Bereits Kunde? Jetzt einloggen.
Lesezeit ca. 8 Min.

HEIMNETZ ABSICHERN: So schützen Sie alle Geräte im Heimnetz


Chip - epaper ⋅ Ausgabe 5/2019 vom 05.04.2019

Cybergangster haben mitRoutern und IoT-Geräten neue Ziele ausgemacht. Leider schützen offizielle Firmware-Updates nur bedingt. Doch Sie selbst können für mehr Sicherheit sorgen


Angriffspunkte für Hacker gibt es viele: Bis Ende des Jahres sollen hierzulande rund 90 Millionen Geräte im sogenannten Internet of Things (IoT) im Einsatz sein (s. Statistik rechts). Längst nicht jeder dieser IoTClients ist gegen Attacken gut abgesichert. Auf Hackermessen zeigen Profis immer wieder, wie unsicher die Geräte sind, und es trifft nicht immer Equipment von unerfahrenen Entwicklerklitschen. Gerade erst hat die ...

Weiterlesen
epaper-Einzelheft 3,99€
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von Chip. Alle Rechte vorbehalten.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 5/2019 von TREND: MAILBOX. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
TREND: MAILBOX
Titelbild der Ausgabe 5/2019 von DSGVO: Europas Mühe mit dem Datenschutz. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
DSGVO: Europas Mühe mit dem Datenschutz
Titelbild der Ausgabe 5/2019 von PLAGIATE: Seins oder nicht seins?. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
PLAGIATE: Seins oder nicht seins?
Titelbild der Ausgabe 5/2019 von E-VOTING: Kein Update für die Demokratie. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
E-VOTING: Kein Update für die Demokratie
Titelbild der Ausgabe 5/2019 von TITEL: SICHERHEIT: Browser-Sicherheit und Datenschutz. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
TITEL: SICHERHEIT: Browser-Sicherheit und Datenschutz
Titelbild der Ausgabe 5/2019 von NETZPOLITIK: Wie die EU ihr eigenes Internet bastelt. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
NETZPOLITIK: Wie die EU ihr eigenes Internet bastelt
Vorheriger Artikel
LEXIKON: Kraftwerk für Smartphones
aus dieser Ausgabe
Nächster Artikel FOTOGRAFIEREN: Die Fototricks der neuen Handykameras
aus dieser Ausgabe

... SecurityFirma BullGuard gezeigt, wie man Amazons Türkamera Ring abhören kann. Für den User bedeutet das: Nur wer selbst nachhilft, ist wirklich gegen Angriffe abgesichert. Wir zeigen, wie Sie die Hauptschnittstelle ins Web, Ihren Router, schützen. Ist diese Verbindung sicher, haben auch die Geräte im Heimnetz nichts zu befürchten. Außerdem haben wir zusammen mit der renommierten VirenschutzTestfirma AVTest eine Übersicht mit den sichersten IoTGeräten zusammengestellt, die von sich aus bereits einen guten Schutz bieten.

Heimnetzrouter absichern

Viele Anwender denken bei Angriffen aus dem Internet nicht an ihren Router – obwohl er recht stark gefährdet ist. Gerade die Standardeinstellungen, mit denen viele Geräte ausgeliefert werden, bieten reichlich Angriffsflächen für Hacker. Daher gilt die Netzwerkschnittstelle vom Heimnetz ins Internet schon lange als Schwachstelle. Die meisten aktiven Router sind älteren Jahrgangs und fristen ein updatefreies und damit riskantes Leben.

Der erste Schritt zu einem sicheren Heimnetz beginnt daher mit einer Überprüfung des Routers: Ermitteln Sie mit dem RouterChecker von FSecure (www.f-secure.com/de_DE/web/home_ de/router-checker ), ob Ihr Gerät bereits infiziert worden ist. Finden Sie Auffälligkeiten, etwa eine DNSUmleitung, wird es Zeit für einen radikalen Schritt: Setzen Sie das Gerät zurück in den Auslieferungszustand. Damit sind zwar alle Einstellungen gelöscht, vorhandene Malware aber auch. An den meisten Routern finden Sie auf der Rückseite ein kleines Loch, in dem ein ResetKnopf versteckt ist. Drücken Sie diesen mit einer aufgebogenen Büroklammer für mehrere Sekunden. Falls Sie keinen Knopf finden, suchen Sie in der Anleitung Ihres Gerätes nach der richtigen Vorgehensweise für einen hardwareseitigen Reset.

Zusätzlichen Angriffsschutz aktivieren

Wenn Sie sicher sind, dass Ihr Netzwerkrouter virenfrei ist, geht es an die Absicherung gegen neue Angriffe. Als Erstes vergeben Sie an den Router ein neues Zugangskennwort. Zwar verteilen die Hersteller mittlerweile auch pro Gerät unterschiedliche Standardvarianten, doch in manchen Fällen lässt sich das vom Hersteller zugewiesene Passwort errechnen. Bei der FritzBox ändern Sie den Standardschutz, indem Sie die Konfigurationsseite im Browser über „fritz.box“ aufrufen und dort auf »System | Fritz!BoxBenutzer « drücken. Wählen Sie dann den Reiter »Anmeldung im Heimnetz« und ändern Sie unter »Anmeldung mit dem Fritz!BoxKennwort « die Zugangsdaten. In diesem Fenster haben Sie außerdem die Möglichkeit, Änderungen am System zu erschweren, indem Sie zwangsweise die Eingabe eines zweiten Passwortfaktors (2FA) einfordern. Klicken Sie zur Einrichtung auf »Bestätigung über Google Authenticator App aktivieren« und schließen Sie den Vorgang mit »Übernehmen« ab. Nun richten Sie unter »System | Fritz!BoxBenutzer | Benutzer« und »Benutzer hinzufügen« einen Account mit 2FASchutz ein. Als Letztes legen Sie fest, dass Änderungen am Router nur mittels des 2FASchutzes möglich sind. Gehen Sie dazu in das Menü »System | Tasten und LEDs« und setzen Sie dort einen Haken vor »Tastensperre aktiv«.

Router in den Tarnmodus versetzen

Normalerweise führen Angreifer zunächst massenhafte IPScans durch, um herauszufinden, ob ein Router antwortet. Daher sollte Ihr Router möglichst unauffällig im Internet unterwegs sein – und Sie sollten ihn auf mögliche offene Ports prüfen. Um dazu die richtigen Einstellungen vorzunehmen, wählen Sie im FritzBoxMenü die »Erweitere Ansicht« oben rechts bei den drei Punkten. Danach navigieren Sie zu »Internet | Filter | Listen« und aktivieren »Firewall im StealthModus «. Bei anderen Routermodellen heißt dieser Modus oft »ICMPFilter «. Um zu prüfen, welche Dienste und Ports noch aktiv sind, können Sie bei der FritzBox die Option »Diagnose | Sicherheit« starten. Bei Modellen anderer Hersteller hilft die Seitewww.dnstools.ch/port-scanner.html beim Portcheck.

Profi-Funktionen einbinden

Ein handelsüblicher Router kann zwar eine Verbindung ins Web aufbauen und eine WLANVerbindung bereitstellen, tiefgreifende Konfigurationsmöglichkeiten, wie Sie Experten erwarten, bietet er aber nicht an. Doch es gibt Abhilfe: Mit einer alternativen Firmware können Sie die Einstellmöglichkeiten Ihres Gerätes ausreizen. Dazu benötigen Sie ein Gerät, auf dem Sie die Firmware DDWRT aufspielen können. Diese bietet viel mehr Optionen, als der Routerhersteller Ihnen eigentlich zugestehen will, darunter einen VPNTunnel, virtuelle WLANNetze sowie gezielte Portfreigaben und sperren.

Die passende Version für Ihren Router finden Sie auf der Seitewww.dd-wrt.com . Allein für alle FritzBoxUser gibt es eine schlechte Nachricht, denn die Modelle von AVM unterstützen derzeit keine einzige DDWRTVariante. In diesem Fall sollten Sie alternativ einen dedizierten Sicherheitsrouter nutzen, der das Heimnetz um die passenden Sicherheitsfunktionen ergänzt (siehe unten). Die Installation von DDWRT ist einsteigergerecht, denn sie nutzt die FimwareUpdateFunktion des Routers. Nach einem Neustart müssen Sie nur ein paar grundlegende Einstellungen vornehmen, etwa die Sprache auf Deutsch umstellen. Das können Sie unter »Administration | Management | Language« erledigen. Außerdem sollten Sie unter »WLAN | WLANSicherheit « noch ein Kennwort für das WLAN festlegen.

Virtuelle WLANs und Firewall konfigurieren

Um InternetofThingsGeräte (IoT) gegen Angriffe abzusichern, weisen Sie den Clients möglichst eigene Funknetze zu. So verbinden Sie beispielsweise den NASMediaserver und das SmartTV in einem Multimedianetz ohne Zugriff auf das Internet. Bei DDWRT können Sie das im Menü »WLAN | BasisEinstellungen « durchführen. Unter »Virtuelle Schnittstellen« legen Sie mit »Hinzufügen« ein neues Funknetz an. Alternativ entziehen Sie einzelnen Geräten die Interneterlaubnis. Dies stellen Sie unter dem Reiter »Zugriffsbeschränkung« ein. Außerdem können Sie mit DDWRT Ihren Router zu einer umfangreichen Firewall ausbauen, allerdings ist die Vorgehensweise nicht ganz trivial. Eine genaue SchrittfürSchrittAnleitung dazu finden Sie hier:http://bit.ly/Heimnetz-fuer-Profis .

Sicherheitsrouter nutzen

Noch mehr Sicherheit als das DDWRTModell bietet ein darauf spezialisierter Router. Wir empfehlen die Bitdefender Box 2, auf welcher der CHIP VirenschutzTestsieger läuft (lesen Sie dazu CHIP 04/2019, S. 60). Die knapp 180 Euro teure Box klemmt sich zwischen Heimrouter und Internet, überwacht in Echtzeit den Datenstrom und warnt vor Attacken im Heimnetz. Leider ist die Einrichtung der Box nicht trivial.

Richtige Installationsvariante wählen

Laden Sie zuerst die CentralApp von Bitdefender aus dem AppStore auf Ihr Smartphone. Danach schließen Sie die Box an und verbinden Ihr Handy mit dem WLANNetzwerk »Bitdefender Box«. Öffnen Sie nun die CentralApp und klicken Sie auf das Pluszeichen. Jetzt wählen Sie »Bitdefender Box einrichten« und folgen den Anweisungen. Spannend wird es bei der nächsten Auswahl, denn aus der App allein ist nicht ersichtlich, welche Option auf Ihr Heimnetz passt. Bei der ersten Möglichkeit baut die Box ein neues WLAN auf. In dem Fall müssen Sie auf dem Heimrouter das vorhandene Funknetz deaktivieren. Dieses Prozedere hat nur Sinn, wenn am Router keine Geräte per Kabel angeschlossen sind, denn diese sichert die Bitdefender Box so nicht ab. Die zweite Möglichkeit passt oft besser: Hier schaltet sich die Bitdefender Box zwischen das DSLModem und den Heimrouter. Der komplette Netzwerktraffic ist damit geschützt. FritzBoxUser haben hier ein Problem, wenn die FritzBox gleichzeitig als DSLModem fungiert. Eine Konstellation, bei der die FritzBox die DSLVerbindung herstellt und gleichzeitig die Netzwerkaufsicht der Bitdefender Box überträgt, ist nicht möglich. Wenn Sie die FritzBox trotzdem absichern wollen, lassen sie diese nur als Heimnetzzentrale laufen und gehen mit einem externen DSLModem ins Internet. Ein solches gibt es bereits ab 18 Euro im Handel, etwa das DLink DSL321B.

Maulkorb für Alexa & Co.

Der dänische Entwickler Knudsen hat einen Aufsatz namens Alias entwickelt, der ein konstantes Rauschen ausstrahlt und so das Mikrofon von smarten Lautsprechern lahmlegt. Erst durch einen festgelegten Sprachbefehl verstummt das Rauschen und der Assistent von Google oder Amazon ist nutzbar. > Anleitung Den Aufsatz gibt es nicht zu kaufen, allerdings bietet Knudsen eine Bauanleitung (s. „Smarte Lautsprecher schützen“). Alles, was Sie benötigen, ist ein Raspberry Pi und ein paar Elektro nikkomponenten. Damit haben Sie die Zutaten für die komplette Funktionalität. Wer es noch ein wenig schicker will, kann eine passendes Gehäuse und einen Aufsatz für Alias bauen, wofür allerdings ein 3D-Drucker notwendig ist. Für die Kernfunktionalität ist das aber nicht erforderlich.

Geräteschutz im Heimnetz prüfen

Auch bei einem Sicherheitsrouter muss die Konfiguration stimmen. Achten Sie darauf, dass Sie ein sicheres Kennwort für den BitdefenderAccount nutzen, denn wer Zugriff auf den Login hat, kann auch Einstellungen an der Box vornehmen. Das Kennwort ändern Sie in der CentralApp über »Benutzer«. Klicken Sie nun auf das Zahnrad und gehen Sie auf »Passwort ändern«. Außerdem sollten Sie das automatische FirmwareUpdate aktivieren. Drücken Sie dazu unter »Geräte« auf das Zahnrad neben der Box und gehen Sie zu den »Kaufinformationen«. Schalten Sie hier »Automatische Updates der BOXFirmware « ein. Nach der Absicherung der Box geht es an die Geräte. Prüfen Sie einzelne Clients mithilfe des Schwachstellenscans der Box. Damit können Sie auch herausfinden, ob das Gerät schon Teil eines Botnetzes ist. Gehen Sie in das Menü »Geräte« und wählen Sie einen Client aus. Im nächsten Fenster drücken Sie auf die Option »Schutz | Scan«. Das Ergebnis gibt die Box im Reiter »Nachrichten« aus. Findet der Scanner eine Schwachstelle, überprüfen Sie Ihren Rechner mit einem Virenscanner.

Lauschangriffe verhindern

Gezielte Attacken auf Mikrofonund Kamerabauteile von IoTGeräten liegen im Trend, denn mit den abgehörten Daten lassen sich die Opfer leicht erpressen. Umso tückischer ist, dass fast alle modernen SmarthomeGeräte ein Mikrofon haben, manchmal sogar ohne Wissen des Users. So hat Google etwa bei der Alarmanlage Nest Secure ein Mikro eingebaut, ohne dass jemand etwas davon wusste. Erst nachdem bekannt wurde, dass durch ein einfaches SoftwareUpdate die Hardware nun auch mit dem GoogleAssistant ausgestattet ist, gab Google den Einbau zu. Angeblich wurde das Mikrofon nie genutzt, doch hundertprozentig sicher können sich die User nicht sein.

Mikrofonattacken blockieren

Die smarten Assistenten der anderen Hersteller bereiten ähnlichen Ärger. So ist bei den meisten AmazonAlexaModellen ein Knopf zur Deaktivierung des Mikrofons eingebaut, doch Sicherheitsforscher haben auf der Hackermesse Black Hat gezeigt, dass sich diese Deaktivierung umgehen lässt. Damit Sie trotzdem vor ungewollten Lauschern geschützt sind – sei es vor Hackern oder gar dem Hersteller selbst – greifen Sie zu folgender Ersthilfemaßnahme: Nutzen Sie Isolierband, um die Mikrofonlöcher abzukleben. Einfacher Tesafilm reicht nicht aus, da dieser zu dünn ist – nutzen Sie besser Isoliertape (siehe links). Oft sind die Mikrofone durch ein schwarzes, kleines Loch erkennbar. Dieses ist manchmal so gut versteckt, dass nur eine GoogleSuche nach dem Gerät mit dem Begriff „Mikrofonloch“ weiterhilft. Die Aufnahmeeinheiten müssen nicht zwangsweise direkt am Gerät sein. Aktuelle SamsungGeräte nutzen die Fernbedienung als Mikrofon. Um zu prüfen, ob das Verkleben ausgereicht hat, starten Sie eine Aufnahme oder den Sprachassistenten und sprechen einen Befehl. Versteht das Gerät Sie nicht mehr, haben Sie alles richtig gemacht und das Mikrofon ist abgesichert. Wenn Sie doch einmal das Mikrofon nutzen wollen, ziehen Sie das Isolierband einfach wieder ab.

Smarte Lautsprecher schützen

Einen eleganten Weg, smarte Lautsprecher samt Sprachassistenten abzusichern, kommt vom Entwickler Tore Knudsen aus Dänemark. Er hat einen Aufsatz namens Alias (s. Seite 92) entwickelt, dessen Hülle sich über die Mikrofone von beispielsweise einem Google Home legt und ständig ein nicht hörbares Rauschen aussendet. Der Google Home ist damit taub und lässt sich mit dem herkömmlichen „Hey Google“ nicht mehr aufwecken. Erst wenn der Aufsatz einen vorher festgelegten Sprachbefehl hört, schaltet er das Rauschen aus und schickt ein eigenes „Hey Google“ an das GoogleGerät, das sich dann aktiviert und zuhören darf. Kaufen kann man den Aufsatz leider nicht, aber selbst bauen. Viel technisches Wissen ist dazu nicht notwendig. Die erforderliche Software und alle Anleitungen finden sich aufhttps://github.com/bjoernkarmann/project_alias .

Angriffe auf Kameras verhindern

Um sich vor fremden Blicken zu schützen, können Sie die Kameralöcher genauso wie die Mikrofone zukleben. Schneller und komfortabler funktioniert das mit Kameraaufsätzen, denn diese decken die komplette Linse ab und lassen sich bei Bedarf einfach aufschieben. Achten Sie aber darauf, dass das Modell nicht zu billig produziert ist, da es sich im Zweifelsfall nicht mehr rückstandslos ablösen lässt. Unsere Empfehlung ist die Abdeckung von Soomz (soomz.io ) für rund zehn Euro. Mit einfachen Tricks und ein wenig Hardware können Sie sich also künftig perfekt vor Lauschangriffen und Hackerattacken auf Ihre Heimnetzgeräte absichern. Am wichtigsten ist und bleibt allerdings die Installation aktueller FirmwareVersionen auf allen Geräten. Am besten nutzen Sie dafür, wenn vorhanden, automatische Updates.

Die sichersten Smarthome-Produkte

Die Sicherheits-Testfirma AV-Test hat Internet-of-Things-Geräte in puncto Sicherheit unter die Lupe genommen und bei vielen gravierende Schwachstellen gefunden. Die hier gelisteten Geräte können Sie ohne Sorge verwenden


Fotos: STILLFX/GettyImages (HG Aufm.); Hersteller (Produkte)