Bereits Kunde? Jetzt einloggen.
Lesezeit ca. 14 Min.

Heimnetz scannen und absichern: Schwachstellen im Heimnetz beseitigen


PC Welt Sonderheft - epaper ⋅ Ausgabe 5/2019 vom 18.04.2019

Sicherheitslücken im Heimnetz lassen sich mit Netzwerkscannern gut aufspüren. Doch die gefundenen Schwachstellen zu beseitigen, ist oft kompliziert. Hier erfahren Sie, wie Sie die Lücken in Ihrem Heimnetz entdecken und so gut wie möglich schließen können.


Artikelbild für den Artikel "Heimnetz scannen und absichern: Schwachstellen im Heimnetz beseitigen" aus der Ausgabe 5/2019 von PC Welt Sonderheft. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Foto: © Cybrain – AdobeStock

Wer nicht nur Windows-PCs, sondern auch andere Netzwerkgeräte wie NAS, Smart-TV oder smarte Hi-Fi-Anlage nutzt, sollte sein Netzwerk auf Schwachstellen prüfen. Das geht recht einfach mit dem Heimnetzscanner Bitdefender Home Scanner (gratis, für Windows 7, 8, 10, unterwww.pcwelt.de/2321217 und auf Heft-DVD). Doch was der ...

Weiterlesen
epaper-Einzelheft 9,90€
NEWS 14 Tage gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von PC Welt Sonderheft. Alle Rechte vorbehalten.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 5/2019 von Die Highlights auf der Heft-DVD. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Die Highlights auf der Heft-DVD
Titelbild der Ausgabe 5/2019 von Vollversionen auf der Heft-DVD: Ashampoo Winoptimizer 2019. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Vollversionen auf der Heft-DVD: Ashampoo Winoptimizer 2019
Titelbild der Ausgabe 5/2019 von So ergänzen Sie, was in Windows 10 fehlt!. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
So ergänzen Sie, was in Windows 10 fehlt!
Titelbild der Ausgabe 5/2019 von Windows 10 voll im Griff. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Windows 10 voll im Griff
Titelbild der Ausgabe 5/2019 von Windows geheim / Starthilfe und Selbstreparatur: Starthilfe und Selbstreparatur für Windows. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Windows geheim / Starthilfe und Selbstreparatur: Starthilfe und Selbstreparatur für Windows
Titelbild der Ausgabe 5/2019 von Windows geheim / Multiboot für jeden PC: Multiboot mit Windows und Linux. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Windows geheim / Multiboot für jeden PC: Multiboot mit Windows und Linux
Vorheriger Artikel
Windows geheim / Die Rettungs-DVD der PC-WELT: Die PC-WELT Rettun…
aus dieser Ausgabe
Nächster Artikel Profi-Tuning für Chrome und Firefox: Profi-Tuning für C…
aus dieser Ausgabe

Wer nicht nur Windows-PCs, sondern auch andere Netzwerkgeräte wie NAS, Smart-TV oder smarte Hi-Fi-Anlage nutzt, sollte sein Netzwerk auf Schwachstellen prüfen. Das geht recht einfach mit dem Heimnetzscanner Bitdefender Home Scanner (gratis, für Windows 7, 8, 10, unterwww.pcwelt.de/2321217 und auf Heft-DVD). Doch was der Scanner nach seinem Suchlauf zutage fördert, sind oft vertrackte Probleme wie veraltete, angreifbare Protokolle, Standard-Log-in-Daten in Netzwerkgeräten oder komplett fehlerhafte Systeme. Als Lösung wird meist ein System-Update vorgeschlagen. Doch oft gibt es keine Updates, da die Gerätehersteller an der Sicherheit sparen und keine Entwicklerzeit für bereits verkaufte Hardware investieren.
Darum will dieser Beitrag nicht bei der Empfehlung für ein Update stehen bleiben, sondern darüber hinaus nach Möglichkeiten suchen, wie man ein anfälliges Gerät am besten schützen kann. Dazu stellen wir drei typische Fälle von Sicherheitslücken im Heimnetz vor. Zuerst starten wir aber mit dem Netzwerkscan.


„Lücken sollten eigentlich per Update geschlossen werden. Wenn das nicht geht, hilft dieser Ratgeber.“


So scannen Sie Ihr Heimnetz mit Bitdefender Home Scanner

Ein empfehlenswerter Scanner für Schwachstellen im Heimnetz ist der Bitdefender Home Scanner. Sie installieren das Tool auf einem Windows-Computer und scannen von dort aus das Netzwerk. Das Programm geht dabei recht gründlich zur Sache. Es scannt sämtliche ins Netzwerk eingebundene Hardware wie PCs, NAS, mobile Rechner und smarte Geräte. Dabei spielt es keine Rolle, ob die Hardware Windows, Linux, Mac, Android, iOS oder ein anderes System verwendet. Zu den Maßnahmen von Bitdefender Home Scanner zählt ein Portscan, der Hinweise auf Schachstellen oder Backdoors liefern kann. Darüber hinaus sucht das Tool nach Log-in-Möglichkeiten in Geräten und testet diese auf Standardpasswörter. Dieser Test ist wichtig, da auch Angreifer so vorgehen. Sollte Ihr Router tatsächlich nur mittels Standardpasswort geschützt sein, würde das Bitdefender-Programm das aber nur protokollieren und später in der Zusammenfassung der Testergebnisse für das Gerät melden.
So geht’s: Nach der Installation von Bitdefender Home Scanner müssen Sie sich über die Software bei Bitdefender registrieren. Erst danach ist ein Scan des Netzwerks möglich. Sie müssen außerdem zwei Mal bestätigen, dass es sich tatsächlich um Ihr Netzwerk und um Ihren Router handelt, bevor der Scan startet. Der Grund: In den meisten Ländern ist es gesetzlich verboten, fremde Netzwerke auf Schwachstellen zu untersuchen, es sei denn, man handelt im Auftrag des Netzwerkinhabers.
Abschließend liefert Ihnen das Tool zu jedem Gerät einen Bericht und zeigt darin sowohl die gefundenen Basisinfos als auch mögliche Schwachstellen an. Teilweise meldet Bitdefender Home Scanner auch veraltete Firmware von Geräten.
Ist alles so weit in Ordnung, zeigt das Tool lediglich Gerätenamen sowie IP-und Mac-Adresse an. Oft findet das Tool allerdings auch Schwachstellen, um die Sie sich dann kümmern müssen.

Wichtig: Der Bitdefender Home Scanner kann auch einen vorübergehenden Schaden in Ihrem Heimnetz anrichten. Konkret geht es darum, dass Ihr Router oder Ihr NAS den Home-Scanner-PC zeitweise aus dem Heimnetz aussperrt. Die Folge: Dieser PC hat dann weder Zugang zum Internet noch zum Heimnetz. Die Sperre tritt dann in Kraft, wenn Ihr Router den Scanvorgang von Bitdefender Home Scanner als „Angriffsversuch“ erkennt und anschließend die Ursprungs-IP-Adresse blockt. Hochwertige Router und auch manche NAS-Geräte erkennen etwa, wenn sich jemand mehrmals am Gerät mit falschen Log-in-Daten anzumelden versucht. Genau das macht der Home Scanner aber, wenn er eine Handvoll Standardpasswörter ausprobiert. Wenn bei Ihnen der Router eine IP-Sperre gegen den Scan-PC verhängt, müssen Sie sich über ein anderes Gerät (Smartphone, Tablet, Zweitrechner) im Router anmelden und die Sperre wieder aufheben. Die meisten Heimrouter verfügen allerdings nicht über eine solche Angriffserkennung. Diese Scanmethode des Home Scanners hat in unserem Testnetzwerk übrigens auch zu einem Fehlalarm im Bitdefender-Scanner geführt. Infos dazu finden Sie auf Seite 57.

Die Installation von Bitdefender Home Scanner geht schnell vonstatten. Anschließend ist eine einfache Registrierung bei Bitdefender fällig.


Der Scan des eigenen Netzwerks kann einige Zeit in Anspruch nehmen. Sobald das Tool Bitdefender Home Scanner damit fertig ist, informiert es Sie mit einer Nachricht.


Fehler 1: Unsichere Benutzerund Passwortkombination

Darum geht’s: Eine häufige Meldung des Bitdefender Home Scanners betrifft unsichere Kombinationen aus Benutzername und Passwort. In unserem Testnetz wurde etwa ein Etagen-Drucker bemängelt, der einen Telnet-Dienst mit einem unsicheren Log-in anbietet.
Gerät schützen: Ein solcher Fehler lässt sich nur dann einfach beheben, wenn das entsprechende Gerät eine Änderung der Log-in-Daten zulässt. Schlagen Sie im Handbuch oder auf der Website des Gerätes nach, welche Benutzerkonten das System anlegen lässt und wie Sie die Log-in-Daten ändern. Vielleicht hatten Sie selber ein schwaches Passwort auf diesem Gerät vergeben und können es leicht ändern.
Fehler lässt sich nicht beheben: Es kann aber auch sein, dass eines der vorhandenen Standardkonten mit einem nicht änderbaren Passwort versehen ist, etwa „admin“ für den Benutzernamen und „admin“ für das Passwort. Dann können Sie versuchen, den entsprechenden Dienst abzustellen. Hier hilft ein Blick ins Handbuch. Geht das nicht, lässt sich die Sicherheitslücke nicht schließen. Fahren Sie dann so fort, wie ab Seite 54 beschrieben: „Kein Update vorhanden: Lücke besser einschätzen“.

Fehler 2: Schwachstellen durch veraltetes Netzwerkprotokoll

Darum geht’s: Ein häufiges Sicherheitsproblem im Heimnetz sind smarte Geräte wie Hi-Fi-Anlagen mit Internetanschluss, digitale Videorekorder oder Smart-TVs. Damit Sie mit den Geräten kommunizieren können, bieten diese verschiedene Verbindungsprotokolle und die dazugehörigen Dienste an. Dazu zählt etwa das SSH-Protokoll. SSH steht für Secure Shell und bezeichnet ein Netzwerkprotokoll, mit dem man eine verschlüsselte Verbindung zwischen zwei Geräten herstellen kann. Meist dient es dazu, das System zu konfigurieren. Da SSH grundsätzlich verschlüsselt ist, sollte das unproblematisch sein. Allerdings werden auch in verschlüsselten Protokollen immer wieder Schwachstellen entdeckt, die per Updates beseitigt werden müssen. Doch für viele smarte Gerät erhalten Sie nur selten oder gar keine Updates. Sollte der Bitdefender Home Scanner eine Lücke melden, die sich auf SSH oder ein anderes Protokoll bezieht, gehen Sie wie folgt vor.

Gemeldete Lücke per Update schließen

Üblicherweise schließen Sie eine Sicherheitslücke in einem Protokolldienst wie SSH über ein Firmware-Update für das Gerät. In unserem Beispiel ist es eine Hi-Fi-Anlage. Höherwertige smarte Geräte bieten oft die grundsätzliche Möglichkeit für Updates.

Informationen dazu entnehmen Sie dem Handbuch des Geräts. Im besten Fall lässt sich ein Update einfach über das Menü des Geräts laden und installieren. Das geht etwa bei der Hi-Fi-Anlage Denon N-4 CEOL Piccolo (https://goo.gl/xtvzc4 ). Bei anderen Geräten muss das Update auf einen USB Stick geladen und dieser an das Gerät angesteckt werden. Nach dem Einschalten des Gerätes lädt sich das Firmware-Update selbständig vom Stick.
Wie bei jedem Firmware-Update gilt es, genau nach Anleitung vorzugehen, denn ein vermurkstes Update kann das Gerät unbrauchbar machen. Nach dem Update starten Sie den Netzwerkscan mit Bitdefender Home Scanner erneut, um zu prüfen, ob die Sicherheitslücke nun geschlossen ist.

Mit dieser Meldung moniert der Bitdefender Home Scanner eine unsichere Kombination aus Benutzername und Passwort. In vielen, aber nicht allen Fällen lässt sich eine solche Lücke leicht schließen.


Hier erkennt der Home Scanner eine gefährliche Schwachstelle im SSH-Protokoll einer Hi-Fi-Anlage. Sollte kein Firmware-Update für die Anlage verfügbar sein, gibt es andere Methoden zur Absicherung.


Kein Update vorhanden: Lücke besser einschätzen

Sollte es für Ihr Gerät kein Update geben, sollten Sie herausfinden, ob sich die Sicherheitslücke überhaupt von einem Angreifer praktisch ausnutzen lässt. Die wichtigste Frage lautet dann: Ist das Gerät mit seiner Lücke aus dem Internet heraus erreichbar? Das ist eine Frage, die der Bitdefender Home Scanner nicht beantwortet. Die Antwort lässt sich meist auch nicht so einfach ermitteln. Denn nur permanente Freigaben lassen sich einfach aufspüren. Diese sind über offene Ports an Ihrem Router erkennbar. Suchen Sie die Ports mit einen Portscanner, der Ihre öffentliche IP-Adresse untersucht. Das geht etwa über den Online-Portscanner vonwww.dnstools.ch . Rufen Sie die Websitewww.dnstools.ch/port-scanner.html auf. Diese hat die IP-Adresse Ihres Routers bereits ermittelt und in das Feld „Host“ eingetragen. Klicken Sie in das Kästchen vor „Ich bin kein Roboter“ und dann auf „Scannen“. Der Scanner prüft alle Standardports und zeigt deren Status an.
Ausführlicher Scan: Das Onlinetool unterwww.dnstools.ch sucht nur die Standardports ab. Wenn Sie einen ausführlichen Scan durchführen möchten, benötigen Sie einen eigenen Portscanner, etwa den Advanced Port Scanner (gratis, für Windows 7, 8, 10, unterwww.pcwelt.de/300579 und auf Heft-DVD).
Starten Sie das Tool und geben Sie die öffentliche IP-Adresse Ihres Routers ein. Diese können Sie etwa unterwww.wasistmeineip.de ablesen. Wechseln Sie im Advanced Port Scanner neben dem Eingabefeld noch auf „Alle TCP-Ports 1-65535“, und drücken Sie auf den Scanbutton. Sollten offene Ports vorliegen, zeigt das der Scanner auf der rechten Seite an. Es dauert eine Weile, bis der komplette Scan abgeschlossen ist. Sie erkennen das daran, dass der Scanbutton von grau wieder auf grün wechselt.

Angriffsfläche reduzieren: Offene Ports schließen

Sollte beim Scan des Routers ein offener Port gemeldet werden, müssen Sie prüfen, ob er zu Ihrem unsicheren Gerät führt oder ob er von einem anderen Gerät genutzt wird, etwa von Ihrem Router. Dafür öffnen Sie die Weboberfläche Ihres Routers. Bei der Fritzbox geht das über die Eingabe vonfritz.box in die Adresszeile des Browser. Aktivieren Sie darin gegebenenfalls die erweiterte Ansicht. Ab Fritz-OS 7 klicken Sie dafür auf das Menüsymbol rechts oben, bis Fritz-OS 6 klicken Sie auf „Ansicht: Standard“ auf der Übersichtsseite unten. In der Weboberfläche der Fritzbox finden Sie dann Freigaben unter „Interne –› Freigaben –› Portfreigaben“. Ist dort kein Eintrag zu finden, gehört der offene Port wahrscheinlich zum Router. Haben Sie zum Beispiel den Fernzugriff der Fritzbox aktiviert, ist der Port 443 mit dem Protokoll SSL offen.
Sollten Sie dort aber einen Eintrag für Ihr unsicheres Gerät finden, dann löschen Sie diese Freigabe. Sollte dieser Eintrag zudem nicht von Ihnen stammen, sollten Sie auch UPnP deaktivieren.
UPnP deaktivieren, um temporäre Freigaben zu verhindern: Mit dem Portscan der öffentlichen IP-Adresse des Routers finden Sie permanente Freigaben zuverlässig. Doch können Geräte in Ihrem Netzwerk sich über UPnP auch selber und auch vorübergehende Freigaben im Router holen. Ob Sie das bei einem einmaligen Scan ermitteln, ist fraglich. Darum sollten Sie für den Fall, dass Sie ein unsicheres Netzwerkgerät in Ihrem Heimnetz haben, UPnP am Router deaktivieren. Eine Anleitung dazu finden Sie im Kasten auf Seite 57. Wenn Sie auf diese Weise dafür gesorgt haben, dass das Gerät nicht vom Internet aus erreichbar ist, haben Sie trotz unsicherer Hardware meist noch ein ausreichend geschütztes Heimnetz. Dass es von dieser Regel Ausnahmen gibt, zeigt „Fehler 3“ (Seite 56).

Weitere Infos einholen: Wie gefährlich ist das Problem?

Auch wenn Ihr unsicheres Gerät nur noch intern erreichbar ist, sollten Sie weitere Informationen zur Sicherheitslücke einholen. Der Home Scanner liefert allerdings nur allgemeine Infos zu einer Lücke. In unserem Test bemängelt er zum Beispiel, dass der SSH-Dienst eines Raspberry Pi das Ausführen von beliebigem Code zulässt. Dasselbe meldete er für eine Hi-Fi-Anlage. Das klingt dramatisch, aber um welche Lücken es genau geht, verrät der Scanner nicht.
Um sich ein besseres Bild von der Schwachstelle zu machen, sollten Sie die Version des monierten Dienstes in Erfahrung bringen. Dabei hilft wieder das bereits erwähnte Tool Advanced Port Scanner (gratis, für Windows 7, 8, 10, unterwww.pcwelt.de/300579 und auf Heft-DVD). Starten Sie den Scanner und geben Sie die IP-Adresse des bemängelten Gerätes in die Adresszeile unter dem „Scannen“-Button ein und drücken dann diesen Button. Die passende IP-Adresse entnehmen Sie der Meldung des Bitdefender Home Scanners. In unserem Beispiel erfahren wir so, dass auf dem Raspberry Pi OpenSSH in der Version 6.7p1 auf dem Standardport 22 aktiv ist (siehe Abbildung rechts oben).
Eine Google-Suche mit OpenSSH 6.7p1 liefert als Treffer die zugehörigen Sicherheitslücken auf der Seite von Cvedetails (https://www.cvedetails.com ). Diese informiert englischsprachig über sechs Lücken in Version 6.7p1. Wer etwas Zeit investiert, erhält so ein besseres Bild von den Lücken und wie leicht oder schwer sie sich von einem Angreifer ausnutzen lassen. Wer es eilig hat, der kann sich grob an dem CVSS-Score (Common Vulnerability Scoring System) orientieren. Grundsätzlich gilt, dass Lücken mit einem CVSS-Score von 7 bis 10 auf jeden Fall beseitigt werden sollten. Für Werte von 4 bis 6 gilt typischerweise, dass sie sich nicht von extern, also über das Internet, ausnutzen lassen. Entsprechend könnte man solche Sicherheitslücken in einem Heimnetz temporär bestehen lassen. Eine Einzelprüfung der Fehlerbeschreibung ist aber dennoch dringend geraten. Werte unter 4 stellen in der Regel nur ein Problem dar, wenn sich zu ihnen weitere Schwachstellen gesellen und diese in der Kombination dann eine gefährliche Lücke ergeben. Eine ausführliche, englischsprachige Beschreibung zum Score-Wert finden Sie unterhttps://goo.gl/0iHRu2 . Einschränkend sei noch gesagt, dass der CVSS-Score zwar schon in einer mehrfach überarbeiteten Version vorliegt, aber dennoch kontrovers diskutiert wird.

Die Freeware Advanced Port Scanner prüft, ob an Ihrem Router Ports geöffnet sind. Er findet meist auch heraus, welche Dienste hinter den offenen Ports laufen. Das liefert wichtige Infos bei Geräten mit Sicherheitslücken.


Erstellen Sie einen Gastzugang im Router und melden Sie angreifbare, aber im Grunde ungefährliche Onlinegeräte dort an. So können Hacker höchstens diese Geräte kapern, nicht aber das lokale Netzwerk.


Szenario: Angriff über eine lokale Sicherheitslücke

Wie hoch das Risiko einer Sicherheitslücke ist, hängt wie gesagt sehr davon ab, ob sie sich über das Internet ausnutzen lässt oder nur lokal. Als ein Szenario wollen wir das Risiko für eine lokale Lücke durchspielen. Als Beispiel dient hier eine Sicherheitslücke im SSH-Protokoll einer Hi-Fi-Anlage, für die es kein Update gibt. Der Test auf offene Ports am Router hat ergeben, dass ihr SSH Dienst nur im lokalen Netzwerk verfügbar ist. Ein Angreifer kann die Schwachstelle also nur ausnutzen, wenn er sich bereits in Ihrem Netzwerk befindet. Das sollte aber durch einen stets gut gesicherten Router und ein langes und komplexes WLAN-Passwort nicht geschehen. Also ist das Netz trotz der Lücke in der Hi-Fi-Anlage sicher, das Gerät für Hacker nicht angreifbar.
Allerdings gilt diese Einschätzung nur für Nutzer mit einem durchschnittlichen Sicherheitsbedürfnis. Denn theoretisch lässt sich die Anlage doch kapern, wenn nämlich Folgendes passiert:

All diese Firmen nutzen Geräte des Herstellers Xiongmai. In über fünf Millionen Webcams von Xiongmai entdeckten Forscher 2018 eine gravierende Sicherheitslücke.


Fehlalarm: Hier meldet Bitdefender Home Scanner eine Denial-of-Service-Schwachstelle in unserem NAS. Tatsächlich aber hat die Firewall des NAS den Angriffsversuch des Scanners erfolgreich blockiert.


Ein Hacker will über die SSH-Sicherheitslücke in Ihrer smarten Hi-Fi-Anlage in Ihr Netzwerk eindringen. Dafür muss die Hi-Fi-Anlage per WLAN mit dem Netzwerk verbunden sein. Der Hacker muss sich vor Ihrer Wohnung positionieren und sein eigenes, feindliches WLAN installieren. Dieses muss deutlich stärker sein als Ihr heimisches WLAN, aber denselben Namen tragen. So wird sich Ihr smartes Gerät früher oder später mit dem Hacker-WLAN verbinden. Dann hat der Angreifer die Möglichkeit, die SSH-Lücke auszunutzen. Im Falle der Lücke CVE-2018-10933 (https://goo.gl/hbLkkc undhttps://goo.gl/gbHsXQ ) etwa kann er sich sogar bedingt Zugriff auf die Hi-Fi-Anlage beschaffen. Die Lücke auszunutzen ist in diesem Beispiel nicht schwer, da es dafür ein Metasploit-Modul (www.metasploit.com ) gibt. Metasploit ist ein Angriffssystem, in dem es fertige Module für Angriffe auf Lücken mit CVE-Nummer gibt. Unter Umständen findet der Hacker sogar einen Weg, feindlichen Code in die Firmware der Hi-Fi-Anlage zu bringen. Dieser Code muss dann zusätzlich in der Lage sein, ein weiteres Gerät im Heimnetz anzugreifen. Beides ist nicht unmöglich, aber nur in sehr selten Fällen tatsächlich umsetzbar – selbst für einen Profi-Hacker. Darum gilt: Wenn der Angreifer tatsächlich schon vor Ort ist, dann wäre es für ihn deutlich einfacher, die Haustür einzutreten und den PC oder andere interessante Netzwerkgeräte einfach aus der Wohnung zu tragen.

Notlösung: Eigenes Netzwerk für Onlinegeräte

Es gibt mehrere Möglichkeiten, anfällige Netzwerkgeräte weiterhin zu nutzen. Ein Beispiel: Sie haben ein Gerät mit einer Schwachstelle, der Hersteller liefert aber kein Update dafür. Abhängig von der Schwachstelle und der Aufgabe des Geräts können Sie es in ein eigenes, virtuelles Netzwerk stecken. Sollte ein Angreifer die Kontrolle über das Gerät übernehmen, dann ist es wenigstens von den übrigen Geräten und PCs getrennt. Die Trennung geht zum Beispiel recht einfach über das Gäste-WLAN, das der Router anbietet. Eine ausführliche Schritt-für-Schritt-Anleitung zu dem Thema finden Sie unterwww.pcwelt.de/2092021 .
Ein solches Vorgehen empfiehlt sich allerdings nicht für jedes Gadget. Eine angreifbare Webcam sollte niemand online belassen. Schließlich möchte man das Live-Bild der Kamera nicht an einen Hacker verlieren. Akzeptabel ist es dagegen eher, eine Hi-Fi-Anlage, die ihre Musik von Spotify bezieht, in ein Gästenetzwerk zu stecken.

Fehler 3: Sicherheitslücke in der Cloud

Darum geht’s: Die Hersteller von Webcams und ähnlichen Geräten wollten die Angriffsfläche auf ihre Hardware verringern und außerdem die Konfiguration vereinfachen. Deshalb strichen sie den Zugriff über offene Ports am Router auf die Geräte. Damit die Webcam dennoch vom Internet aus erreichbar ist, entwickelten die Hersteller eine Vermittlungsstelle in der Cloud: Auf dem Internetserver des Herstellers meldet sich der Webcam-Nutzer per Browser oder App an und erstellt dort ein Nutzerkonto. Auch seine Webcam stellt eine Verbindung zum Internetserver des Herstellers her. Dafür müssen keine Firewall-Regeln am Router geändert werden, da der Verbindungsaufbau ja von Gerät ausgeht. Theoretisch hat man so ein gut geschütztes System, das einen Zugriff auf ein Heimnetzwerkgerät von Internet aus ermöglicht.
Allerdings tauchten bereits mehrere Lücken in diesem System auf. Im Jahr 2018 entdeckten Sicherheitsforscher, dass mehrere Millionen Webcams über die Cloud ihres Herstellers angreifbar sind. Alleine in Deutschland sollen 1,3 Millionen Cams betroffen sein. Das betrifft konkret Geräte der Firma Xiongmai, die von vielen Anbietern unter eigenem Namen vertrieben werden. Das Problem bei Xiongmai: Die Geräte mel den sich nicht mit einer zufällig generierten ID in der Cloud an, sondern mit einer Nummer, die aus ihrer MAC-Adresse errechnet wurde. Ein Anfängerfehler, der Netzwerkgeräte schon oft angreifbar gemacht hat. Zusätzlich konnten Sicherheitsforscher auf den Cloudservern von Xiongmai nach den Geräte-IDs suchen, da die Server nicht gut genug gegen solche Scans geschützt waren. Zusammen mit den IDs erhielten die Forscher weitere Infos, die ausreichten, sich über die Cloud mit Standard-Log-in-Daten in den Webcams anzumelden.

Die Lücken sind nicht geschlossen: In diesem Fall liegen drei entscheidende Lücken vor. In der Webcam sind Standard-Log-in-Daten hinterlegt, und das Gerät nutzt eine errechenbare ID. Beides müsste durch ein Firmware-Update behoben werden. Zum anderen muss der Cloudserver von Xiongmai gefixt werden, damit Angreifer nicht mehr an Geräte-Informationen herankommen. Angeblich ist beides bisher noch nicht geschehen.
Schutz ohne Update: Zunächst müssen Sie herauszufinden, ob in Ihrer Webcam Xiongmai-Technik steckt. Mit Glück meldet das der Bitdefender Home Scanner. Falls nicht, soll es laut Sicherheitsforschern helfen, die IP-Adresse des Geräts im Browser einzugeben und um den Eintrag/err.htm zu ergänzen. Der angezeigte Text kann den Namen Xiongmai enthalten. Weitere Hinweise für die Identifizierung eines anfälligen Geräts liefert die Sitehttps://goo.gl/PdeSm8 der Firma Sec Consult, die die Sicherheitslücke entdeckt hat.
Ist Ihr Gerät betroffen, bleibt nur die Möglichkeit, die Webcam ausschließlich im lokalen Netzwerk zu nutzen. Am einfachsten erreichen Sie das, indem Sie dem Gerät im Router den Zugang zum Internet sperren. Die meisten Router bieten eine solche Funktion. In der Fritzbox etwa wählen Sie in der Weboberfläche „Internet –› Filter –› Kindersicherung“ und dann das „Bearbeiten“-Symbol hinter dem betreffenden Gerät. Aktivieren Sie „Gesperrt“ und bestätigen Sie die Änderung mit „OK“.
Natürlich haben Sie so nicht mehr die Möglichkeit, von unterwegs aus auf die Webcam zuzugreifen. Am Ende gilt es abzuwägen, ob man das Risiko einer anfälligen Webcam im Hauses eingehen möchte. Im Zweifelsfall sollte man ein Gerät, das private Bilder aufzeichnet und dessen Sicherheit ungewiss ist, besser aussortieren.

Hinweis: Fehlalarm vom Bitdefender Home Scanner

Wie viele andere Sicherheitstools verursacht auch der Bitdefender Home Scanner gelegentlich einen Fehlalarm. Das heißt: Nicht jede vom Scanner gemeldete Schwachstelle ist tatsächlich eine Lücke. In unserem Fall monierte der Home Scanner eine Denial-of-Service-Schwachstelle (DoS) im Netzwerkspeicher, genau genommen im SSH-Dienst des Geräts. Denial-of-Service bedeutet, dass ein Angreifer das Gerät mit einer Vielzahl von Anfragen zum Absturz bringen kann. Doch tatsächlich hatte unser NAS den Rechner mit dem Bitdefender Home Scanner einfach geblockt, als dieser mehrfach versuchte, sich mit Standardpasswörtern im Gerät anzumelden.

UPNP IM ROUTER DEAKTIVIEREN

UPnP steht für Universal Plug and Play, einen Standard, der ein ganzes Bündel an Netzwerkprotokollen beschreibt. Sie alle dienen dazu, dass sich Geräte im Heimnetz automatisch verbinden und steuern können. Das ist zum Beispiel für Audio-und Videowiedergaben sehr nützlich. UPnP im Router kann von Netzwerkgeräten aber auch dazu genutzt werden, Ports zu öffnen. Das kann ein Sicherheitsrisiko sein.
So schalten Sie UPnP in der Fritzbox ab: Rufen Sie im Browser die Weboberfläche der Fritzbox über die Eingabe vonfritz.box auf und aktivieren Sie gegebenenfalls die erweiterte Ansicht. Ab Fritz-OS 7 geht das über das Menüsymbol rechts oben, bei Fritz-OS 6 über „Ansicht: Standard“ auf der Übersichtsseite unten. Dann wählen Sie „Internet –› Portfreigaben“ und entfernen den Haken bei „Änderungen der Sicherheitseinstellungen über UPnP gestatten“. Das war es auch schon. Die Einstellung unter „Heimnetz –› Netzwerk –› Netzwerkeinstellungen –› Statusinformationen über UPnP übertragen“ können Sie aktiviert lassen. Kein Gerät kann sich darüber eine Portfreigabe besorgen.
Das sind die Folgen: Wenn Sie UPnP im Router ausschalten, können sich Geräte im Heimnetz keine Portfreigaben am Router mehr einrichten. Das liefert den gewünschten Sicherheitsgewinn. Es bedeutet aber auch, dass einige Geräte oder Tools dann nicht mehr wie gewohnt funktionieren. Typische Kandidaten sind etwa die Xbox, ältere Webcams oder Tauschbörsensoftware. Für diese Geräte und Programme muss man dann manuell die benötigen Ports öffnen und Weiterleitungen zu den Geräte-IPs einrichten. Das geht in der Fritzbox an derselben Stelle, an der Sie UPnP deaktiviert haben. Zwei Mediengeräte, etwa Ihr Smart-TV und Ihr Smartphone, können sich aber meist immer noch per UPnP finden, konfigurieren und Fotos und Videos abspielen.

In der Weboberfläche der Fritzbox sowie vieler anderer Router lässt sich UPnP für den Router deaktivieren.