Lesezeit ca. 9 Min.
arrow_back

WLAN-Router jetzt schützen


Logo von PC Welt
PC Welt - epaper ⋅ Ausgabe 11/2021 vom 01.10.2021

Artikelbild für den Artikel "WLAN-Router jetzt schützen" aus der Ausgabe 11/2021 von PC Welt. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: PC Welt, Ausgabe 11/2021

Jedes WLAN ist unsicher! Ihr Router ist in Gefahr! Hacker kapern Ihr Heimnetz! Mit derart alarmierenden Überschriften wird immer wieder über Sicherheitslücken berichtet, die WLAN und Netzwerk betreffen und damit insbesondere den Internetrouter betreffen. Doch oftmals steckt in diesen Meldungen wenig Substanz, weshalb sie sich häufig als Übertreibung oder seltene Einzelfälle abtun lassen.

Das Problem: Es ist tatsächlich genau so dramatisch. Vor rund einem Jahr testete das Fraunhofer FKIE (Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie) 127 Router sieben großer Hersteller und stellte fast bei jedem Modell Sicherheitsmängel fest – teilweise waren diese derart erheblich, dass sich eine weitere Nutzung des Geräts eigentlich verbietet. Die Probleme im Test reichten von Firmware, für die es selten ein Update oder gar kein Update gibt, über veraltete Routerbe triebssysteme ...

Weiterlesen
epaper-Einzelheft 3,49€
NEWS Jetzt gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von PC Welt. Alle Rechte vorbehalten.
Lesen Sie jetzt diesen Artikel und viele weitere spannende Reportagen, Interviews, Hintergrundberichte, Kommentare und mehr aus über 1050 Magazinen und Zeitungen. Mit der Zeitschriften-Flatrate NEWS von United Kiosk können Sie nicht nur in den aktuellen Ausgaben, sondern auch in Sonderheften und im umfassenden Archiv der Titel stöbern und nach Ihren Themen und Interessensgebieten suchen. Neben der großen Auswahl und dem einfachen Zugriff auf das aktuelle Wissen der Welt profitieren Sie unter anderem von diesen fünf Vorteilen:

  • Schwerpunkt auf deutschsprachige Magazine
  • Papier sparen & Umwelt schonen
  • Nur bei uns: Leselisten (wie Playlists)
  • Zertifizierte Sicherheit
  • Freundlicher Service
Erfahren Sie hier mehr über United Kiosk NEWS.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 11/2021 von Windows 11 für jeden PC. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Windows 11 für jeden PC
Titelbild der Ausgabe 11/2021 von Windows 11 fertig, keine Android-Apps. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Windows 11 fertig, keine Android-Apps
Titelbild der Ausgabe 11/2021 von EU plant Energielabel und fünf Jahre Update - Pflicht für Smartphones. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
EU plant Energielabel und fünf Jahre Update - Pflicht für Smartphones
Titelbild der Ausgabe 11/2021 von Keine Experimente. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Keine Experimente
Mehr Lesetipps
Blättern im Magazin
Dateien geheim & sicher teilen
Vorheriger Artikel
Dateien geheim & sicher teilen
Das bremst Ihren Windows - PC aus
Nächster Artikel
Das bremst Ihren Windows - PC aus
Mehr Lesetipps

... mit Sicherheitslücken bis zu fest hinterlegten und nicht vom Anwender veränderbaren Zugangsinformationen. Genau solche Sicherheitslücken erlauben es Angreifern immer wieder mit erstaunlicher Leichtigkeit, Routereinstellungen zu verändern, Geräte im Heimnetz zu übernehmen und sensible Daten auszuspähen – nicht nur bei den Modellen im FKIE-Test, sondern bei einer Vielzahl von Routern, Repeatern, NAS-Systemen und IP-Kameras, die sich in vielen Heimnetzen befinden.

„Router gegen aktuelle Attacken zu schützen, ist einfach. Sie müssen es nur tun.“

Ebenso einfach ist es allerdings, diese Attacken abzuwehren: Mit den richtigen Handgriffen führen Sie sogleich die passenden Maßnahmen durch. Dafür müssen Sie aber in der Regel selbst tätig werden: Auch wenn viele Netzwerkhersteller gerne von Automatismen sprechen, mit denen sich die Geräte wie von selbst schützen, reicht das in den meisten Fällen für einen zuverlässigen Schutz nicht aus.

Wir erklären Ihnen anhand relevanter Beispiele, wie Sie aktuellen Sicherheitsproblemen wirkungsvoll begegnen, wie Sie sie bei jedem Gerät beheben und wie Sie vorgehen, wenn es keine schnelle Lösung gibt.

Fragattacks: Angriff aufs WLAN

Das Sicherheitsproblem: Fragattacks steht für „Fragmentation and Aggregation Attacks“, da die Lücken dadurch zustandekommen, dass WLAN-Geräte Datenpake -te aufteilen (fragmentieren) und zusammenfassen (aggregieren), um sie schneller übertragen zu können. Allerdings kontrollieren sie hierbei nicht umfassend, ob die aufgeteilten und zusammengesetzten Pakete genauso sicher sind wie die ursprünglichen. Auf diese Weise kann ein Angreifer beispielsweise manipulierte Datenpakete unerkannt einschmuggeln.

Warum ist das gefährlich? Selbst aktuelle Sicherheitsstandards wie WPA3 sind grundsätzlich anfällig für Fragattacks. Dort lassen sich die Lücken aber in der Praxis kaum ausnutzen, da dafür der Anwender bestimmte Einstellungen tätigen müsste. Standards wie WPA3 schreiben jedoch lediglich vor, wie ein Router vorgehen muss, um unter anderem den Datentransfer zu verschlüsseln. Ob er das tatsächlich auch so macht, hängt davon ab, wie zuverlässig diese Vorgaben in seiner Software umgesetzt sind: Und weil das oft nur schlampig passiert, lassen sich bei konkreten Modellen dann die Fragattacks-Lücken einfacher ausnutzen, um zum Beispiel Passwörter aus den übertragenen Daten zu stehlen. Das Gleiche gilt vor allem auch, um einzelne Geräte im Heimnetz zu übernehmen, die abgesehen von der WLAN-Verschlüsselung nicht zusätzlich geschützt sind.

Was Sie jetzt tun müssen: Installieren Sie unbedingt eine aktuelle Firmware für Ihre WLAN-Geräte. Wie es in solchen Fällen üblich ist, hat Mathy Vanhoef, der Entdecker von Fragattacks, die Hersteller vorab über die Sicherheitslücken informiert, damit sie diese bei ihren Produkten schließen können, bevor er seine Ergebnisse öffentlich machte. Eine neue Firmwareversion sollte Ihre Geräte daher schützen.

Fritzbox-Modelle von AVM beispielsweise sind ab Fritz-OS 7.27 vor Fragattacks geschützt – diese Firmwareversion ist für die meisten aktuellen Router bereits verfügbar, darunter die 7590, die 7490 sowie die 7590 AX und die 7530 AX.

Welche Fritz-OS-Version für bestimmte Fritzbox-Rou ter ak tuell ist, finden Sie in der Übersicht auf www.pcwelt.de/ratgeber/Dieneuesten-Updates-fuer-Fritzbox-Co-1104 6483.html.

Bei TP-Link sehen Sie die Geräte wie auch die Angabe der Firmwareversion, ab der sie gegen Fragattacks gesichert sind, unter www.tp-link.com/de/sup port/faq/3056/.

Die entsprechenden Infos liefern Netgear unter www.pcwelt.de/cH8LTI und Asus auf www.asus.com/content/asus-product-secu rity-advisory/ nach einem Klick auf „Security advisory für FragAttack“.

Attacke auf Fritzbox: Anmeldeversuche am Routermenü

Das Sicherheitsproblem: Im Frühjahr erschraken viele Fritzbox-Benutzer: Im Ereignisprotokoll des Routers fanden sich zahlreiche Einträge für misslungene Anmeldeversuche am Menü: Im Minutentakt erfolgten Angriffe mit scheinbar willkür lichen Benutzernamen, die alle von einer bestimmten IP-Adresse ausgingen. Die Fritzbox lehnte die Anmeldung aufgrund eines falschen Passwortes jedes Mal ab.

Warum ist das gefährlich? Im Fall der Attacke auf die Fritzbox handelte es sich um eher planlose Rateversuche des Angreifers. Doch wie bei vielen anderen Angriffen ist das Ziel der Hacker, Zugriff auf das Routermenü zu erlangen, um dort Einstellungen zu ändern: Dabei geht es aber nicht darum, Ihr WLAN abzuschalten oder Internetbandbreite abzugreifen, denn das würde den meisten Routerbesitzern sofort auffallen. Stattdessen geht es den Angreifern etwa darum, unauffällig einen ungesicher ten Fernzugriff einzurichten, um den Router selbst dann noch zu kontrollieren, wenn der Besitzer seine Passwörter ändert. Oder sie leiten über ver änderte DNS-Einstellungen den Internetzugriff aus dem Heimnetz auf einen von ihnen kontrollierten Server um. Dadurch fangen sie Daten ab beziehungsweise schleusen Malware in das Heimnetz ein.

SCHUTZ PER FIRMWARE-UPDATE: SO GEHEN SIE VOR

Die meisten Sicherheitslücken in Routern und Netzwerkgeräten lassen sich mit einem Firmware-Update schließen. Daher sollten Sie darauf achten, dass auf allen Heimnetzgeräten immer die aktuelle Version installiert ist und dass der Hersteller sie auch anbietet. Die folgenden Tipps helfen Ihnen dabei.

1. Automatisches Update aktivieren: Wenn der Router die Option bietet, eine neue Firmware automatisch zu installieren, sollten Sie diese aktivieren. So sind Sie auf der sicheren Seite, auch wenn Sie nicht ständig Nachrichten zu Netzwerk-Sicherheitslücken verfolgen. Falls diese Funktion nicht verfügbar ist, sollten Sie bei jedem Aufruf des Routermenüs darauf achten, ob Sie auf der Startseite einen Hinweis auf eine neue Firmwareversion sehen: Diese können Sie dann bei den allermeisten Geräten direkt über die Update-Einstellungen des Menüs herunterladen und installieren.

2. Firmware-Update manuell einspielen: Bei einer Sicherheitslücke, die neu entdeckt wird, kommt es vor, dass der Hersteller bereits eine neue Firmware entwickelt hat, diese aber noch nicht für die automatische Installation verfügbar ist. Oder der Router fragt beim Update-Server in so großen Zeitabständen nach, dass er von der neuen Version noch nichts mitbekommen hat. In diesem Fall können Sie im Routermenü den Update-Check in der Regel selbst anstoßen. Gibt es diese Funktion nicht, müssen Sie auf der Support-Seite des Herstellers nach einem Update für Ihr Modell suchen: Falls Sie eine neue Firmwaredatei finden, laden Sie sie auf einen Rechner herunter, der mit dem Router verbunden ist. Im Routermenü nutzen Sie dann die Funktion für die manuelle Installation und verweisen dort auf den Speicherort der heruntergeladenen Datei – zuvor müssen Sie diese eventuell noch entpacken.

3. Fragen Sie beim Hersteller oder Internet-Provider nach: Finden weder Sie noch die Update-Funktion des Routers eine neue Firmware, sollten Sie den Hersteller kontaktieren: Er sollte Auskunft geben können, wann eine neue Version verfügbar ist oder ob er Ihr Modell überhaupt noch mit Updates versorgt. Letzteres ist leider oft nicht der Fall: Auch im erwähnten Test des Fraunhofer-Instituts hatte über ein Drittel der geprüften Router innerhalb eines Jahres keine neue Firmware erhalten, obwohl alle Modelle noch verkauft wurden.

Wenn Sie im Router keine Update-Funktion finden, haben Sie das Gerät wahrscheinlich vom Internet-Provider gemietet: Er spielt Firmware-Updates automatisch ein. Allerdings lassen sich viele Provider dafür viel Zeit, weil sie überprüfen, ob die neuen Versionen mit allen Geräten und ihrer Netzwerkinfrastruktur kompatibel sind. Außerdem wollen sie sich Support- Anfragen ersparen, da in der neuen Firmware bestimmte Funktionen fehlen oder anders heißen. Doch auch hier führt der direkte Kontakt mit dem Support häufig dazu, dass Sie eine neue Firmware schneller bekommen.

4. Kaufen Sie von einem zuverlässigen Hersteller. Dass ein Gerät EOL (End-of-Life) ist, der Hersteller es also gar nicht mehr mit Firmware-Updates unterstützt, erfahren Sie oftmals erst dann, wenn Sie eine neue Version dringend benötigen würden. Besonders grundlegende Lücken wie Fragattacks, die jedem WLAN-Gerät gefährlich werden können, zeigen, wie wichtig zuverlässiger und langfristiger Support ist. Berücksichtigen Sie diese Überlegung deshalb vor dem nächsten Kauf eines Netzwerkgeräts: Denn wenn Sie ein Gerät weiterverwenden, das sich nicht mehr schützen lässt, haben Sie immer eine Sicherheitslücke im Heimnetz. AVM beispielsweise bringt noch regelmäßig Updates für die mittlerweile acht Jahre alte Fritzbox 7490 und hat bei Fragattacks auch noch Updates für die Fritzbox 3490 geliefert, die davor zuletzt im Juli 2019 ein neues Fritz-OS bekommen hatte.

Was Sie jetzt tun müssen: Sichern Sie den Zugriff auf das Routermenü mithilfe eines starken Passworts und – falls erforderlich – mit einem speziellen Benutzernamen. Am sichersten ist es, jeweils eigene Nutzerkonten für einzelne Funktionen einzurichten, die nur dafür Rechte ha ben – wie etwa ein Konto für das Routermenü, eines für den VPN-Zugriff, ein drittes für den Zugang zum Router-NAS et cetera. Das erlaubt zum Beispiel die Fritzbox unter „System –› FRITZ!Box-Benutzer“.

Es ist umso wichtiger, ein individuelles Passwort für das Routermenü zu vergeben, da die Standardpasswörter sich leicht erraten lassen oder für viele Modelle bequem im Internet zu finden sind, wie etwa unter www.routerpasswords.com.

Aus dem Internet lässt sich das Routermenü nur attackieren, wenn Sie den Fernzugriff für das Gerät aktiviert haben. Auch beim geschilderten Fritzbox-Beispiel waren nur Router betroffen, bei denen unter „Internet –› Freigaben –› FRITZ!Box-Dienste“ der Internetzugriff zugelassen war. Daher sollten Sie diese Funktion abschalten, wenn Sie sie nicht benötigen, oder sie an dernfalls mithilfe eines Benutzerkontos sichern, das Sie nur dafür einrichten – inklusive starkem Passwort. Des Weiteren können Sie den Standardport 443 für den Fernzugriff ändern, um potenzielle Angreifer nicht sogleich darauf zu stoßen, dass Ihr Router von außen zugänglich ist. Einige Modelle bieten auch die Option, den Fernzugriff nur zu erlauben, wenn er von festgelegten IP- Adressen erfolgt.

Eine Sicherheitslücke, viele betroffene Geräte

Das Sicherheitsproblem: Im Frühjahr dieses Jahres entdeckten Sicherheitsexperten von Tenable eine massive Sicherheitslücke in Routern von Buffalo. Kurze Zeit später stellte sich dann heraus, dass das Problem nicht nur Modelle dieses Anbieters betraf: Schuld daran war eine fehlerhafte Firmware des Herstellers Arcadyan, der ebenfalls für viele andere Firmen Router fertigt, die diese unter ihrem Namen verkaufen. Aus diesem Grund findet sich die Sicherheitslücke beispielsweise auch in Routern von Internet-Providern wie etwa dem Telekom Speedport Smart 3, den Vodafone-Routern Easybox 903 und 904 sowie der O2 Homebox 6441.

Warum ist das gefährlich? Durch die Sicher heitslücke kann ein Angreifer über einen Fernzugriff die Anmeldung für das Rou termenü umgehen. Anstatt die Anmeldeseite direkt aufzurufen, lässt sie sich bei den betroffenen Routern ebenfalls über einen Umweg erreichen – dann fragt das Ge rät jedoch keine Zugangsdaten ab. Wie dieser Pfad lautet, muss der Angreifer ausprobieren. Wenn er ihn findet, hat er Zugriff auf die Routereinstellungen.

Was Sie jetzt tun müssen: Unter https:// de.tenable.com/security/research/tra-2021- 13 finden Sie eine Liste der betroffenen Router wie auch die Firmwareversion, mit der die Sicherheitslücke entdeckt wurde. Sie sollten also auf jeden Fall eine aktuelle Firmware für Ihr Modell installieren – bei einer Vielzahl von betroffenen Geräten wurde die Lücke mit einem Update im August geschlossen. Sicher können Sie jedoch nur dann sein, wenn der Hersteller angibt, dass die neue Firmware den Fehler „CVE-2021-20090“ behebt – finden Sie keine entsprechende Information beim Download, sollten Sie den Routeranbieter kontaktieren. Allerdings lässt sich auch diese Lücke nur ausnutzen, wenn der Fernzugriff auf den Router eingeschaltet ist.

Darüber hinaus ist es hilfreich, zu recherchieren, von welchem Hersteller der eigene Router tatsächlich stammt. So können Sie schneller reagieren, wenn eine neue Sicherheitslücke bekannt wird – auch wenn Ihr eigenes Modell gar nicht betroffen zu sein scheint: Auf www.router-faq.de zum Beispiel finden Sie unter den Infos zu einzelnen Modellen auch die Angabe des eigentlichen Herstellers.

NICHT UNTERSCHÄTZEN: AUCH VOR ORT LAUERN GEFAHREN

Damit Ihr Router sicher bleibt, sollten Sie ihn nicht nur vor Angriffen von außen schützen. Deshalb dürfen Sie nicht übersehen, dass auch Personen mit direktem Zugriff auf das Gerät Einstellungen manipulieren können – da geht es dann meist nicht um Datenklau oder Botnetz-Angriffe, sondern um einen besseren und längeren Zugriff aufs WLAN oder das Ausschalten von Internetsperren. Mit drei einfachen Maßnahmen schieben Sie dem einen Riegel vor:

1. Voreingestellten WLAN-Schlüssel ändern: Bei sämtlichen aktuellen Routern ist das Funknetz ab Werk mit einem individuellen Passwort gesichert – es steht auf einem Zettel, der dem Router beiliegt, oder auf dem Gehäuse. So ist es möglicherweise auch unerwünschten Blicken ausgesetzt, weshalb Sie es im Routermenü unbedingt anpassen sollten.

2. Herstellervorgaben für Routermenü anpassen: Zahlreiche Hersteller schützen darüber hinaus das Menü ab Werk mit einem gerätespezifischen Passwort. Genau wie die WLAN-Infos befindet sich dieses im Handbuch, auf einem speziellen Zettel oder direkt am Routergehäuse. Diese Voreinstellung sollten Sie für eine erhöhte Sicherheit ebenfalls sofort ändern.

3. WLAN-Gastzugang abschalten: Für eine Feier oder wenn Besuch vorbeikommt, ist ein Gästezugang ins WLAN schnell eingerichtet. Genauso schnell wird das aber auch vergessen – was vor allem problematisch sein kann, wenn dieses Funknetz ungeschützt ist. Daher sollten Sie immer daran denken, auch das Gast-WLAN mit einem persönlichen Passwort zu sichern und es auszuschalten, wenn Sie es nicht mehr anbieten wollen, beziehungsweise eine Routeroption zu aktivieren, die das automatisch erledigt, wenn dort kein Gerät mehr angemeldet ist.