Wir machen Technik einfach
Beste Sicherheit

Router sicher einrichten: So machen Sie Hackern den Garaus

Cyberkriminelle müssen an Ihrem Router vorbei, um Schaden anzurichten. Wir zeigen, wie Sie Router sicher einrichten und Hackern somit den Garaus machen.

Schloß  und WLAN-Kabel

© asharkyu / shutterstock.com

Wer Hackern die Tür vor dem eigenen Router zumacht, hat viele Sorgen weniger.

Dem Router im Heimnetz schenkt man in der Regel wenig Beachtung, solange er nur funktioniert. Dabei spielt Ihr WLAN-Router eine entscheidende Rolle für den Schutz Ihrer Geräte und Daten zu Hause. Ein schlecht gesicherter Router bietet Angreifern die Möglichkeit, sich in Ihrem Heimnetz einzunisten und unerfreuliche Dinge zu tun. Neben dem Ausspähen diverser Zugangsdaten verwenden Kriminelle gekaperte Router auch immer häufiger für ferngesteuerte Angriffe aus dem Internet. Dabei werden bestimmte Ziele im Internet mit so vielen Anfragen bombardiert, bis das Angriffsziel seinen Dienst einstellen muss. Man spricht hierbei von Denial of Service- oder DoS-Attacken. Sichern Sie Ihren Router deshalb so gut wie möglich ab. Wir zeigen Ihnen die wichtigsten Schutzmaßnahmen.​

TIPP 1: Halten Sie Ihren Router mit Firmware-Updates auf dem Laufenden 

Die Firmware ist das Betriebssystem Ihres Routers – ähnlich wie Windows für das Notebook oder den PC. Kein Betriebssystem ist unfehlbar, weshalb Microsoft seine Windows-Versionen immer wieder mit automatischen Updates nachbessert. Verantwortungsvolle Router-Hersteller verfahren ebenso, indem sie Updates für die Firmware ihrer Router bereitstellen. Diese Firmware-Updates sollten Sie unbedingt auf Ihren Router aufspielen, da das Gerät sonst für im Internet bekannte Sicherheitslücken, sogenannte Exploits, angreifbar ist. Die meisten Router-Hersteller bieten hierzu inzwischen eine Update-Funktion im Webmenü des Routers an. Diese weist Sie darauf hin, ob für Ihren Router eine aktuelle Firmware-Version bereitsteht. Mit einem Klick lässt sich diese Version herunterladen und auf dem Router installieren. Deshalb sollten Sie wenigstens einmal im Monat einen Blick in das Webmenü Ihres Routers werfen.​

Fritz!Box Update

© Screenshot WEKA / PCgo

Die Updatefunktion der Fritzbox führt kritische Updates eigenständig durch.

Manche Hersteller, wie zum Beispiel AVM in seinen Fritzbox-Modellen, bieten bereits eine automatische Update-Funktion an. Hier führt der Router sicherheitskritische Firmware-Updates selbstständig durch, sofern man im Router-Menü keine andere Einstellung vorgenommen hat.​

Lesetipp: Fritzbox 7490 bekommt Update - alle Infos

Bedenken Sie: Ihr Router ist der Torwächter zwischen dem Internet und Ihrem Heimnetz mit allen darin angeschlossenen Geräten. Wer ihn mit einer veralteten Firmware betreibt, geht ein hohes Risiko ein.​

TIPP 2: Sicheres Passwort zum Router-Menü vergeben 

Sichern Sie den Zugang zum Router-Menü grundsätzlich über ein eigenes Passwort ab. Nach wie vor statten viele Hersteller ihre Router-Modelle in den Werkseinstellungen mit unsicheren, sogenannten default-Zugangsdaten aus. Sehr häufig wird dabei admin als​ Benutzername und password als Passwort verwendet. Alle default-Zugangsdatenkombinationen für jedes beliebige Routermodell stehen im Internet zum Abruf bereit. Somit kann jeder Angreifer, der sich bereits in Ihrem Heimnetz befindet, in wenigen Augenblicken Zugang zu einem solchen Router erhalten. Vorsicht: Auch Schadprogramme, die man sich am PC oder Smartphone eingefangen hat, können Ihr Heimnetz nach Schwachstellen durchsuchen, wie zum Beispiel einen schlecht gesicherten Router.​

Lesetipp: Sicheres Passwort erstellen - so geht's

Vergeben Sie deshalb grundsätzlich ein eigenes, sicheres Zugangspasswort zum Routermenü. Dieses Passwort sollte sich aus Ziffern, Groß- und Kleinbuchstaben zusammensetzen und mindestens 10-stellig sein. Falls möglich, ändern Sie auch den häufig vorgegeben Benutzernamen admin in einen alternativen Benutzernamen. Viele Routermodelle haben inzwischen das default-Passwort durch ein für jeden Router individuell erzeugtes Passwort ersetzt. Dieses Passwort ist dann meist auf der Unterseite des Router-Gehäuses abgedruckt. Wenn auch kein Mitbewohner Zugang ins Routermenü erhalten soll, empfiehlt es sich, auch dieses individuelle Passwort durch ein eigenes Router- Passwort zu ersetzen.​

Asus Router

© Screenshot WEKA / PCgo

Bei einem Asus-Router lässt sich auch der Benutzername (Router Kontoname) ändern.

TIPP 3: WLAN vor unerwünschten Nutzern schützen

Da ein WLAN-Router auch außerhalb der eigenen vier Wände funkt und somit von jedem beliebigen WLAN-Client in Reichweite angesprochen werden kann, sollten Sie die Funkverbindung Ihres Routers grundsätzlich sichern. Dazu verwenden Sie die WPA2-Verschlüsselung, die in allen halbwegs aktuellen Routern bereits voreingestellt ist. Manche WLAN-Router verwenden​ dabei eine Kombination aus WPA (TKIP) und WPA2 (AES). Wenn möglich, ändern Sie diese Einstellung auf WPA2 ab. WLAN-Clients mit WPA (TKIP) sind bereits veraltet. Zudem ist die WPA(TKIP)-Verschlüsselungsmethode nicht so sicher wie WPA2.​

Lesetipp: Die besten WLAN-Router

Verwenden Sie ein ausreichend starkes WPA2-Passwort, mit dem Sie den Zugang zu Ihrem WLAN-Netz absichern. Dieses WPA-Passwort sollte mindestens 20-stellig sein, sich ebenfalls aus Ziffern, Groß- und Kleinbuchstaben zusammensetzen und nicht im Wörterbuch stehen.​

Verwenden Sie außerdem grundsätzlich Ihr WLAN-Gastnetz, wenn Sie Ihren Besuch oder den Freunden Ihrer Kinder mit einem Internetzugang versorgen möchten. In der Regel ist das Gastnetz von Ihren Geräten im Heimnetz getrennt und besitzt eine eigene SSID (WLAN-Name). Verschlüsseln Sie auch Ihr Gastnetz mit WPA2 samt Passwort, und schalten Sie es wieder ab, sobald Ihre Gäste abgereist sind.​

TIPP 4: Knopfdruck mit Risiko: WPS über Router-PIN deaktivieren 

Für die drahtlose Einbindung Ihrer WLAN-Clients können Sie anstelle der wenig komfortablen Passworteingabe auch einfach das praktische WPS-Verfahren nutzen. Dabei wird die verschlüsselte WLAN-Verbindung einfach durch das Drücken eines WPS-Knopfes an Router und Client erledigt. Neben dieser sehr komfortablen Knopfdruck- oder Push-Button-Methode unterstützt WPS außerdem noch die sogenannte PIN-Methode, bei der anstelle des langen WPA2-Passworts nur eine kurze Router-PIN in den Client oder eine kurze Client-PIN in den Router eingetragen wird. Leider ist die WPS-Router-PIN-Methode in vielen WLAN-Routern mit einer Sicherheitslücke behaftet und kann deshalb mit geeigneten Tools geknackt werden. Manche Router bieten die Möglichkeit, die sicherheitskritische (Router-) PIN-Methode explizit abzuschalten. Falls Sie sich nicht sicher sind, deaktivieren Sie WPS im Routermenü komplett, nachdem Sie Ihre WLAN-Clients im Heimnetz eingerichtet haben.​

TP-Link Router PIN

© Screenshot WEKA / PCgo

Bei diesem TP-Link-Router können Sie die unsichere WPS-Methode mittels Router-PIN explizit abschalten. Die Push- Button-Methode lässt sich trotzdem nutzen.

TIPP 5: Sicherheits-Diagnose im Routermenü nutzen

Einige Hersteller statten ihre Router mit einer umfassenden Diagnosefunktion aus, die dem Anwender einen Überblick über alle sicherheitsrelevanten Einstellungen im Router gibt. So lässt sich rasch ermitteln, an welchen Optionen im Routermenü eventuell noch Veränderungen vorzunehmen sind.​

AVMs aktuelle Fritzbox-Modelle listen unter Diagnose/Sicherheit unter anderem auf, ob die Firmware noch aktuell ist, der Zugang zum Router kennwortgesichert ist oder welche Portweiterleitungen am Router eingerichtet sind. Am Ende der Liste wird sogar angezeigt, welcher Benutzer sich wann zuletzt an der Fritzbox angemeldet hat und welche Rechte man den einzelnen Benutzern zugewiesen hat – sofern die Benutzerverwaltung in der Fritzbox überhaupt aktiviert ist.​

Noch einen Schritt weiter geht Asus mit seiner Router-Sicherheitsbewertung, die im Routermenü unter Allgemein/AiProtection/Netzwerk-Schutz zu finden ist. Nach einem Klick auf Prüfen werden alle sicherheitsrelevanten Einstellungen aufgelistet und können bei Bedarf mit einem Klick auf Router sichern behoben werden. Wer allerdings bestimmte Portweiterleitungen oder einen (gesicherten) Fernzugang auf seinen Router dringend benötigt, sollte hier unbedingt selektiv vorgehen.​

Fritz!Box Sicherheitsdiagnose

© Screenshot WEKA / PCgo

AVMs Fritzbox bietet eine sehr ausführliche Sicherheits-Diagnose.

TIPP 6: Fernzugang nur unter bestimmten Voraussetzungen freischalten 

Apropos Fernzugang auf den Router: Die meisten Anwender werden Einstellungen in ihrem Router sowieso nur vornehmen, wenn Sie zu Hause im Heimnetz ange​meldet sind. Sofern das auch für Sie zutrifft, lassen Sie den Fernwartungszugang in Ihrem Router grundsätzlich deaktiviert. Dann kann auch niemand vom Internet aus auf das Menü Ihres Routers gelangen.​

Falls Sie dennoch aus der Ferne auf Ihren Router zugreifen möchten, dann sollten Sie das ausschließlich über eine sichere SSL-Verbindung erledigen. Fast alle Routermodelle ermöglichen den Fernzugang über eine SSL-verschlüsselte HTTPS-Verbindung und nicht über das unverschlüsselte HTTP. Es gibt immer noch vereinzelte Router-Hersteller, deren Fernwartung sich nur über das HTTP-Protokoll abwickeln lässt. Dabei werden Benutzername und Passwort zu Ihrem Routermenü im Klartext übers Internet geschickt. In einem solchen Fall müssen Sie grundsätzlich auf die Fernwartung verzichten.​

Da der Fernzugriff auf Ihren Router meist über ein unsigniertes SSL-Zertifikat des Router-Herstellers läuft, warnt Sie Ihr Browser beim ersten Aufruf des Router- Menüs aus dem Internet vor einer unsicheren Verbindung. Damit der SSL-Zugriff funktioniert, schlagen Sie in diesem Fall die Warnung Ihres Browsers in den Wind und öffnen die „unsichere“ Webseite trotzdem. Sofern Ihr Router noch andere Zugriffsdienste wie Telnet oder SSH unterstützt, die Sie vermutlich nicht benutzen werden, so lassen Sie diese grundsätzlich deaktiviert.​

TIPP 7: Steuerung der Portfreigaben über UPnP abschalten 

Auch diverse Heimnetzgeräte, wie zum Beispiel Netzwerkfestplatten (NAS) oder Spielekonsolen, benötigen für Zugriffe aus dem Internet bestimmte Port-Weiterleitungen oder -Freigaben im Router. Die hierzu nötigen Einstellungen in der Router-Firewall sind kompliziert. Aus diesem Grund wurde das UPnP-Protokoll entwickelt, das diese Einstellungen quasi automatisch regelt. NAS oder Spielkonsole kommunizieren dann per UPnP direkt mit dem Router und teilen ihm mit, welche Ports der Router zu welchem Zeitpunkt öffnen soll. Somit ist UPnP vom Grundgedanken her äußerst komfortabel und anwenderfreundlich. 

Allerdings kann mithilfe dieses Protokolls auch ein beliebiger, möglicherweise schädlicher Client im Heimnetz per UPnP die Firewall des Routers nach Belieben „konfigurieren“ – zum Beispiel auch eine schädliche Software auf einem angeschlossenen PC oder Smartphone, die an die Firewall Ihres Routers entsprechende Anweisungen sendet. Die Steuerung über UPnP ist bereits seit Jahren ab Werkseinstellung in fast allen Router-Modellen im Handel aktiviert. Wer diese nicht unerhebliche Sicherheitslücke schließen möchte, sollte UPnP deaktivieren. Nur AVM bietet aktuell eine Lösung für dieses Problem​.

Mehr zum Thema

Unser Ratgeber zeigt, wie Sie die Netcam von Belkin einrichten.
Überwachungskamera einbauen

Möchten auch Sie Ihr zu Hause immer im Blick haben und wissen, ob alles in Ordnung ist? Die Netcam von Belkin hilft Ihnen dabei, Ihr Zuhause sicherer…
WLAN-Repeater
WLAN Repeater

Falls das WLAN Ihres Routers nicht bis ins Arbeits- und Schlafzimmer reicht, kann ein Repeater die Verbindung überbrücken. Wir zeigen, wie Sie einen…
AVM FRITZBox Fon WLAN 7390
WPS, UPnP & Co.

Ihr WLAN-Router ist der Dreh- und Angelpunkt im Heimnetzwerk und deshalb ein beliebtes Angriffsziel. Wir geben Tipps, wie Sie Router sicher…
WLAN-AC nachrüsten
WiFi-Ratgeber

Sie wollen Ihr WLAN schneller machen? Rüsten Sie Ihr Heimnetz auf AC-WLAN auf. Wir zeigen, wie Sie das günstig und mit wenig Aufwand schaffen.
Screenshot
Tipp

Wenn Sie Ihr WLAN-Passwort auslesen wollen, reicht ein Blick in Windows. Wir verraten, wie Sie Windows das WLAN-Kennwort anzeigen lassen.