Wie sichert man das eigene Heimnetzwerk? Den größten Teil dieser Aufgabe übernimmt das Gerät, mit dem sich alle Laptops, Smartphones oder IoT-Geräte per WLAN verbinden, um ins Internet zu gelangen. Die Rede ist natürlich vom Router. Zwar speichert dieser integrale Bestandteil des Heimnetzwerks keine persönlichen Daten. Aber der gesamte Datenverkehr gelangt über diese Brücke. Aus diesem Grund spielt das „Netzwerk-Lastenpferd“ eine besondere Rolle in der Sicherheitskultur des Heimnetzwerks. Leider ignorieren viele Home-User aufkommende Bedenken rund um das Thema Router-Sicherheit.
In unserer von Technik geprägten Welt stellt der Router die zentrale Black-Box in jedem Heimnetzwerk dar. Bei vielen dient es gleichzeitig auch als Modem, da das Gerät beim Abschließen des DSL-Vertrags fast immer durch den Internet-Service-Provider (ISP) bereitgestellt wird. Die meisten Consumer-Modelle verfügen über integriertes WLAN, damit niemand über Kabel stolpern muss. Es gibt sie allerdings auch nur kabelgebunden. Egal welcher Router zu Hause steht, auf jeden Fall bildet er das Herzstück der Heimnetzwerk-Sicherheit.
Für viele stellt der Router lediglich die kleine magische Black-Box dar, welche das Internet ins Wohnzimmer bringt. Sobald alles funktioniert, beginnt das Gerät in Vergessenheit zu geraten. An einem möglichst unscheinbaren Ort verrichtet es stumm seine Aufgabe. Ihm kommt nur dann Aufmerksamkeit zu Teil, wenn die Internetverbindung nicht flüssig läuft. Das wirft aber die Frage auf, warum man sich nicht auch sonst für den Router interessieren sollte.
Warum sollte man dem Router mehr Beachtung schenken?
Diese Frage lässt sich recht einfach beantworten. Ein unsicherer Router bietet Angreifern die Möglichkeit, auf alle im Heimnetzwerk befindlichen Geräte zuzugreifen. Und das ist keine Übertreibung. Cyber-Bedrohungen für Router weisen ein breites Spektrum auf und ein kompromittierter Router kann:
- Heimanwender auf Phishing-Webseiten umleiten,
- dem Nutzer Malware-Versionen sonst eigentlich legitimer Software unterjubeln,
- als Geisel gehalten werden, um Man-in-the-Middle-Attacken auszuführen. Sichere und verschlüsselte Verbindung werden auf diese Weise torpediert.
- einem Botnet angeschlossen werden, um DDoS-Angriffe gegen Webseiten oder gar gegen Teile der Internet-Infrastruktur zu initiieren.
- den Angreifern als Angriffsvektor gegen die Geräte im Heimnetzwerk dienen.
- dazu missbraucht werden, um jemanden durch die eingebundenen IoT-Geräte auszuspionieren.
- mit Router-Malware, wie z.B. VPN-Filtern oder anderem, infiziert werden, damit Dritte die Ressourcen zum Crypto-Mining ausbeuten können.
Diese Liste ist nicht vollständig.
Um den Router und sich selbst vor Hacker-Angriffen zu schützen, müssen die Einstellungen des Geräts ordnungsgemäß konfiguriert werden. Für manche stellt das eine zugegeben entmutigende Aufgabe dar – Der Ursprung dafür liegt meist nur in der Angst vor dem Unbekannten begründet. Allerdings stellen die grundlegenden Router-Sicherheitseinstellungen alles andere als eine wahnsinnige Herausforderung dar.
Auf die Admin-Einstellungen des Routers kann in aller Regel drahtlos zugegriffen werden. Dazu gibt man die Router-IP-Adresse in die Adresszeile des Browsers ein (in vielen Fällen ist es 192.168.1.1 oder 192.168.0.1, ansonsten hilft eine Google-Suche). Natürlich kann man den Router auch via LAN-Kabel direkt mit dem (sicherlich Staub bedeckten) Router verbinden. Eine direkte Verbindung ist sicherer. Manche Hersteller entwickelten auch spezielle Apps, mit denen sich die Einstellungen des Routers über das Smartphone ändern lassen.
Es gibt ein paar grundlegende Sicherheitseinstellungen – außer beispielsweise einer aktiven Firewall – welche die eigene Cybersecurity zu Hause erhöhen.
Verabschiedung von den Standardeinstellungen des Routers
An dieser Stelle kann man kurz auf den Artikel von letzter Woche zurückgreifen: Passwörter spielen bei der Netzwerksicherheit eine große Rolle, noch mehr sogar, wenn zum Router WLAN-Verbindungen bestehen. Von allen vorkonfigurierten Einstellungen der Hersteller sollte das Passwort für den Zugriff auf die Administratoroberfläche vom Router als erstes geändert werden – am besten durch eine starke Passphrase. Zudem verändert man am besten auch gleich den standardmäßig vorgegebenen Benutzernamen. Werksseitig lauten die üblicherweise admin, administrator, root, user oder es ist gar kein Login-Name angegeben.
Durch die werksseitigen Standardkonfigurationen senken die Hersteller der Router nicht nur die Produktionskosten, sondern erleichtern auch die Ersteinrichtung und die Fehlerbehebung aus der Ferne. Diese „Bequemlichkeit“ kann allerdings problematisch sein, da die werksseitigen Anmeldedaten überall im Internet zu finden und teilweise bei verschiedenen Marken identisch sind. Viele Router sind schlecht (vor)konfiguriert und eine einfache Google-Suche genügt, um die Login-Passwort-Kombination des Modells herauszufinden. Im Jahr 2016 untersuchte ESET rund 12.000 Router für den Heimgebrauch und stellte fest, dass einer von sieben Routern die üblichen werksseitigen Einstellungen aufwies – also gefährdet war.
Heutzutage verfügen fast alle Router für den Heimgebrauch über Wireless LAN und damit auch über eine Service Set ID (SSID). Diese sollte in eine Zeichenkette geändert werden, die keinen Hinweis auf den Standort des Routers oder den Besitzer selbst gibt. Manche glauben, durch das Verstecken der SSID den Router verschleiern zu können. Mit einer Reihe von Netzwerk-Tools lassen sich versteckte WLANs allerdings schnell aufspüren.
Viele Router für den Heimgebrauch weisen das sogenannte WPS-Feature auf. WPS steht für Wi-Fi Protected Setup. Damit lassen sich WLAN-Geräte ganz einfach per Tastendruck zum Heimnetzwerk hinzufügen, ohne den WLAN-Schlüssel einzugeben. Das WPS-Verfahren steht allerdings in der Kritik. Hackern ist es gelungen, eine Sicherheitslücke im WPS-Authentifizierungsverfahren auszunutzen. Damit sind Angriffe auf das WLAN-Passwort (Pre-Shared Key - PSK) möglich.
Es gibt aber noch ein weiteres sicherheitsbedenkliches Feature, dass vielmals bereits voreingestellt ist. Hierbei handelt es sich um UPnP (Universal Plug and Play). Wer sich nicht sicher ist, ob UPnP für die reibungslose Kommunikation zwischen den Netzwerkgeräten erforderlich ist, sollte das Feature besser ausstellen. Jedes nicht notwendige Protokoll beziehungsweise jeder nicht benötigte Port sollte deaktiviert werden. Damit halten User die Angriffsfläche des Heim-Routers möglichst gering.
Deshalb ist es auch ratsam, die Fernsteuerung des Routers abzuschalten. Damit verringert man das Risiko, von außerhalb angreifbar zu sein.
Schnüffler im Zaum halten
Beim WLAN-Passwort kann man seiner Kreativität freien Lauf lassen. Bis zu 63 Zeichen sind möglich, was allerdings nicht unbedingt notwendig ist. Das Passwort muss komplex und lang genug sein, um Brute-Force-Attacken standzuhalten. Natürlich sollte es sich auch von allen anderen Passwörtern unterscheiden, die man sonst zum Anmelden beliebiger Online-Konten benutzt, wie beispielsweise der Admin-Oberfläche vom Router.
In den Einstellungen des Heim-Routers befindet sich auch die Konfiguration des anzuwendenden WLAN-Sicherheitsprotokolls. Hier bestehen glücklicherweise nicht sehr viele Optionen und standardmäßig ist das WPA2-Protokoll (Wi-Fi Protected Access 2) ausgewählt. Für Heimnetzwerke ist WPA2 das derzeit beste Sicherheitsprotokoll. Durch die starke AES-Verschlüsselung untermauert, gilt es heutzutage immer noch als (fast) undurchdringbar. Die solide Over-the-Air-Verschlüsselung verschlüsselt alle übertragenen Daten zwischen Router und WLAN-Gerät. Schnüffler könnten zwar die Daten abfangen, aber damit kaum etwas anfangen, weil sie unlesbar sind.
Einige erwarten schon sehnsüchtig neue Hardware, welche den WPA2-Nachfolger WPA3 unterstützen. Der neue WLAN-Sicherheitsstandard umfasst einige wichtige Verbesserungen. Unter anderem sollen Brute-Force-Attacken besser abgewehrt werden können.
Router-Firmware regelmäßig aktualisieren!
Im Kern sind Router kleine Computer, die auch über ein Betriebssystem bzw. Firmware verfügen. Da jede Software Sicherheitslücken aufweisen kann, sollte sie regelmäßig durch neue Updates auf den neusten Stand gebracht werden. Durch veraltete Firmwares tauchen bei Routern immer wieder Sicherheitslücken auf. Cyber-Angreifer haben dadurch meist einfaches Spiel. Sie scannen nach verwundbaren Routern mit bekannten Sicherheitslücken und versuchen diese zu knacken.
Dabei ist es nicht kompliziert, die Update-Einstellungen über das Admin-Panel des Routers zu finden. Modernere Geräte suchen bereits automatisch nach neuen Firmware-Updates und aktualisieren sich regelmäßig selbst. Allerdings sollte man im Auge behalten, ob dieser Prozess reibungslos abläuft. Aus diesem Grund ist es ratsam, mehrmals im Jahr die Admin-Oberfläche zu besuchen und manuell zu überprüfen, ob die Router-Firmware auf dem neusten Stand ist. Firmware-Aktualisierungen bieten neben dem Schließen von Sicherheitslücken auch Performance-Verbesserungen.
Sollte man feststellen, dass der Hersteller die Versorgung mit Sicherheitsupdates eingestellt hat, ist es Zeit für ein neueres Modell.
Netzwerksegmentierung bietet zusätzliche Sicherheit
Empfehlenswerte Router besitzen die Möglichkeit, das Heimnetzwerk zu segmentieren. Nicht jedes Gerät sollte Zugriff auf alle anderen im Netzwerk befindlichen Geräte besitzen. Dafür unterteilt man das Netzwerk. Beispielsweise sollten die nicht sehr sicheren Smart-Home-Geräte einem eigenständigen Netzwerksegment angehören. Damit verhindert man, dass Cyber-Angreifer über ein kompromittiertes IoT-Gerät (Smart-Home-Geräte) Zugriff auf Smartphone oder Laptop bekommen. Letzte enthalten sensible und persönliche Daten und niemand möchte, dass Fremde diese einsehen können.
Ein weiteres Netzwerksegment kann man für Gäste errichten. Es kann vorkommen, dass „WLAN-Gäste“ über ihre Geräte unbewusst Malware einschleppen, die sich dann im Heimnetz verteilt. Deshalb vorsichtshalber nur die Internetverbindung teilen, aber nicht das Netzwerk.
Fazit
Router-Sicherheit ist ein sehr umfassendes Thema und dieser Artikel bildet nur die wichtigsten Maßnahmen ab. Es gibt darüber hinaus noch weitere Funktionen und Features, welche das Kernstück des Heimnetzwerks noch sicherer machen. Insgesamt bleibt aber festzustellen, dass die Router-Sicherheit mehr ins Blickfeld der Heimanwender geraten sollte.
Weiterführende Informationen bieten folgende Artikel: