Anfang des Jahres sah ich mich gezwungen, einen neuen Router für zu Hause kaufen zu müssen. Der alte TP-Link war einfach nicht mehr in der Lage, meine ganzen Geräte mit Internet zu versorgen. Zwei Computer, drei Smartphones, eine Videospielkonsole, TV, Chromecast, Stereoanlage, das smarte Licht, das Thermostat und die Smartwatch… Etwa zwölf Geräte sind pausenlos auf einem Raum von 50m² mit dem Router verbunden – mal von meinem Besuch abgesehen, der oft zuerst nach dem WLAN-Passwort fragt.
Nach längeren Nachforschungen über die technischen Details vieler Geräte entschied ich mich letztendlich für den OnHub Router von Google. Dieser ist eine Art Computer, der für IoT-Geräte gebaut ist und weit mehr als 30 Geräte gleichzeitig bedienen kann. Anscheinend soll der Router eines der sichereren Geräte auf dem Markt sein.
Tatsächlich sollte in Bezug auf die Netzwerksicherheit zu Hause zuerst an den Router gedacht werden. Er beeinflusst nicht nur den Umfang des Netzwerks, sondern kontrolliert auch den gesamten Datenverkehr und alle Informationen, die ihn durchlaufen. Heutzutage besitzen die meisten Router vielseitige Funktionen, Werkzeuge und Konfigurationsmöglichkeiten, welche zugleich das Potential für eine Kompromittierung erhöhen.
# 1 Änderung des Router-Passworts
Man mag es kaum glauben, aber auch im Jahr 2017 ändern nur die wenigsten User das Standardpasswort ihres Routers, nachdem sie das Neugerät zu Hause installieren. Welche Auswirkung dieses Gebaren haben kann, zeigte vor Kurzem erst eine Untersuchung von Hold Security. Sie fanden heraus, dass ein internes Equifax Portal einfach durch die Anwendung der Standard-Anmeldeinformationen kompromittiert werden kann.
Die Login-Informationen sind auf nahezu jedem Gerät zu finden und lassen sich durch eine einfache Recherche mit Hilfe der Google-Suchmaschine finden. Aus diesem Grund sind sowohl Login-Informationen als auch das WLAN-Passwort nach Installation des Routers zu ändern.
# 2 Teile und herrsche: unabhängige Geräte
Die meisten neuen Router of Things erlauben das Erstellen von unterschiedlichen Netzwerken für verschiedene Anforderungen. Es hat sich bewährt, diese technischen Gegebenheiten zu seinem eigenen Vorteil zu nutzen und separierte Netzwerke zu schaffen. So sind auch Geräte mit besonderen sensiblen Informationen gut geschützt.
Darüber hinaus besitzen viele Router auch eine Firewall. Das erlaubt dem User, den ein- und ausgehenden Traffic aufzuzeichnen, zu analysieren und zu bestimmen, welche Verbindungen erlaubt und welche gekappt werden sollen. In einem anderen Netzwerk lassen sich sensible Geräte wie Überwachungskameras, Speichermedien, Smart Home Thermostate etc. von Computern und Smartphones abschotten. Der User kann sogar einzeln festlegen, auf welches Gerät beispielsweise Gäste Zugriff haben dürfen und auf welches nicht, oder inwieweit die Videospielkonsole der Kinder von den restlichen Netzwerkgeräten isoliert sein soll.
Auf diese Weise sind die wichtigsten Netzwerkgeräte und Computer vor Malware-Bedrohungen und unautorisierten Zugriff geschützt.
# 3 Nicht benötigte Services und Features deinstallieren
Bevor nicht alle Funktionen des Routers verständlich sind, sollte auf zusätzliche aktivierbare Features verzichtet werden. Durch einfache Werkzeuge lassen sich offene Ports und Dienste aufspüren. Diese stellen ein Risiko dar, da sie von außerhalb zugänglich sind – vergleichbar mit einer offen stehenden Haustür. Darüber hinaus können einige Dienste nicht geschlossene Sicherheitslücken aufweisen, aus welchen Angreifer ihre Vorteile für ihre Attacken ziehen, um Zugang zum Netzwerk zu bekommen.
Laut einer Umfrage von ESET aus dem vergangenen Jahr, haben mehr als zwanzig Prozent der Heim-Router eine Fernsteuerungsfunktion an unsicheren Protokolls wie Telnet oder HTTP aktiviert.
Wer nicht von unterwegs aus auf seinen Router zugreifen muss, sollte den Fernsteuerungsmodus deaktivieren. Administrator-Dienste sind am besten über sichere Protokolle wie SSH oder HTTPS zu bedienen. Alle anderen nicht benötigten Funktionen sind auszustellen.
Das gilt auch für alle mit dem Router verbundenen Geräte. Alle Kameras, Mikrofone und andere nicht gebräuchlichen Komponenten sind vorsichtshalber zu deaktivieren. Tatsächlich ist es für die meisten User selbstverständlich, solche Komponenten aktiviert zu lassen. Das zeigt auch die Suchmaschine Shodan, die mehr als 9000 Webcams und 7000 Router indexierte hat, auf welche über Standard-Anmeldeinformationen zugegriffen werden kann.
# 4 Netzwerkgeräte und Verbindungen kontrollieren
Wie viele Geräte haben sich schon einmal mit dem Router verbunden? Können diese einfach identifiziert werden? Solche Fragen sind der Schlüssel beim Aufdecken von Eindringlingen und merkwürdigen Verhalten.
Obwohl es den Anschein einer langwierigen und komplizierten Tätigkeit erwecken mag, ist die eindeutige Identifikation der mit dem Router verbundenen Geräte eine lohnenswerte Aufgabe. Eindeutige MAC-Adressen erlauben die Vergabe eindeutiger Namen. Der vergleichsweise geringe Aufwand von wenigen Minuten rechnet sich.
Es ist nicht notwendig, dass die Anzahl der Geräte wie TV, Videospielkonsole oder Überwachungskamera im Router-Netzwerk ständig überwacht wird. Viel erwähnenswerter sind die Konfigurationseinstellungen der eingebundenen Gerätschaften. Hier stellt sich die Frage nach der Aktualität der Firmware sowie nach den Einstellungen für automatische Updates – Standardeinstellungen und Passwörter sollten an die eigenen Netzwerkanforderungen angepasst sein.
# 5 Firmware-Aktualisierungen der verbundenen Geräte
Jedes Hardware-Equipment besitzt ein Betriebssystem, welches auch als Firmware bekannt ist. Wie jede andere Software muss auch diese aktualisiert werden, um potentielle Bugs und Sicherheitslücken zu vermeiden. Tatsächlich kommt das Entdecken von Schwachstellen in Router-Firmware und anderer Hardware häufiger vor, als es erscheinen mag. Vor ein paar Monaten berichteten wir, wie eine Schwachstelle in NetGear Routern es erlaubte, Anmeldeinformationen zu stehlen, um die Kontrolle über das Gerät zu erlangen.
Der Hauptunterschied zwischen der Firmware der meisten Router und des Betriebssystems von Computern und Smartphones ist der, dass Updates bei Letzteren beiden oft automatisch erfolgen. Ohne Aktion des Users werden die neusten Aktualisierungen heruntergeladen und installiert. Bei Netzwerk- und IoT-Geräten sieht das oft anders aus. Automatische Updates sind entweder vergebens zu finden oder nicht standardmäßig aktiviert. Hier muss der User die Aktualisierung selbst anstoßen.
Für den ungeübten Heimnutzer kann das eine zuweilen mühselige Angelegenheit sein. Allerdings ist es gar nicht so schwer, wie es den Anschein erweckt. Die aller meisten Geräte besitzen eine mehr weniger schöne grafische Oberfläche, über welche Informationen über das Gerät zu finden sind. Mit den notwendigen Informationen (Routermodell und Firmware-Version) kann der User auf der Homepage des Herstellers nach Aktualisierungen für sein Gerät suchen. Einige Geräte unterstützen eine eingebaute Update-Funktion, sodass eine Aktualisierung direkt über die grafische Oberfläche erfolgen kann.
Diese fünf Punkte untermalen wie wichtig es ist, die Konfiguration des Routers und die mit ihm verbundenen Geräte zu überprüfen. Man sollte keine Angst davor haben, die Funktionalitäten des Routers und der verknüpften Gerätschaften zu untersuchen und unnötige Ports und Dienste abzuschalten. Sicherheitseinstellungen sollten angepasst und über die Anzahl eingeloggter Geräte kann sich in festen Abständen informiert werden. Die erleichterte grafische Bedienoberfläche vieler Computer und IoT-Geräte vereinfacht das Anpassen der Sicherheitseinstellungen in wenigen Minuten. Der Aufwand für mehr Netzwerksicherheit lohnt sich.
