Schon ganz dicht?

Router-Sicherheit: TP-Link, AVM und Telekom + Fazit

TP-Link Archer C7 AC1750

© TP-Link

Der TP-Link Archer C7 AC1750.

TP-Link Archer C7 AC1750

Günstigstes Modell im Feld ist der TP-Link Archer C7 AC1750. Er ist seit drei Jahren (Dezember 2013) auf dem Markt und verfügt über kein eingebautes Modem, muss also an Kabelmodem, DSL-Modem oder als reiner Brücke konfiguriertem Provider-Router betrieben werden. Bereits bei einer ersten Überprüfung fällt auf, dass die frischeste erhältliche Firmware 19 Monate alt ist. Das Risiko ausnutzbarer Sicherheitslücken steigt mit dem Alter, weshalb uns turnusgemäße Aktualisierungen sehr willkommen sind. TP-Link verwendet als Nutzernamen und Passwort jeweils admin und macht sich damit leicht angreifbar. Als WPA Pre Shared Key kommt eine achtstellige Dezimalzahl zum Einsatz – nach aktuellem Stand der Technik tendenziell eine Frage von Tagen bei Brute-Force-Angriffen. Noch schlimmer wiegt die Tatsache, dass der WPA-PSK der leichter knackbaren WPS-PIN entspricht. Und zu allem Überfluß ist WPS PIN in der Standard-Konfiguration aktiv.

TP-Link Router

© PC Magazin

Auf dem Rücken des TP-Link-Routers finden Sie die Standardeinstellungen.

AVM Fritzbox 7490

Der Berliner Hardwarehersteller AVM ist mit seinen Fritzboxen seit über zehn Jahren eine feste Größe im Geschäft der DSL-Router mit integriertem Modem. Mittlerweile ist AVM zu einem Entwicklungsmodell übergegangen, das halbjährliche Firmware-Updates verspricht, die neben Sicherheits- und Stabilitätsverbesserungen auch Feature-Updates mitbringen. Das Konzept geht ganz gut auf: Wenn das Office-Management neuen Funktionen beim Anrufbeantworter oder Makeln entgegenfiebert, spielt man Updates gerne ein und macht das Netz so sicherer.

Die Default-Konfiguration lässt Wünsche offen: Ein Standardkennwort für das erste Login ist nicht vorhanden, und unnötige Dienste wie UPnP Medienserver oder FTP (ältere Lagerware) sind aktiv. AVM wies uns auf Nachfrage darauf hin, dass die Firmware-Version 6.80 (bei Redaktionsschluss für Fritzbox 7580 und 7560 verfügbar) diese Einstellungen bei Neuware (oder Werksreset) korrigiert. Nutzer, die unter Beibehaltung der Einstellungen aktualisieren, müssen manuell korrigieren.

Zudem fällt bei AVM positiv die gute Balance zwischen sicheren Standardeinstellungen und Nutzerfreundlichkeit auf: Im Zweifel dirigiert AVM den Nutzer zur sichereren Option, versierte Nutzer haben dennoch alle Freiheiten. Positiv fällt auch die E-Mail-Benachrichtigung auf, die beispielsweise über neue angemeldete Geräte informiert: War zufällig das iPhone des Babysitters in der Nähe, oder ist mein WPA-Schlüssel zu schwach? Über Updates informieren Fritzboxen beim Login.

Fritzbox: Benutzeroberfläche

© AVM

Fritzbox 7490: die Benutzeroberfläche. Hier vergeben Sie das Kennwort.

Telekom Speedport Smart

Noch ein klein wenig besser als AVM macht es die Telekom hinsichtlich der sicheren Standardeinstellungen mit dem neuen von Huawei bezogenen Speedport Smart, der künftig auch Smart-Home-Funktionalität bieten soll: Neben SSID und WPA Pre Shared Key findet sich auch das individuelle Gerätepasswort in einer Karte ( Router-Pass ) im Standfuß des Routers – ein gutes Beispiel für weitergedachte Sicherheit: Während es im Wartezimmer der Arztpraxis kaum auffällt, wenn der Patient die Rückseite des DSL-Routers aus dem Handgelenk fotografiert, dürfte das Herumfummeln am Fuß des Routers doch mehr Aufmerksamkeit erregen. Unter Komfortgesichtspunkten gut, unter Sicherheitsaspekten gemischt zu bewerten ist NFC zur Verbindung mit Smartphones. Ein wenig Ernüchterung für erfahrene Nutzer folgt im Webfrontend: Die strikte Konzentration auf alltägliche Aufgaben erschwert den Zugriff auf feiner granulierte Konfigurationen, so ist zum Beispiel eine detaillierte Sperrung von Protokollen oder Webseiten im Gastmodus nicht auf Anhieb zu erreichen.

Fazit: Keiner fällt durch

Hinsichtlich Standardkonfiguration liefert der neue Speedport Smart der Telekom das beste Ergebnis ab, er kann von unbedarften Nutzern ohne Risiko in Betrieb genommen werden. AVMs Fritzboxen bieten auch fortgeschrittenen Anwendern viele Konfigurationsmöglichkeiten und in der Summe die beste Balance aus Sicherheit und Flexibilität, erfordern aber je nach Firmwareversion ein wenig Aufmerksamkeit (UPnP, Login-Passwort, FTP). Der Preis für Netgears Cloud- und Backup-Funktionalität sind möglicherweise ungewollte im Heimnetzwerk erreichbare Dienste und eben ein erhöhter Konfigurationsaufwand. Lancom erfordert einen fachkundigen Einrichter, der mit Protokollen und Zertifikaten vertraut ist. Das TP-Link-Gerät erhält von uns ein „bedingt bestanden“, es ist sicher, sofern der Anwender wichtige Einstellungen nachholt. Ein Wechsel zu OpenWRT wäre auch eine Alternative.

Test-Tabelle mit Ergebnissen als PDF-Download.

Mehr zum Thema

Fritzbox 7590 im Test
Fritz im schicken Frack

89,0%
AVM verpasst seinem neuen Flaggschiff, der Fritzbox 7590, ein modernes Outfit. Auch die inneren Werte des Routers können…
Fritzbox 7560: Release & Preis
WLAN-Router Update

Das Fritz OS 6.90 Update für die Fritzbox 7560 und 7580 bereit. AVM-Updates für Fritzbox 7590 und 7490 folgen später im September. Das bringt's!
KRACK WPA2 Attacke WLAN Unsicher
Verschlüsselung geknackt

Forscher haben eine Schwachstelle in der WLAN-Verschlüsselung WPA2 entdeckt. Die KRACK getaufte Sicherheitslücke betrifft alle WLAN-Geräte.
KRACK Attacke WPA2
WLAN-Verschlüsselung geknackt

Microsoft hat WPA2 in Windows bereits gepatcht, andere ziehen nach: Wir beantworten die wichtigsten Fragen zur WLAN-Sicherheitslücke KRACK.
KRACK Update AVM FRITZPowerline 1260E FRITZWLANRepeater1750E
Neue Firmware für Repeater 1750E und Powerline…

AVM rollt für für WLAN-Repeater und Powerline-WLAN-Produkte erste Firmware-Updates gegen die WPA2-Schwachstelle KRACK aus. Hier alle Infos.