehen die Kriminellen eine Möglichkeit, die Schaltzentralen zu übernehmen, schlagen sie zu.
Beim Großangriff, der rund 900.000 Speedport-Router der Deutschen Telekom lahmlegte, sahen sie ein Einfallstor über den Port 7547, den Hersteller und Provider (Internetanbieter) für Wartung und Updates nutzen. Theoretisch ist so ein Angriff auch bei den in Deutschland weit verbreiteten Fritzboxen möglich. Schließlich waren die Berliner 2014 Ziel eines Angriffs auf den Fernzugriffs-Port. Müssen sich Besitzer eines dieser Router-Modelle also Sorgen machen? n-tv.de hat beim Hersteller AVM nachgefragt.
Fehler in Programmierung der Speedport-Geräte
"Fritzbox-Modelle sind von den Angriffen nicht betroffen", teilte die Pressesprecherin mit, weil AVM auf ein weitreichendes Sicherheitskonzept setze. Dazu zählten unter anderem die Einhaltung von Standards, regelmäßige externe und interne Tests, regelmäßige Updates und die Beobachtung von weltweiten Sicherheitsthemen.
Ein Angriff über den Port 7547, wie es im Falle der Speedport-Router versucht wurde, würde von der Fritzbox grundsätzlich abgewiesen, erklärt die Pressesprecherin. Nur ein Provider könne dem Gerät einen Verbindungswunsch mitteilen. Andere Funktionen seien über diesen Port nicht erreichbar.
Bei den betroffenen Speedport-Router war der Port dagegen auch für andere Anfragen aus dem Internet offen. Die Angreifer nutzten dabei einen Fehler in der Software des Routers, der schon länger bekannt war. "Heise Online" berichtet, die Sicherheitslücke sei bereits am 7. November in DSL-Routern des irischen Providers Eir entdeckt worden. Die Telekom hätte wahrscheinlich viel früher etwas unternehmen können, um ihre Kunden zu schützen.
Nutzer müssen mitspielen
Selbst wenn AVM keine Fehler macht und seine Router immer auf dem neuesten Stand hält, sind die Fritzboxen aber nur dann wirklich sicher, wenn auch die Nutzer mitspielen. Sie müssen starke Passwörter verwenden und Updates installieren beziehungsweise die Aktualisierung dem Hersteller überlassen. Bei der Fernzugriffs-Lücke im Jahr 2014 beispielsweise haben viele Fritzbox-Besitzer viel zu spät reagiert und das schnell zur Verfügung gestellte Update erst nach Wochen oder gar Monaten installiert. Ähnlich verhielt es sich bei einem wichtigen Sicherheitsupdate Anfang dieses Jahres.
Um keine Aktualisierung zu verpassen, nutzt man bei Fritzboxen am besten die automatische Update-Funktion. Dazu öffnet man die Benutzeroberfläche des Routers, indem man in die Adresszeile des Browsers fritz.box eingibt. Unter System - Update - Auto-Update bietet AVM drei Möglichkeiten an: Man kann alle verfügbaren Aktualisierungen oder nur sicherheitsrelevante Updates automatisch installieren lassen. Außerdem gibt's die Option, sich nur über neue Fritz-OS-Versionen informieren zu lassen und dann die Aktualisierung manuell vorzunehmen.
So schützen Sie Ihren Router vor Hacker-Attacken
Dummerweise kann diese Funktion aber auch gegen Sie verwendet werden, weil per UPnP auch die Konfiguration des Routers verändert werden kann.
Das geschieht auch regelmäßig, beispielsweise bei Netzwerkdruckern, die sich Druckaufträge auch via Internet schicken lassen wollen. Das Problem: Manchmal öffnen solche Anwendungen Zugänge, über die sich auch Fremde ins Netz einschleichen könnten. Eine weitere Möglichkeit ist Schadsoftware, die von einem infizierten Gerät aus den Router so weit für sich öffnet, dass sie etwa weitere Schadsoftware nachladen oder sich selbst von dort aus verbreiten kann.
Deshalb gilt: Schalten Sie UPnP im Router ab, wenn Sie es nicht unbedingt brauchen.
Für Hacker verlockend: der Fernzugriff
Auf viele Router kann per Browser oder App auch aus der Ferne zugegriffen werden. Bei den beliebten FritzBox-Routern von AVM heißt die entsprechende Funktion beispielsweise "MyFritz", andere Hersteller geben solchen Diensten andere Namen. Generell aber gilt: Alle Funktionen, die einen Fernzugriff ermöglichen, die das Wort "Remote" im Titel tragen, können potenziell gefährlich sein. Egal wie gut sie gesichert sein mögen, bieten sie Hackern doch zumindest eine Angriffsfläche.
Und mal ehrlich: Wann müssen Sie denn wirklich von unterwegs auf Ihren Heimrouter zugreifen? Deshalb gilt auch hier: Abschalten!
Kein Update verpassen
Nicht immer sind es Fehlkonfigurationen oder Anwenderfehler, die Kriminellen die Tür zum Router öffnen. Sie nutzen aber ständig Sicherheitslücken in der Routersoftware aus. Doch meist werden solche Lücken von den Herstellern gestopft, sobald diese davon erfahren. Deshalb sollte man mit seinem Router kein Update verpassen.
Manche Geräte bieten eine automatische Update-Funktion. So sucht das Gerät selbst regelmäßig nach neuer Betriebssoftware. Ist eine solche Funktion nicht vorhanden, sollte man sich angewöhnen, regelmäßig selbst auf den Seiten des Herstellers danach zu suchen. Ein sich wiederholender Eintrag im Kalender, etwa wöchentlich oder 14-tägig, hilft, diese Routine nicht zu vergessen.
Stellt man fest, dass es schon über einen längeren Zeitraum, womöglich Jahre, keine solchen Updates mehr gegeben hat, sollte man sich informieren, ob für das fragliche Routermodell Sicherheitslücken bekannt sind, die der Hersteller nicht mehr geschlossen hat. Im Zweifel ist es dann ratsam, auf ein neueres Modell umzusteigen.
WLAN-Sicherheit: So schützt Du Dein Heimnetzwerk optimal
Du weißt nicht, ob Dein Heimnetzwerk ausreichend vor fremdem Zugriff geschützt ist? Dann haben wir hier die wichtigsten Tipps zur WLAN-Sicherheit für Dich.
Ein Funknetz (WLAN) bietet Hacker:innen mehr Angriffsfläche als ein kabelgebundenes Netzwerk (LAN). Denn beim Funknetzwerk muss keine physikalische Leitung angezapft werden – die Daten sind innerhalb des WLAN-Sendebereichs grundsätzlich „für alle” sichtbar.
Auch wenn der Router, welchen Du von uns erhältst, im Auslieferungszustand bereits eine mit WPA2 abgesicherte WLAN-Verbindung eingestellt hat, solltest Du einige Dinge beachten, um unberechtigten Zugang zu Deinem Heimnetz zu verhindern. Wir geben Dir hier deshalb einige Tipps zur WLAN-Sicherheit mit auf den Weg.
WEP, WPA, WPA2 oder WPA3: Welche Verschlüsselungsmethode ist die beste?
„WPA2” (Wi-Fi Protected Access, Version 2) ist der aktuell am häufigsten genutzte und unterstützte Sicherheitsstandard. Inzwischen gibt es sogar „WPA3”, das ist die modernste Verschlüsselungsmethode, welche von vielen Routern und Geräten unterstützt wird. Aber leider noch nicht von allen.
Wähle nach Möglichkeit immer die neueste Verschlüsselungsmethode für Deinen Router. Falls manche Geräte damit Probleme haben, prüfe, ob ein Update möglich ist oder setze die Einstellung wieder auf WPA2 zurück.
Ältere Verschlüsselungsmethoden wie „WEP” und „WPA” gelten heute nicht mehr als sicher und sollten nicht mehr genutzt werden.
Im oben stehenden Video erklärt Dir unser WLAN-Experte Patryk noch einmal die wichtigsten WLAN-Begriffe. Möchtest Du wissen, wie Du mehr aus Deinem Heimnetz herausholst, empfehlen wir Dir diesen Beitrag. Dort hat Patryk ein paar Tipps für Dich, wie Du Dein WLAN optimieren kannst.
Warum sollte ich das voreingestellte WLAN-Kennwort ändern?
Das voreingestellte WLAN-Kennwort stellt sicher, dass Dein Heimnetzwerk vom ersten Moment an geschützt ist. Jeder mit Zugang zu Deinem Router kann sich anhand dieses Passworts mit Deinem WLAN verbinden. Möchtest Du das verhindern, ändere das Kennwort über die Benutzeroberfläche Deines Routers. Wie das geht, erfährst Du übrigens in unseren Geräteanleitungen.
Dabei ist ein sicheres WLAN-Kennwort (oder auch „WLAN-Schlüssel”) wichtig: Achte darauf, dass Du keine naheliegenden (also leicht zu erratenden) Begriffe als Passwort wählst. Optimal sind möglichst zufällige Kombinationen aus Buchstaben, Zahlen und Sonderzeichen. Je länger das Kennwort ist, desto besser. Vermeide dasselbe Passwort für unterschiedliche Internetdienste zu verwenden.
Tipp: Nutze zur Erstellung und Verwaltung Deiner Kennwörter am besten einen Passwort-Manager. Dazu findest Du in diesem Beitrag mehr Infos. Oder Du schaust hier einmal nach, wie Du ein sicheres Passwort erstellst.
WLAN-Sicherheit: Die SSID ändern und die Frage nach der Sichtbarkeit
Außerdem solltest Du den voreingestellten Namen Deines WLANs (Deine WLAN-Kennung oder „SSID” (Service Set Identifier)) ändern. Dabei kannst Du gerne kreativ werden, wie unser separater Beitrag hierzu verrät.
Den Namen Deines WLANs (SSID) auszublenden hingegen bietet keinen wirklichen, zusätzlichen Schutz: Ist dieser für die Umgebung „nicht sichtbar”, senden insbesondere Windows-Rechner sogenannte Broadcast-Anfragen an alle WLANs, die sie bislang „kennen”. Diese Anfragen sind unverschlüsselt, sodass ein Angreifer die SSID auf diesem Wege relativ problemlos herausfinden könnte.
Noch problematischer ist allerdings, dass Hacker:innen Dein Windows-Gerät bei abgeschalteter SSID im Router mit einem eigenen, bösartigen WLAN verbinden könnte. Also solltest Du die SSID besser weiterhin nicht ausblenden.
Halte Deine Geräte auf dem Laufenden
Wichtig beim Thema WLAN-Sicherheit ist zudem, dass Du immer darauf achtest, dass die Router-Software – auch Firmware – genannt auf dem aktuellen Stand ist. Vodafone-Router führen Updates automatisch durch. Hier musst Du also nichts machen.
Hast Du einen eigenen Router oder eine DSL FRITZ!Box: Prüfe regelmäßig, ob Updates zur Verfügung stehen. Schau in den Einstellungen nach, ob die Möglichkeit besteht, automatische Updates zu installieren. Sie sind nicht nur beim Router wichtig, sondern auch bei Deinen anderen WLAN-Geräten wie Smartphone und Tablet. Schau also bei Deinen Geräten, dass Du immer up-to-date bist.
Richte ein sicheres Gast-WLAN ein
Du bekommst häufig Besuch und Deine Freund:innen sollen Dein WLAN mitnutzen können? Dann richte am besten ein sicheres Gast-WLAN ein. Dieses ist von Deinem privaten Heimnetz getrennt, so dass Dein Besuch ins Internet kann, aber keinen Zugriff auf andere Geräte und Daten in Deinem Heimnetz hat.
Das Gast-WLAN sicherst Du ähnlich stark ab, wie Du das auch mit Deinem „normalen” Zugang tust und verrätst die Zugangsdaten nur Deinen Freund:innen. Deine eigenen Zugangsdaten hältst Du geheim. Ändere in regelmäßigen Abständen das Kennwort Deines Gast-WLANs.
Übrigens: Viele Smartphones, Tablets und andere WLAN-Geräte ermöglichen es Dir oder Deinem Besuch, das WLAN-Kennwort komfortabel zu teilen. Auch aus diesem Grund ist es ratsam, ein separates Gast-WLAN einzurichten, damit Du die Kontrolle behältst, wer Zugang zu Deinem Heimnetz hat.
Exkurs: sichere WLAN-Nutzung an öffentlichen Hotspots
Grundsätzlich gilt: Sei beim Surfen an öffentlichen WLAN-Hotspots noch vorsichtiger. Schon deshalb, weil viele öffentliche Hotspots unverschlüsselt sind. Das sind die WLANs, in die Du ohne Eingabe eines Passworts reinkommst. Die Übertragung der Daten wird in solchen WLAN-Netzen nicht verschlüsselt.
Unsere Empfehlung für Dich: Versende an öffentlichen Hotspots im Zweifel keine sensiblen Daten wie beim Online-Banking oder E-Mails schreiben, denn diese Daten können von Hacker:innen potenziell ausgespäht werden.
Achte bei der Nutzung von Internetdiensten darauf, dass eine per SSL verschlüsselte Internetverbindung verwendet wird. Dies erkennst Du daran, dass die URL mit „HTTPS://” beginnt. Viele Browser zeigen dies auch anhand eines Schloss-Symbols an. Oder sorge selber für eine sichere Datenübertragung, in dem Du eine verschlüsselte VPN-Verbindung nutzt.
An anderer Stelle erfährst Du bei uns, wie Du möglicherweise schlechten WLAN-Empfang verbessern kannst.
Wie schützt Du Dein Heimnetzwerk? Hast Du noch mehr Tipps zur WLAN-Sicherheit? Verrate es uns in den Kommentaren!
