Digital

Der aktuelle Fall bei der Telekom macht deutlich, dass die Sicherheit des Routers enorm wichtig ist.  Bild: Shutterstock

So schützt man seinen Router vor Hackerattacken

Ein Hackerangriff hat 900'000 Router von Telekom-Kunden lahmgelegt. Die Angreifer nutzen eine Schwachstelle in der Konfiguration. Hier sind ein paar Tipps, wie Sie Ihr Gerät sicherer machen können.

Publiziert: 29.11.16, 21:13

Matthias Kremp

Ein Artikel von

Der Router baut die Verbindung mit dem Internet auf. Darüber wird gesurft, telefoniert und eventuell auch Fernsehen geguckt. Damit bildet das Gerät ein Eingangstor auch in das heimische Netzwerk. Der aktuelle Fall bei der Telekom macht deutlich, dass die Sicherheit des Routers enorm wichtig ist. Lesen Sie hier, wie Sie Ihr Gerät sicherer machen können.

Admin-Passwort ändern

Eigentlich sollte das jedem klar sein, ist es aber offensichtlich nicht. Also: Ändern Sie das Admin-Passwort Ihres Routers. Manche Hersteller sichern ihre Geräte ab Werk nur mit einem Standardpasswort ab, beispielsweise «Password».

Andere versprechen mehr Sicherheit, indem sie jedem Gerät ein einmaliges Passwort zuweisen, das aus einer scheinbar wirren Folge von Zeichen und Ziffern besteht. Meist ist es auf einen Aufkleber auf der Unterseite des Routers gedruckt. Leider gibt es Fälle, in denen diese Passwörter nach klaren Regeln anhand bestimmter Gerätedaten aufgebaut sind und daher entschlüsselt werden können.

Ändern Sie also auch ein solches Passwort lieber in ein individuelles. Wie man ein sicheres Passwort erstellt, erklärt dieser Artikel:

Das WLAN-Passwort unbedingt ändern und nicht das Standardpasswort beibehalten. 

WLAN-Passwort ändern

Auch für das WLAN vergeben manche Routerhersteller Standardpasswörter. Hier gilt dasselbe wie für das Admin-Passwort: Ändern Sie dieses Passwort sofort! Grundsätzlich kann man diese Regel auf alle Fälle anwenden, bei denen ein Gerät ab Werk mit einem vorkonfigurierten Passwort geliefert wird.

Egal wie sicher und kryptisch es wirken mag, kann es doch sein, dass es in einer Datenbank gespeichert wurde, die ein Hacker knacken kann. Oder dass es nach einem bestimmten Algorithmus errechnet wurde, der sich von Kriminellen nachvollziehen lässt.

WLAN-Verschlüsseln: WPA, WPA2 oder WEP, was ist denn nun richtig?

Zur Absicherung des WLANs, das ein Router aufspannt, gibt es verschiedene Methoden. Die sicherste davon wird als WPA2 bezeichnet. Wann auch immer Sie ein WLAN einrichten, sollten Sie diese Methode wählen. Die Alternativen WPA und WEP sind nicht mehr sicher. Mit entsprechenden Softwaretools lassen sie sich binnen weniger Minuten entschlüsseln. Sollte Ihr Router womöglich nur nach WEP oder WPA verschlüsseln können, sollten Sie ihn gegen ein moderneres Modell austauschen.

Finger weg vom WPS-Knopf

Um den Verbindungsaufbau zwischen Endgerät und Router zu vereinfachen, gibt es die sogenannte WPS-Funktion (Wireless Protected Setup). Damit genügt es, am Router einen Knopf zu drücken und am zu verbindenden Gerät entweder eine kurze PIN einzugeben oder ebenfalls nur einen Knopf zu drücken. Die lästige Passworteingabe erspart man sich dabei.

Leider lässt sich diese Methode leicht aushebeln. Unter anderem, weil manche Hersteller die PIN-Nummer nach bekannten Algorithmen berechnen. Deshalb sollte die WPS-Funktion lieber abgeschaltet werden.

Gästen ein eigenes Netz bieten

Die Frage nach dem WLAN-Passwort folgt heute schon fast automatisch auf die üblichen Begrüssungsworte, wenn Gäste ins Haus kommen. Wenn Sie auf Nummer sicher gehen wollen, verweigern Sie dem Besuch den Zugang zu Ihrem privaten Netzwerk. Nicht so sehr, weil Sie ihm misstrauen, sondern weil Sie nicht kontrollieren können, ob Ihr Gast nicht womöglich und ohne es zu wissen Schadsoftware auf seinem Smartphone herumträgt.

Richten Sie deshalb ein Gastnetzwerk ein. Viele WLAN-Router bieten diese Möglichkeit. Ein solches Gast-WLAN hat nicht nur einen eigenen Namen und Passwort, es bietet vor allem nur Zugriff aufs Internet, aber nicht auf Ihr privates Netzwerk. Ihre Daten und Geräte bleiben geschützt.

Kann gefährlich werden: UPnP

Das Netzwerkprotokoll UPnP (Universal Plug and Play) ist eine tolle Sache. Es ermöglicht beispielsweise die einfache Kommunikation zwischen Multimediageräten im Heimnetz. So kann der Smart-TV per UPnP leicht die Netzwerkfestplatte finden und benutzen, auf der die Urlaubsvideos gespeichert sind.

Auf viele Router kann per Browser oder App auch aus der Ferne zugegriffen werden, was Hackern eine grössere Angriffsfläche bietet, darum: Ausschalten! bild: wikipedia/colin

Dummerweise kann diese Funktion aber auch gegen Sie verwendet werden, weil per UPnP auch die Konfiguration des Routers verändert werden kann.

Das geschieht auch regelmässig, beispielsweise bei Netzwerkdruckern, die sich Druckaufträge auch via Internet schicken lassen wollen. Das Problem: Manchmal öffnen solche Anwendungen Zugänge, über die sich auch Fremde ins Netz einschleichen könnten. Eine weitere Möglichkeit ist Schadsoftware, die von einem infizierten Gerät aus den Router so weit für sich öffnet, dass sie etwa weitere Schadsoftware nachladen oder sich selbst von dort aus verbreiten kann.

Deshalb gilt: Schalten Sie UPnP im Router ab, wenn Sie es nicht unbedingt brauchen.

Die sieben eindrücklichsten Hacker-Attacken

Für Hacker verlockend: der Fernzugriff

Auf viele Router kann per Browser oder App auch aus der Ferne zugegriffen werden. Bei den beliebten FritzBox-Routern von AVM heisst die entsprechende Funktion beispielsweise «MyFritz», andere Hersteller geben solchen Diensten andere Namen. Generell aber gilt: Alle Funktionen, die einen Fernzugriff ermöglichen, die das Wort «Remote» im Titel tragen, können potenziell gefährlich sein. Egal wie gut sie gesichert sein mögen, bieten sie Hackern doch zumindest eine Angriffsfläche.

Und mal ehrlich: Wann müssen Sie denn wirklich von unterwegs auf Ihren Heimrouter zugreifen? Deshalb gilt auch hier: Abschalten!

Kein Update verpassen

Nicht immer sind es Fehlkonfigurationen oder Anwenderfehler, die Kriminellen die Tür zum Router öffnen. Sie nutzen aber ständig Sicherheitslücken in der Routersoftware aus. Doch meist werden solche Lücken von den Herstellern gestopft, sobald diese davon erfahren. Deshalb sollte man mit seinem Router kein Update verpassen.

Manche Geräte bieten eine automatische Update-Funktion. So sucht das Gerät selbst regelmässig nach neuer Betriebssoftware. Ist eine solche Funktion nicht vorhanden, sollte man sich angewöhnen, regelmässig selbst auf den Seiten des Herstellers danach zu suchen. Ein sich wiederholender Eintrag im Kalender, etwa wöchentlich oder 14-tägig, hilft, diese Routine nicht zu vergessen.

Stellt man fest, dass es schon über einen längeren Zeitraum, womöglich Jahre, keine solchen Updates mehr gegeben hat, sollte man sich informieren, ob für das fragliche Routermodell Sicherheitslücken bekannt sind, die der Hersteller nicht mehr geschlossen hat. Im Zweifel ist es dann ratsam, auf ein neueres Modell umzusteigen.

Noche mehr Hacker-News Meldungen...

«Ihr habt nicht begriffen, wie das Internet funktioniert!» – ein Student zeigt, wie leicht wir im Netz überwacht werden

«Ich bin schon in mehrere Atomkraftwerke eingebrochen»

Das sind die 10 gefährlichsten Programme, die du auf deinem Windows-PC oder Mac haben kannst

Dieser Hacker erklärt, warum dein E-Banking nicht so sicher ist, wie deine Bank behauptet

Nordkorea hat Apples Mac-Betriebssystem geklont. So funktioniert die Kopie​

12'000 Hacker unter sich: Zu Besuch am Kongress des Chaos Computer Clubs

5 dreiste Hacker-Attacken, die so raffiniert sind, dass sie uns noch lange gefährden werden

«Wenn ich eine andere Identität vortäusche, kann ich in das Leben einer Person eindringen»

Was passiert, wenn Autos gehackt werden? Hacker zielen auf neuartige Sicherheitslücken

Alle Artikel anzeigen

Hol dir die App!

User-Review:
schlitteln - 18.4.2016
Guter Mix zwischen Seriösem und lustigem Geblödel. Schön gibt es Watson.
25 Kommentare anzeigen
25
Logge dich ein, um an der Diskussion teilzunehmen
Youtube-Videos und Links einfach ins Textfeld kopieren.
600
  • demokrit 29.11.2016 23:05
    Highlight Stellt jemand Router/Switches mit einem "Swiss Finish" ohne Hintertüren her?
    2 0 Melden
    • anst 29.11.2016 23:37
      Highlight Ein apu2 von PC Engines aus Glattbrugg (pcengines.ch/apu2.htm) bestellen, dieses kannst du dann mitmeinem beliebigen Betriebssystem deiner Wahl bestücken, z.b. pfSense wenns einigermassen einfach bleiben soll, oder opnSense, dessen Vorgänger auch von einem Schweizer entwickelt wurde.
      11 0 Melden
    • demokrit 30.11.2016 08:05
      Highlight Hm. Enduser. Aber "Origin: Taiwan"?
      1 1 Melden
    600
  • Madison Pierce 29.11.2016 22:50
    Highlight Vorne ein billiger ZyXEL im Bridge Mode, dahinter eine apu2 mit pfSense. Dann pfuscht der Provider auch nicht mehr an der Konfiguration rum.
    13 0 Melden
    • #bringhansiback 29.11.2016 22:57
      Highlight War auch lange pfSense Anhänger. Aber mit V2.3 komme ich nicht klar.
      Daher habe ich auf OpnSense gewechselt. Schau dir die sonst mal an.
      Hauptvorteil ist, dass bei OpnSebse das darunterliegende FreeBSD nicht angefasst wird.
      4 0 Melden
    • oureax 29.11.2016 23:32
      Highlight Bei mir werkelt auch eine APU mit pfSense. Super Hardware! Habe noch die erste APU, habe eben gehört PC Engines wird eine APU2 mit 4 Ports rausbringen.
      1 0 Melden
    • #bringhansiback 30.11.2016 00:12
      Highlight Schau dir sonst mal die Intel Atom C2X50 oder C2X58 Serie resp. Deren Nachfolger an. Mehr Fump und nicht unbedingt teurer.
      Vor allem aber wird pf wie auch Opnsense für diese CPUs entwickelt. Ich hab hier eine 4860er Appliance von pfSense für ~400Fr nachgebaut, aber eben OpnSense installiert
      1 1 Melden
    • Madison Pierce 30.11.2016 08:27
      Highlight Danke für den Tipp mit OpnSense! Werde ich gerne mal anschauen, kannte ich noch nicht.
      2 0 Melden
    • SaveAs_DELETE 30.11.2016 16:49
      0 2 Melden
    • Madison Pierce 30.11.2016 17:15
      Highlight Ja, zumindest im aktuellen Fall hätte ein ordentlich konfigurierter Router geholfen. Nicht weil der irgendwie "immun" gegen DoS wäre (geht nicht bzw. die Leitung wäre bei DoS das Problem), sondern weil auf einem richtig konfigurierten Gerät keine Ports von aussen erreichbar sind.
      2 0 Melden
    • #bringhansiback 30.11.2016 17:55
      Highlight Ja. Die Attacken zielten auf den TR-069 exploit ab der am 07.11.2016 veröffentlicht wurde. Da der Router auf die Anfrage antwortete, versuchte es Bot/Wurm/whatever immer wieder. Das führte dann zum DoS.
      Die Firewall aber hat diesen Port gar nicht offen. Daher bekam der Bot/Wurm/Whatever keine Antwort und verwarf diese IP.
      3 0 Melden
    600
  • SVARTGARD 29.11.2016 21:39
    Highlight Ich habe nichts zu verbergen.😂😂😂😂😂
    12 32 Melden
    • Thanatos 29.11.2016 22:36
      Highlight Auch deine Kreditkartennr.?
      23 1 Melden
    • SVARTGARD 30.11.2016 07:28
      Highlight Nein.
      3 4 Melden
    • Safran 30.11.2016 10:10
      Highlight @SVARTGARD: Und wenn jemand über deine Internetverbindung Kinderpornos runterlädt? Wen glaubst du wird die Polizei verhaften?
      9 1 Melden
    • SVARTGARD 30.11.2016 11:23
      Highlight Dich Safran
      4 5 Melden
    • Safran 30.11.2016 13:25
      Highlight @SVARTGARD: Na dann kannst du ja beruhigt sein, wenn sie mich holen werden ;).
      5 0 Melden
    • SVARTGARD 30.11.2016 14:52
      Highlight 😂👍🍻
      4 0 Melden
    600
  • #bringhansiback 29.11.2016 21:30
    Highlight Alles in allem gute Tipps. Leider aben gehen sie an der aktuellen Angriffswelle vorbei. Diese Angriffswelle nutzt eine Schwachstelle im TR-069/TR-064 Dienst aus (bei Swisscom heisst das EasyActivation, andere ISP nutzen dasselbe unter anderem Namen). Darauf haben diese im Artikel beschriebenen Massnahmen keinen Einfluss.
    Alles was hier hilft ist dem ISP auf den Sack gehen, Routerfirmware ohne TR-069 Funktion verlangen, Fragen zur Sicherheit und Haftungsübernahme stellen (da Ihr die Router nicht mehr kontrollieren könnt).
    Alternativ gehen auch Open Market Router oder eigene Firewall mit Modem.
    23 1 Melden
    • Lorent Patron 29.11.2016 22:17
      Highlight "Da sich die Komplexität dieser Geräte erhöht, überfordert deren Konfiguration viele Benutzer. Daher wurde mit TR-069 ein Protokoll entworfen, das einem Zugangsprovider die Fernwartung dieser Geräte ermöglicht."

      https://de.wikipedia.org/wiki/TR-069

      Somit liegt die Verantwort beim Provider, der oft nicht nur Konfiguration sondern auch die Endgeräte liefert, und der hoffentlich bei seinem Backdoor-Lieferanten auch dessen Haftungen und Schadenersatz durchsetzen kann.

      Der Kunde muss nur Motzen. Und Aus- und einschalten. ;)

      https://www.telekom.de/hilfe/hilfe-bei-stoerungen/anschluss-ausfall
      6 1 Melden
    • User01 29.11.2016 22:32
      Highlight Die Swisscomrouter nutzen TR-181.
      2 2 Melden
    • #bringhansiback 29.11.2016 22:43
      Highlight @User01: TR-181 ist eine Erweiterung (genauer ein Device Data Model für IPv6 und Firwallkonfigurationen) zu TR-069.
      Das Grundsätzliche Protokoll ist immer noch TR-069.

      Das Dokument zu TR-069 habe ich jetzt nur überflogen, aber nur schon das Titelblatt sagt dies aus.
      7 1 Melden
    • p4trick 29.11.2016 22:48
      Highlight Ich würde nie im Leben der Router des Providers verwenden. Da schalte ich immer meinen eigenen mit aktivierter Firewall davor.. alles andere ist sowieso fahrlässig.
      4 2 Melden
    • #bringhansiback 29.11.2016 22:49
      Highlight @Lorent Patron: Punkt 4 der AGB von Swisscom sagt aber etwas anderes. Besonders kritisch ist es, da der Router gekauft wird und somit im Eigentum (und somit eigentlich auch in der Verantwortung) des Kunden ist.
      5 0 Melden
    • Lorent Patron 30.11.2016 13:14
      Highlight Punkt 4 der AGB schliesst die Haftung nicht generell aus.

      https://www.swisscom.ch/content/dam/swisscom/de/res/residential-additional-pages/rechtliches/AGB-Dienstleistung-de.pdf

      "Swisscom haftet nicht für nach der Fernwartung auftretende allfällige Schäden an der Infrastruktur des Kunden, sofern diese nicht nachweislich durch die Fernwartung von Swisscom
      verschuldet worden sind."

      Vorliegend hat Telekom (und ihr Lieferant) nachweislich fehlerhafte Firmware auf die Geräte der Kunden geliefert und somit die Störung verursacht. Es wäre noch schlimmer gekommen, wenn der Angriff gelungen wäre.
      1 1 Melden
    600

Nokia kommt zurück! Anfang 2017 steht der legendäre Name wieder auf Smartphones

Im Mai hat Nokia sein Comeback im Smartphone- und Tablet-Markt angekündigt. Nun gibt es die ersten konkreten Lebenszeichen von den Finnen, die 2017 ihr Comeback im Handy-Markt geben.

Nokia will Anfang 2017 mit einem Android-Smartphone ins Rampenlicht zurückkehren. Nachdem die Finnen bereits vor einem halben Jahr ihre Comeback-Pläne angekündigt haben, gibt Nokia nun weitere Informationen preis. Auf der Firmenwebseite wurde heute eine neue Rubrik für Smartphones veröffentlicht, die mehrere Android-Geräte für das nächste Jahr ankündigt. Zu sehen sind aktuell allerdings erst die klassischen Nokia-Handys, die in ärmeren Ländern immer noch millionenfach verkauft werden. …

Artikel lesen