Schon ganz dicht?

Router-Sicherheit: TP-Link, AVM und Telekom + Fazit

TP-Link Archer C7 AC1750

© TP-Link

Der TP-Link Archer C7 AC1750.

TP-Link Archer C7 AC1750

Günstigstes Modell im Feld ist der TP-Link Archer C7 AC1750. Er ist seit drei Jahren (Dezember 2013) auf dem Markt und verfügt über kein eingebautes Modem, muss also an Kabelmodem, DSL-Modem oder als reiner Brücke konfiguriertem Provider-Router betrieben werden. Bereits bei einer ersten Überprüfung fällt auf, dass die frischeste erhältliche Firmware 19 Monate alt ist. Das Risiko ausnutzbarer Sicherheitslücken steigt mit dem Alter, weshalb uns turnusgemäße Aktualisierungen sehr willkommen sind. TP-Link verwendet als Nutzernamen und Passwort jeweils admin und macht sich damit leicht angreifbar. Als WPA Pre Shared Key kommt eine achtstellige Dezimalzahl zum Einsatz – nach aktuellem Stand der Technik tendenziell eine Frage von Tagen bei Brute-Force-Angriffen. Noch schlimmer wiegt die Tatsache, dass der WPA-PSK der leichter knackbaren WPS-PIN entspricht. Und zu allem Überfluß ist WPS PIN in der Standard-Konfiguration aktiv.

TP-Link Router

© PC Magazin

Auf dem Rücken des TP-Link-Routers finden Sie die Standardeinstellungen.

AVM Fritzbox 7490

Der Berliner Hardwarehersteller AVM ist mit seinen Fritzboxen seit über zehn Jahren eine feste Größe im Geschäft der DSL-Router mit integriertem Modem. Mittlerweile ist AVM zu einem Entwicklungsmodell übergegangen, das halbjährliche Firmware-Updates verspricht, die neben Sicherheits- und Stabilitätsverbesserungen auch Feature-Updates mitbringen. Das Konzept geht ganz gut auf: Wenn das Office-Management neuen Funktionen beim Anrufbeantworter oder Makeln entgegenfiebert, spielt man Updates gerne ein und macht das Netz so sicherer.

Die Default-Konfiguration lässt Wünsche offen: Ein Standardkennwort für das erste Login ist nicht vorhanden, und unnötige Dienste wie UPnP Medienserver oder FTP (ältere Lagerware) sind aktiv. AVM wies uns auf Nachfrage darauf hin, dass die Firmware-Version 6.80 (bei Redaktionsschluss für Fritzbox 7580 und 7560 verfügbar) diese Einstellungen bei Neuware (oder Werksreset) korrigiert. Nutzer, die unter Beibehaltung der Einstellungen aktualisieren, müssen manuell korrigieren.

Zudem fällt bei AVM positiv die gute Balance zwischen sicheren Standardeinstellungen und Nutzerfreundlichkeit auf: Im Zweifel dirigiert AVM den Nutzer zur sichereren Option, versierte Nutzer haben dennoch alle Freiheiten. Positiv fällt auch die E-Mail-Benachrichtigung auf, die beispielsweise über neue angemeldete Geräte informiert: War zufällig das iPhone des Babysitters in der Nähe, oder ist mein WPA-Schlüssel zu schwach? Über Updates informieren Fritzboxen beim Login.

Fritzbox: Benutzeroberfläche

© AVM

Fritzbox 7490: die Benutzeroberfläche. Hier vergeben Sie das Kennwort.

Telekom Speedport Smart

Noch ein klein wenig besser als AVM macht es die Telekom hinsichtlich der sicheren Standardeinstellungen mit dem neuen von Huawei bezogenen Speedport Smart, der künftig auch Smart-Home-Funktionalität bieten soll: Neben SSID und WPA Pre Shared Key findet sich auch das individuelle Gerätepasswort in einer Karte ( Router-Pass ) im Standfuß des Routers – ein gutes Beispiel für weitergedachte Sicherheit: Während es im Wartezimmer der Arztpraxis kaum auffällt, wenn der Patient die Rückseite des DSL-Routers aus dem Handgelenk fotografiert, dürfte das Herumfummeln am Fuß des Routers doch mehr Aufmerksamkeit erregen. Unter Komfortgesichtspunkten gut, unter Sicherheitsaspekten gemischt zu bewerten ist NFC zur Verbindung mit Smartphones. Ein wenig Ernüchterung für erfahrene Nutzer folgt im Webfrontend: Die strikte Konzentration auf alltägliche Aufgaben erschwert den Zugriff auf feiner granulierte Konfigurationen, so ist zum Beispiel eine detaillierte Sperrung von Protokollen oder Webseiten im Gastmodus nicht auf Anhieb zu erreichen.

Fazit: Keiner fällt durch

Hinsichtlich Standardkonfiguration liefert der neue Speedport Smart der Telekom das beste Ergebnis ab, er kann von unbedarften Nutzern ohne Risiko in Betrieb genommen werden. AVMs Fritzboxen bieten auch fortgeschrittenen Anwendern viele Konfigurationsmöglichkeiten und in der Summe die beste Balance aus Sicherheit und Flexibilität, erfordern aber je nach Firmwareversion ein wenig Aufmerksamkeit (UPnP, Login-Passwort, FTP). Der Preis für Netgears Cloud- und Backup-Funktionalität sind möglicherweise ungewollte im Heimnetzwerk erreichbare Dienste und eben ein erhöhter Konfigurationsaufwand. Lancom erfordert einen fachkundigen Einrichter, der mit Protokollen und Zertifikaten vertraut ist. Das TP-Link-Gerät erhält von uns ein „bedingt bestanden“, es ist sicher, sofern der Anwender wichtige Einstellungen nachholt. Ein Wechsel zu OpenWRT wäre auch eine Alternative.

Test-Tabelle mit Ergebnissen als PDF-Download.

Mehr zum Thema

Archer VR900v Lifestyle
DSL und Kabelinternet

Der WLAN-Router ist das Einfallstor für Cyberkriminelle in Ihr Heimnetzwerk. Wir zeigen, wie Sie DSL- und Kabel-Router absichern können.
Screenshot
Tipp

Wenn Sie Ihr WLAN-Passwort auslesen wollen, reicht ein Blick in Windows. Wir verraten, wie Sie Windows das WLAN-Kennwort anzeigen lassen.
Teaserbild Paul Paladin
Zwanglos online

Seit dem 1. August 2016 dürfen Netzbetreiber ihren Kunden nicht mehr ein bestimmtes Endgerät aufzwingen – denn oft gibt es bessere Router. Wir…
Fritzbox 7490 Update Fritzos 6.80
Neue Router-Firmware

Für die Fritzbox 7490 veröffentlicht AVM das Update auf FritzOS 6.80 - mit WLAN-Boost, besserem Gastzugang und mehr. Wir erklären alle Änderungen.
Fritzbox 7590 im Test
Fritz im schicken Frack

89,0%
AVM verpasst seinem neuen Flaggschiff, der Fritzbox 7590, ein modernes Outfit. Auch die inneren Werte des Routers können…