Immer mehr Geräte bevölkern unsere Netzwerke. Laut dem Digitalverband Bitkom nutzen heute vier von zehn Verbrauchern heute Smart-Home-Anwendungen, wie Lichtsysteme, digitale Thermostate, Grill-Gadgets oder Alarmsysteme in ihren eigenen vier Wänden. Das schafft nicht nur Komfort, sondern auch potenzielle Sicherheitsprobleme. Denn alles, was aus der Ferne gesteuert oder überwacht werden kann, kann auch ein Cyberkrimineller kapern. Dabei ist es entscheidend nicht nur Smart-Home-Geräte zu schützen, sondern auch dessen Schaltzentrale im Heimnetzwerks: Der Router. Dieser wird häufig einmal gekauft, eingerichtet und verrichtet dann unverändert viele Jahre seinen Dienst. Wir zeigen, wie das eigene Heimnetzwerk mit wenig Aufwand zu einem Bollwerk werden kann.

Router-Sicherheit wird oft vernachlässigt

Ein sicheres und vor allem performantes Netzwerk steht und fällt mit dem Router. Er ist die Schaltzentrale für das Netzwerk und die Verbindung zum Internet. Der Sicherheit dieses Torwächters kommt dabei eine besondere Bedeutung zu. Denn ist er kompromittiert, dann sind alle Geräte im Netzwerk in Gefahr. Viele Router-Modelle schützen den Zugang zur Administrationsoberfläche standardmäßig mit einem Passwort. Dem vergebenen Kennwort kommt somit eine Schlüsselrolle zu. Viele Anwender vernachlässigen diesen Aspekt und verwenden das Standardpasswort, das werkseitig eingestellt ist. Auch wenn dieses Kennwort auf dem ersten Blick bei einigen Modellen noch so komplex erscheint, ist nicht sichergestellt, ob es nicht doch leicht herauszubekommen ist. Beispielsweise kann schlicht eine fortlaufende Nummer am Ende oder ähnliches bei der Erstellung benutzt worden sein.

Dennoch setzen viele Privatanwender weiterhin auf sehr einfache Passwörter bei ihren Routern. Aktuelle Statistiken der ESET Heimnetzwerk-Schwachstellen-Scanner zeigen, dass mehrere Tausend, der über 100.000 gescannten Geräte, Standard-Passwörter benutzen. Diese Kennwörter sind definitiv nicht komplex. Ein potenzieller Angreifer bräuchte zum Knacken des Zugangs nicht einmal Sekunden.

Das ist die Top-10 der beliebtesten schwachen Router-Passwörter:

  1. admin
  2. root
  3. 1234
  4. guest
  5. password
  6. 12345
  7. support
  8. super
  9. Admin
  10. pass

Bei dem oftmals laschen Umgang von Anwendern mit der Passwort-Sicherheit wundert es nicht, dass Angriffe zunehmen.

 Wie sieht das sichere Router-Passwort aus?

In sieben von zehn Fällen ist der unbefugte Zugriff auf Geräte auf schwache Passwörter oder Datendiebstahl zurückzuführen. Beim Passwort sollte man daher nicht kleckern, sondern klotzen.

Es sollte keinesfalls das Kennwort genutzt werden, das der Hersteller mit dem Gerät ausgeliefert hat. Ein gutes Router-Passwort sollte mindestens 8 bis 12 Zeichen lang sein. Anwender sollten sich einen Satz überlegen, der mindestens eine Zahl enthält, und sich gut merken lässt. Zum Beispiel: „Am liebsten esse ich Pizza mit vier Zutaten und extra Käse!“. Nimmt man nun den ersten Buchstaben eines jeden Wortes ergibt dies: „AleiPm4Z+eK!“. So erhält man schnell ein sicheres Passwort.

Wer sich Passwörter schlecht merken kann, oder davon sehr viele hat, sollte unbedingt über die Nutzung eines Passwort-Managers nachdenken.

Und auf was sollten Anwender darüber hinaus achten?

Wichtige Funktionen bei einem Router

Moderne Router verfügen über eine Funktion zur Trennung von Geräten im Heimnetzwerk. Diese sollte zum Einsatz kommen, um eigene und fremde Geräte zu separieren und damit eine höhere Sicherheit zu erzielen. Wichtige SmartHome-Geräte, wie die Steuerung der Wohnungseingangstür, oder die eigenen Computer im Haushalt sollte man von den Geräten von Besuchern mit einem speziellen Gastzugang trennen.

Einige Router-Modelle bieten auch die Möglichkeit eine Zwei-Faktor-Authentifizierung (2FA) zu aktivieren. Anwender sollten diese Option nutzen, wenn sie verfügbar ist. 2FA schafft neben den Zugangsdaten eine weitere Schutzebene. Werden Änderungen auf dem Gerät vorgenommen, müssen Anwender dann zum Bestätigen beispielsweise eine bestimmte Taste drücken oder bei angeschlossenen Telefonen einen bestimmten Code eingeben. Der zusätzliche Sicherheitsschutz ist insbesondere dann eine gute Maßnahme, wenn etwa öfters aus bestimmten Gründen von extern auf den Router zugegriffen wird.

Updates, Updates, Updates….

Auch bei Routern ist eine aktuelle Firmware von entscheidender Bedeutung für die Sicherheit. Immer wieder werden Sicherheitslücken bei Routern öffentlich. Erst kürzlich haben ESET Forscher mehrere Analysen zu einer WLAN-Sicherheitslücke, die sie Kr00k getauft haben, veröffentlicht. Rund eine Milliarde WLAN-fähiger Geräte waren oder sind von dieser Schwachstelle betroffen. Die Lücke (CVE-2019-15126) betraf WLAN-Chips der Hersteller Broadcom, Qualcomm und Cypress. Nahezu alle Geräte wie Smartphones, Tablets, Router, Access Points und auch Smart-Home-Geräte waren oder sind von dieser Lücke betroffen. Gerade Router stellen hier eine besondere Gefahr dar, weil selbst gepatchte Client-Geräte weiter anfällig bleiben. Über diesen Sicherheitslücke ist es Hackern möglich, eigentlich verschlüsselt übertragene Informationen auszuspionieren oder sogar eigene Datenpakete einzuschleusen. Bereits rund zwei Jahre zuvor hat ein Sicherheitsforscher mit „Krack“ eine ähnliche Sicherheitslücke entdeckt. Auch hier ließ sich die WLAN-Verschlüsselung umgehen. Beide Lücken unterstreichen, dass ein Router, ähnlich wie andere Hard- oder Software, stets auf dem neusten Stand gehalten werden sollte. Häufig besteht hier aber weiterhin Nachholbedarf.

Viele moderne Router aktualisieren sich von selbst. Anwender sollten dies aber bei der Neuinstallation ihres Routers prüfen und bei älteren Geräten, die nicht automatische Updates bekommen, regelmäßig überprüfen. Meist geht dies komfortabel über die Administrationsoberfläche des Geräts.

Und jetzt ist alles gut?

Ist nun alles gut? Anwender sollten die hier vorgestellten Tipps unbedingt beherzigen, denn der Router bildet einen zentralen Baustein im privaten Heimnetzwerk und ganz besonders im smarten Zuhause. Mit einer umfassenden und modernen Sicherheitslösung sollten Anwender nicht nur den Sicherheitsstatus auf dem Endgerät checken können, sondern sollten auch die Möglichkeit haben das Heimnetzwerk im Blick zu behalten.

Tipps zum Schutz des heimischen Routers:

  • Sicheres Router-Passwort vergeben: Voreingestellte Passwörter sollten sofort geändert und durch ein starkes Passwort ersetzt werden.
  • WLAN-Passwort ändern: Die beste Verschlüsselungsmethode ist nutzlos, wenn das dazugehörige Passwort leicht zu erraten ist. Insbesondere bei den Standard-Passwörtern, die werksseitig festgelegt sind, besteht die Gefahr, dass Hacker mittels spezieller Programme bekannte Passwörter automatisch durchtesten.
  • Router-Firmware aktuell halten: Aktualisierungen bringen in vielen Fällen neue Funktionen und schließen Sicherheitslücken. Wenn möglich, sollten automatische Updates im Menü des Routers aktiviert oder regelmäßig nach Aktualisierungen gesucht werden.
  • Zwei-Faktor-Authentifizierung (2FA) aktivieren: Moderne Router bieten die Möglichkeit, 2FA zu aktivieren. Werden Einstellungen verändert, müssen diese durch eine weitere Quelle verifiziert werden. Diese Bestätigung kann mit dem Drücken einer bestimmten Taste am Gerät oder mit dem Telefon erfolgen.
  • Gastzugang aktivieren: Moderne Router besitzen eine Funktion, die Berechtigungen für die Steuerung von Geräten im Heimnetzwerk vergibt. Das heißt: Für Gäste gibt es einen speziellen Gastzugang, bei besonders heiklen Schnittstellen wie eben zum Beispiel der Wohnungseingangstür dürfen keine anderen Anwendungen auf diese zugreifen. Diese Funktion sollte stets aktiviert sein und Besuchern dieser Zugang bereitgestellt werden.
  • Fernzugriff deaktivieren: Mit dem Fernzugriff öffnen Anwender Ports auf ihrem Gerät. Zwar bringt diese Funktion zahlreiche Vorteile, doch Hacker erhalten dadurch auch einen weiteren Angriffspunkt. Der Fernzugriff sollte daher deaktiviert bleiben. Sollte er doch nötig sein, dann einen Router auswählen, der 2FA besitzt.
  • WPS-PIN abschalten: “Wi-Fi Protected Setup” (WPS) ist ein Standard zum schnellen Aufbau eines verschlüsselten WLAN-Netzwerks. Anwender benötigen hierzu lediglich eine PIN, die auf dem Gerät abzulesen ist. Diese Funktion sollte deaktiviert werden, da sie leicht zu knacken ist.
  • Netzwerknamen ändern: Nutzer sollten ihrem WLAN einen neuen Namen (SSID) geben. Der voreingestellte enthält oft Herstellernamen und Gerätetyp. Angreifer können so direkt nachschauen, ob es bekannte Schwachstellen des Routers gibt.