DSL Router Sicherheitsleitfaden - Fritzbox & Co. vor Angriffen Dritter und Hackern schützen

Der heimische DSL-Anschluss ist im wahrsten Sinne das Tor zur Welt. Über die kleine graue Box hinterm Sofa, in den meisten Fällen eine FritzBox aus dem Haus AVM, erreicht der Anwender jeden Punkt der Welt: Videotelefonie mit Freunden aus Australien, Nachrichten auf Webseiten in den USA oder der Livestream aus Spanien. All diese Dinge ermöglicht der DSL-Router, mit dem sich Notebooks, Smartphones oder Tablets über LAN/WLAN verbinden.

DSL Routersicherheit

Das Problem, oder besser gesagt das Sicherheitsrisiko, hierbei ist, dass genauso umgekehrt die ganze Welt jederzeit und von überall den heimischen DSL-Router attackieren kann. Hacker rund um die Welt versuchen über den ans Internet angeschlossenen DSL-Router in ein fremdes Heimnetzwerk einzudringen und dort Schaden anzurichten. Anders formuliert: die FritzBoxen dieser Welt stehen ununterbrochen unter Beschuss und ein Blick in die Systemlogs würde dies sicherlich bestätigen. Hinzu kommt, dass in den vergangenen Monaten und Jahren vermehrt Meldungen über Lücken in den Routern selbst publiziert wurden, so dass erfolgreiche Hackerangriffe nicht nur auf Fehlkonfigurationen des Anwenders zurückzuführen sind. Dass das Thema Sicherheit in DSL-Routern eine hohe Brisanz bekommen hat, zeigt die vom Bundesamt für Sicherheit in der Informationstechnik in Auftrag gegebene Sicherheitsrichtlinie für Router und Switches. Ziel des BSI war ein Leitfaden, der die Anwender vor Angriffen durch Sicherheitslücken oder Fehlkonfigurationen des DSL-Routers zu schützt. Herausgekommen sind Sicherheitstipps zum privaten WLAN- und LAN-Einsatz, die viele nützliche und weniger nützliche Tipps beinhalten:

Das Ganze hört sich erst einmal sehr dramatisch an, aber mit einigen Grundregeln lässt sich das Sicherheitsrisiko auf ein Minimum beschränken. Vergleichen wir das Thema mit der eigenen Wohnung. Für jedermann ist klar, dass die Wohnungstür abgeschlossen sein muss, wenn man das Haus verlässt. Abhängig davon, wie viele Vermögensgegenstände in der Wohnung liegen, steigert man die Sicherheitsvorkehrungen. Aber eine 100%ige Garantie, dass niemals ein Einbrecher in die Wohnung eindringt, bekommt man nicht. 

In diesem Artikel erläutert PC-Erfahrung.de das Thema Sicherheit in DSL-Routern und wie man sich effektiv, aber ohne übertriebene Sicherheitsmaßnahmen gegen Angriffe aus dem Internet schützt. Zusätzlich wird zu jeder Maßnahme die entsprechende Konfigurationseinstellung am Beispiel einer FritzBox 7490 erläutert.

Hack-Attack - Über welchen Weg greifen Unbefugte an?

Wo sind eigentlich diese Hackerangriffe? Ich sehe niemanden? Für viele Anwender ist der DSL-Router lediglich "die kleine Box, aus der das Internet kommt". Die technische Hintergründe fehlen und somit ist es erst einmal schwer zu verstehen, wie und vor allem über welchen Weg die Angriffe erfolgen. Schauen wir uns folgende Grafik an, welche die grundlegenden Einstiegsmöglichkeiten skizziert:

Angriffsmöglichkeiten auf Router

Im Grunde genommen gibt es drei Wege, über die ein Hacker Zugriff zum Heimnetzwerk bekommet. Beginnen wir mit dem Klassiker, den Endgeräten selbst. Jeder Anwender heutzutage weiß, dass auf einem PC immer die aktuellsten Sicherheitspatches (bspw. Windows Updates) eingespielt werden sollten und ein Virenscanner mit aktuellen Virendefinitionen installiert ist. Gleiches gilt für Notebooks, Tablets oder Smartphones. Wer dies nicht tut, läuft Gefahr, dass Hacker über einen Virus das Endgerät (PC, Smartphone, usw.) kompromittieren. Dieses Angriffsszenario ist allgemeingültig, unabhängig von der DSL-Router-Konfiguration und nur der Vollständigkeit halber an dieser Stelle erwähnt.

Gehen wir davon aus, unsere Endgeräte sind 100% Viren resistent. Wie können Hacker nun den DSL-Router angreifen? Der erste Weg führt über die Telefonleitung, die bis in unsere Wohnung führt und den DSL-Router als Endpunkt hat. Der DSL-Router ist wie bereits erwähnt und das Tor zur Welt. Die gesamte Kommunikation erfolgt hierüber, wenn wir Daten aus dem Internet abrufen. Da in der Regel die FritzBox nicht ausgeschaltet wird, können Hacker über das Internet weltweit und rund um die Uhr den DSL-Router attackieren.

Ein weiterer Weg ist das WLAN-Netzwerk, über das sich die Endgeräte wie Smartphones und Notebooks mit dem Heimnetzwerk verbinden. Da das WLAN-Funknetzwerk nicht vor Mauern halt macht, ist das Funknetzwerk auch außerhalb der heimischen vier Wände angreifbar. Zwar ist die Reichweite nicht annähernd so groß wie die Internetverbindung, aber Nachbarn oder "mobile Hacker vor der Haustür" sind potentielle Angreifer.

Schadensbegrenzung: wenn der Hackerangriff erfolgreich war

Man kann das Sicherheitsrisiko zwar auf ein Minimum reduzieren, aber es gibt keinen 100%igen Schutz! Dieser Tatsache sollte man sich immer bewusst sein. Auch wenn die Wahrscheinlichkeit sehr gering ist und man sich schmunzelnd hinterfragt, was ein Hacker aus irgendeinem asiatischen Land gerade mit meinen Daten anfangen möchte, so sollte man sich immer das Worst Case Szenario vor Augen halten: eine unbefugte Person ist in das Netzwerk eingedrungen und hat Zugriff auf meine Daten. Entscheidend ist nun, um welche Daten es sich handelt. Sind es nur belanglose Informationen wie die Browser-Historie? Oder liegen im Netzwerk sensible Daten wie private Bilder, Zugangsdaten oder eingescannte Versicherungsdokumente?

Folgende Übersicht zeigt eine moderne FritzBox, die als kleine Multimedia-Box agiert und deren Dienste in vielen Haushalten genutzt wird:

Angeschlossene Geräte am DSL-Router bieten Hackern ein Angriffsziel und Datenquellen

DSL-Router sind heutzutage mehr als die Verbindung zum Internet. Vor allem die Möglichkeit, einen Massenspeicher (USB-Stick, externe Festplatte) an die FritzBox anzuschließen, um von allen Geräten im Netzwerk auf Daten zuzugreifen, birgt hohe Risiken. Man sollte sich genau überlegen, welche Informationen man dort speichern möchte. Eine Kopie der Musiksammlung sollte kein Problem darstellen, aber beispielsweise persönliche und intime Fotos haben dort nichts zu suchen. Letztere sollten weiterhin auf einer externen Festplatte, optimalerweise verschlüsselt, in der Schreibtisch-Schublade aufbewahrt werden. Denn grundsätzlich gilt: was keinen Strom hat bzw. nicht im Netzwerk angeschlossen ist, kann nicht in die Hände von Hackern fallen.

Sicherheitsvorkehrungen für den DSL-Router

Nach all den vorbereitenden Informationen kommen wir nun zum eigentlichen Thema dieses Artikels, nämlich den Sicherheitsvorkehrungen des DSL-Routers. Wir setzen voraus, dass der DSL-Router in seinen Werkseinstellungen die grundlegenden Sicherheitsstandards erfüllt und wir in diesem Artikel darauf aufbauen können. Wer also bereits an der Router-Konfiguration Änderungen vorgenommen hat, sollte diese auf Werkseinstellungen zurücksetzen und die folgenden Tipps beherzigen:

Maßnahme Wichtigkeit Schwierigkeitsgrad Beschreibung
1. WLAN-Verschlüsselung Hoch Mittel Passwort für und Art der Verschlüsselung des Funknetzwerkes
2. WPS-PIN Verfahren Mittel Mittel Wi-Fi Protected Setup für vereinfachte Installation
3. Router Passwort Hoch Einfach Sicheres Passwort für den Router
4. Einschaltzeiten Mittel Einfach WLAN oder DSL-Router bei Nichtgebrauch abschalten
5. Router-Firmware Hoch Mittel Betriebssystem des Routers regelmäßig aktualisieren
6. Alter des Routers Mittel Einfach Bitte keine Uralt Hardware verwenden
7. Nicht benötigte Funktionen Hoch Hoch Funktionen des Routers auf Minimum beschränken
8. Remote-Dienste Hoch Mittel Dienste wie Fernverwaltung, Cloud deaktivieren
9. Wireless Isolation Hoch Hoch Clients haben nur Internet-Zugriff
10. USB-Speicher Hoch Hoch Angeschlossene Massenspeicher (bspw. USB-Stick) müssen passwortgeschützt sein
11. MAC-Filterung Gering Mittel Zugangsfilterung bestimmter Endgeräte anhand ihrer ID

Eine weitere übersichtliche Liste von Sicherheitsmaßnahmen eines DSL-Routers findet man bei O2. Auf dieser Seite sind die Maßnahmen nach Wichtigkeit und Schweregrad gruppiert.

1. WLAN-Verschlüsselung

Ein sicheres Passwort und als Verschlüsselungsverfahren WPA sind die wichtigsten Sicherheitsmaßnahmen
Sicheres Passwort und WPA Verschlüsselung

Die mit Abstand wichtigste Sicherheitsvorkehrung ist die Verschlüsselung des WLAN-Funknetzwerkes in Verbindung mit einem sicheren Passwort. Wichtig zu wissen ist, dass im Falle eine Schadens der WLAN-Betreiber selbst haftet, sollte das WLAN-Netzwerk nicht ordnungsgemäß geschützt bzw. verschlüsselt sein (siehe BGH Urteil vom 12.05.2010). Aber auch aus eigenem Interesse sollte die WLAN-Verschlüsselung möglichst "unknackbar" sein.

Beginnen wir mit der Wahl des Verschlüsselungsverfahrens. Zum heutigen Stand hat man die Wahl zwischen WEP, WPA und WPA2. Man sollte auf jeden Fall WPA2 verwenden, da WEP und WPA veraltet und mit den entsprechenden Tools binnen weniger Minuten geknackt werden können. Anders formuliert: WEP und WPA sind unsicher!

Hinweis
Weitere Informationen zu den Verschlüsselungsverfahren WEP, WPA und WPA2 findet man in unserem Artikel FritzBox DSL-WLAN-Router sicher einrichten unterhalb des Punktes Verschlüsselungsarten: WEP, WPA, WPA2.

Was hilft uns die beste Verschlüsselung, wenn das Passwort sich einfach erraten lässt? Auch hier hilft uns der Staat und bietet auf dieser Seite eine Hilfestellung, wie ein sicheres Passwort gestaltet werden kann: BSI für Bürger: Passwort. Fazit: WPA2-Verschlüsselung und sicheres Passwort machen das WLAN für Hacker unerreichbar.

2. WPS PIN Verfahren

Das vereinfachte Verbindungsverfahren WPS ist ein Sicherheitsrisiko und sollte deaktiviert werden
Deaktivierung der WPS Einstellung einer Fritzbox 7490

Ziel hinter dem Wi-Fi Protected Setup (kurz WPS) ist, dass sich Endgeräte auf einfachste Weise mit dem WLAN verbinden können. Durch Drücken eines Buttons auf dem DSL-Router oder der Eingabe eines PINs soll der Zugang ohne Eingabe des Funknetzwerkes (WLAN-SSID) und des kryptischen Passwortes auf kinderleichte Art und Weise funktionieren. Eine tolle Idee, da gerade unerfahrene PC-Anwender sich mit wenig Aufwand mit dem WLAN verbinden können.

Leider ist die Umsetzung von WPS unsicher. Die PIN-Methode lässt sich innerhalb weniger Stunden durch Bruteforce-Attacken knacken, da die PIN in der Regel nur 3- bis 4-stellig ist. Außerdem kann nach erfolgreicher Verbindung mittels WPS das WLAN-Passwort in Klartext ausgelesen(!) werden. Schlussendlich sollte WPS nicht verwendet und maximal als temporäre Verbindungsmöglichkeit genutzt werden, um die Verbindung mit dem WLAN zu ermöglichen.

Weitere Quellen: Massive (WPS-) WLAN-Sicherheitslücke @ heise.de

3. Passwort des Routers

Das Herz des DSL-Routers ist dessen Konfiguration und es ist für jedermann sofort klar, dass dieser Zugang mit einem sicheren Passwort hinterlegt sein muss. Ist ein Hacker in das Netzwerk eingedrungen (bspw. über das WLAN), so wird er versuchen, die Konfiguration des Routers zu verändern, um weitere Angriffsmöglichkeiten einrichten zu können. Aus diesem Grund muss das Passwort möglichst sicher sein. Mit etwas Glück wird dem Hacker "langweilig" und verschwindet nach dem Einbruch wieder ohne größeren Schaden angerichtet zu haben.

Zugang zum Herzen des DSL-Routers: Passworteingabe für die FritzBox 7490
Passworteingabe für die FritzBox 7490
Das Passwort muss sicher gesetzt sein
Passwort setzen

4. Einschaltzeiten

Das WLAN kann nur für bestimmte Zeiten aktiviert werden. Somit wird das Zeitfenster für potentielle Angriffe verkleinert.
Sicherheitsmaßnahme: Einschaltzeiten für WLAN

Eine weitere, recht simple Möglichkeit die Angriffsfläche zu verringern ist, die Verfügbarkeit des DSL-Routers bzw. des WLAN-Netzwerkes einzuschränken. Wird die FritzBox bzw. das Internet oder Heimnetzwerk nicht genutzt, schaltet man das WLAN oder sogar die ganze FritzBox einfach aus. Und wo kein Strom fließt, so gibt es auch keine digitalen Cyberattacken. Wer also das Haus verlässt oder nachts nicht digital unterwegs ist, kann auf diese Art und Weise das Zeitfenster für Hacker-Angriffe reduzieren. Positiver Nebeneffekt: durch eingesparte Stromkosten wird auch der Geldbeutel und die Umwelt geschont.

Viele Router wie die FritzBox 7490 bieten Konfigurationsmöglichkeiten an, um die DSL-Verbindung oder das WLAN für bestimmte Zeiten automatisch abzuschalten.

5. Router-Firmware

Firmware-Upgrades sollten regelmäßig eingespielt werden. Bei der FritzBox 7490 ist die Funktion Auto-Updates standardmäßig aktiviert.
Auto-Update bei der FritzBox 7490

Bei PCs, Notebooks und Smartphones gehört es zur Normalität, dass die Software auf dem aktuellsten Stand gebracht wird, um neue Funktionalitäten und Sicherheitsupgrades zu erhalten. Dasselbe gilt natürlich auch für DSL-Router: hier heißt die Betriebssystem-Software Firmware. Aufkommende Sicherheitslücken werden von Herstellern wie AVM erkannt und in der Regel schnell behoben. Die bereitgestellten Sicherheitspatches sollten natürlich regelmäßig eingespielt werden, um den heimischen DSL-Router auf dem aktuellsten Sicherheitsstand zu bringen. Um den Aufwand möglichst gering zu halten, sollte die automatische Installation von Sicherheitspatches aktiviert sein.

6. Alter des Routers

Dieser Tipp ist relativ schnell erklärt: von der Verwendung veralteter Router-Hardware, die nicht mehr von den Herstellern unterstützt und mit neuen Sicherheitspatches versorgt wird, ist abzuraten. Wer im Besitz eines DSL-Routers aus vergangenen Tagen ist, wird beim Lesen dieses Artikels schnell merken, dass viele Sicherheitsmaßnahmen nicht umsetzbar sind, da die Funktionalität schlicht nicht vorhanden ist. Aus diesem Grund: alle paar Jahre etwas Geld in die Hand nehmen und den alten durch einen neuen DSL-Router ersetzen. Eine Übersicht aktueller DSL-Router findet man auf dieser Seite.

7. Nicht benötigte Funktionen abschalten

Beispiel nicht benötigter Funktionen: FritzBox 7490 als Media Server
Beispiel nicht benötigter Funktionen: FritzBox 7490 als Media Server

Dieser Punkt ist vielleicht nicht ganz einfach umzusetzen, da er von Router zu Router unterschiedlich und Fachwissen über die Konfiguration notwendig ist. Vor allem Laien tun sich mit diesem Sicherheitstipp schwer und werden bei der Umsetzung das eine oder andere Mal "die falsche Konfiguration deaktivieren".

Das Ziel hinter diesem Tipp ist einfach: nicht benötigte Funktionen werden abgeschaltet, um die Angriffsfläche zu minimieren. Gerade in der heutigen Online-Zeit agieren die DSL-Router als wahre Multimedia-Künstler und sind demzufolge mehr als Bereitsteller des Internetzuganges. Daher wird empfohlen, sich Zeit für die Konfigurationseinstellungen des DSL-Routers zu nehmen und nicht benötigte Funktionalität zu deaktivieren.

8. Remotedienste, Fernverwaltung

Remote-Dienste sollten grundsätzlich deaktiviert werden.
Remote-Dienste sollten grundsätzlich deaktiviert werden.

Heutzutage ist der Begriff Cloud in aller Munde und Daten sollen von überall aus erreichbar sein. Auch die Hersteller von DSL-Routern sind auf diesen Zug aufgesprungen und bieten Dienste an, um über das Internet auf Daten des Netzwerkes zuzugreifen. So findet man beispielsweise in der FritzBox-Konfiguration folgende Einstellung: "MyFRITZ! ist der einfache Weg aus dem Internet zu Ihrer FRITZ!Box. MyFRITZ! ermöglicht die Nutzung von FRITZ!NAS, des Anrufbeantworters und der Anrufliste von überall aus der Welt.". Das sind Worte, die Hacker gerne hören, denn hier bietet sich eine weitere Angriffsmöglichkeit. Beginnend bei unsicheren Passwörtern über Datensätzen bei externen Anbietern (in diesem Beispiel MyFritz! Zugangsdaten) hin zu einem weiteren Dienst, der über das Internet erreichbar ist, ergeben sich viele potentielle Angriffspunkte. 

Außerdem lassen sich DSL-Router auch aus der Ferne konfigurieren, was ein weiteres Sicherheitsrisiko bedeutet. Knacken Hacker den Zugang, können sie von überall aus der Welt den DSL-Router konfigurieren und mißbrauchen. Ein Horrorszenario.

Aus diesem Grund die Empfehlung: sämtliche Remote-Zugriffe deaktivieren!

9. Wireless Isolation - nur Zugang zum Internet ermöglichen

Unter dem Begriff Wireless Isolation versteht man eine Technik, um innerhalb eines WLANs die Kommunikation der Endgeräte untereinander zu verhindern. Normalerweise kann ein Endgerät (Smartphone, PC) mit allen Geräten innerhalb eines Netzwerkes kommunizieren und auch auf dessen Ressourcen (bspw. Dateifreigaben) zugreifen. Durch Wireless Isolation wird dies untersagt und dem Endgerät beispielsweise nur erlaubt, auf das Internet zuzugreifen.

Diese Technik schottet einen potentiellen Eindringling ab. Er kann nicht auf andere Geräte, Freigaben usw. des Netzwerkes zugreifen, was den Zugriff auf sensible Daten schützt. Leider unterstützen nur die wenigsten DSL-Router diese Technik.

Weitere Informationen: WLAN-Teilnehmer per IP Isolation kontrollieren @ tecchannel.de

10. passwortgeschützter USB-Speicher

Sehr praktisch ist die Möglichkeit, einen USB-Stick oder eine externe Festplatte an den DSL-Router anzuschließen, um anschließend von allen Geräten im Netzwerk darauf zuzugreifen. Das Problem hierbei ist, dass standardmäßig der Zugriff auf die Freigabe ohne Passwortschutz erfolgt. Ein Eindringling in das WLAN-Netzwerk kann somit ohne Probleme die persönlichen Daten wie Bilder, Dokumente oder Videos abgreifen, ohne auch nur den geringsten Aufwand zu betreiben. Aus diesem Grund sollte ein Passwortschutz eingerichtet werden, wenn man einen externen Datenspeicher an die FritzBox anschließt.

In der FritzBox 7490 lassen sich so genannte FritzBox-Benutzer anlegen.
In der FritzBox 7490 lassen sich so genannte FritzBox-Benutzer anlegen.
In der Detail-Ansicht der FritzBox kann der Zugriff auf den USB-Massenspeicher einrichten.
In der Detail-Ansicht der FritzBox kann der Zugriff auf den USB-Massenspeicher einrichten.

Nutzlose Sicherheitsvorkehrungen bei DSL-Routern

Im Netz kursieren viele Anleitungen und Tipps, die nicht immer der Wahrheit entsprechen bzw. nutzlos sind. Hier einige Beispiele:

11. Filterlisten von MAC-Adressen

Eine MAC-Adresse ist eine eindeutige ID des Netzwerkgerätes. Jedes Smartphone, PC, Notebook usw. lässt sich hierüber eindeutig identifizieren und somit ist der Gedanke, nur freigegebene MAC-Adressen für das Netzwerk (WLAN) zu erlauben, gar nicht so verkehrt.

Das Problem hierbei ist, dass Hacker die MAC-Adresse des eigenen Netzwerkgerätes (WLAN-Karte) manipulieren und sich somit hinter einer falschen Identität verstecken können. Und eine gültige MAC-Adresse aus der Filterliste lässt sich schnell herausfinden, indem man den WLAN-Traffic abhört. Kommuniziert das Endgerät mit dem Router, schickt es immer ein "Hallo, ich bin MAC-Adresse XYZ" mit. Diese Kommunikation kann der Hacker mithören und diese MAC-Adresse verwenden.

Online-Security Check

Die bekannte Technik-Webseite Heise.de bietet auf dieser Seite einen Online-Router-Check an. In Zusammenarbeit mit den Landesbeauftragten für Datenschutz des Landes Niedersachsen wird der eigene Router auf Schwächen und Fehlkonfigurationen getestet. Dieser Test prüft den heimischen DSL-Router auf bekannte Lücken oder offenen Ports, die potentielle Hacker angreifen können.

Bei der Verwendung des Online-Checks braucht man sich keine Sorgen machen, da keine sensiblen Daten übertragen werden. Vielmehr wird aus der Ferne der eigene DSL-Router überprüft. Gleichzeitig sei gesagt, dass es sich nicht um einen vollwertigen Sicherheitscheck handelt. Gibt der Online-Test ein positives Feedback, so bedeutet dies noch lange nicht, dass das eigene Netzwerk vollständig geschützt ist.

Der Heise Router Security Check prüft online den DSL Router auf bekannte Sicherheitslücken
Der Heise Router Security Check
Speziell für die Fritzbox existiert ein Testsetup. In diesem Beispiel zeigt die Eingabemaske der Fritzbox, dass der Webserver-Bug nicht aktiv ist. Sehr gut.
Speziell für die Fritzbox existiert ein Testsetup
Fehler bzw. Sicherheitslücken entdeckt. Jetzt sollte man schnell handeln.
Fehler bzw. Sicherheitslücken entdeckt