Router sichern: So vermeiden Sie den nächsten Internetausfall

Warum Router und IoT‑Geräte ein Risiko sind

In modernen Haushalten und kleinen Büros sind Kameras, Smart‑TVs, Kühlschränke und andere IoT‑Geräte Standard. Viele dieser Geräte sind einfache, internetfähige Computer. Werden sie nicht gehärtet, können Angreifer sie in Botnets einbinden und für großflächige Störangriffe (DDoS) nutzen. Der Angriffsvektor läuft oft über schlecht geschützte Router, weil diese die Verbindungspunkte aller Geräte sind.

Wesentliche Begriffe in einer Zeile:

• IoT: Geräte mit Internetzugang (z. B. Kameras, Smart‑Home‑Sensoren).
• DDoS: Verteilte Überlastungsangriffe, die Dienste lahmlegen.

Grundlegende Einstellungen, die jeder sofort ändern sollte

• Ändern Sie den Standardbenutzernamen und das Standardpasswort des Routers. Das ist die häufigste Schwachstelle.
• Aktivieren Sie WPA2 oder WPA3 für Ihr WLAN und vergeben Sie ein starkes Passwort.
• Verbergen Sie keine Sicherheitsinfos in der SSID: wählen Sie eine unauffällige SSID, die keine Modell‑ oder Herstellerhinweise enthält.
• Deaktivieren Sie UPnP, wenn Sie nicht genau wissen, warum Sie es benötigen.
• Schalten Sie Fernverwaltung ab, damit nur lokale Anwender Einstellungen ändern können.
• Installieren Sie Firmware‑Updates für Router und IoT‑Geräte regelmäßig.

Jeder dieser Punkte ist weiter unten ausführlich erklärt und mit kleinen Checks versehen.

Detaillierte Maßnahmen

Standardbenutzername und Passwort ändern

Warum: Viele Angreifer nutzen öffentlich bekannte Default‑Zugangsdaten.

Wie: Melden Sie sich an der Weboberfläche Ihres Routers an (häufig 192.168.0.1 oder 192.168.1.1). Suchen Sie die Kontoeinstellungen und wählen Sie einen einzigartigen Benutzernamen und ein langes Passwort (mind. 12 Zeichen, Kombination aus Groß/klein, Zahlen, Sonderzeichen). Verwenden Sie, wenn möglich, einen Passwortmanager.

Wichtig: Ändern Sie auch Zugangsdaten einzelner IoT‑Geräte, sofern möglich.

WLAN mit Passwort und starker Verschlüsselung

Warum: Offenes oder schwach verschlüsseltes WLAN erlaubt Fremdnutzern Zugriff auf Ihr Netzwerk.

Wie: Wählen Sie in den WLAN‑Einstellungen WPA2‑Personal oder WPA3 (falls verfügbar). Vermeiden Sie WEP. Nutzen Sie ein zufälliges, nicht leicht erratbares Passwort.

Hinweis: Bei älteren Geräten, die nur WEP unterstützen, sollten Sie den Hersteller kontaktieren oder das Gerät austauschen.

SSID (Name des Zugangs) ändern

Warum: Eine SSID, die Modell oder Hersteller nennt, hilft Angreifern, geeignete Exploits zu finden.

Wie: Wählen Sie eine neutrale SSID ohne Herstellerhinweis. Es ist kein vollständiger Schutz, aber macht Angreifern die Arbeit schwerer.

Firmware und Software aktuell halten

Warum: Hersteller beheben Sicherheitslücken per Update. Ungepatchte Geräte bleiben verwundbar.

Wie: Prüfen Sie die Router‑Weboberfläche auf Firmware‑Updates oder besuchen Sie die Support‑Seite des Herstellers. Aktivieren Sie automatische Updates, falls verfügbar. Legen Sie einen monatlichen oder vierteljährlichen Termin in Ihrem Kalender fest, um Updates zu prüfen.

Tipp: Notieren Sie Firmware‑Versionen; beim Auftreten von Problemen können Sie schnell vergleichen.

UPnP deaktivieren

Warum: UPnP (Universal Plug and Play) erlaubt Anwendungen, Ports automatisch zu öffnen. Das vereinfacht Nutzern das Einrichten, öffnet aber Angriffsflächen.

Wie: Deaktivieren Sie UPnP in den erweiterten Router‑Einstellungen, sofern Sie es nicht ausdrücklich benötigen (z. B. für bestimmte Spielekonsolen oder NAS‑Dienste).

Wann nicht deaktivieren: Wenn eine Anwendung ohne UPnP nicht funktioniert und Sie die Funktionalität dringend benötigen, sollten Sie stattdessen gezielte Portweiterleitungen einrichten und diese sorgfältig dokumentieren.

Fernverwaltung ausschalten

Warum: Fernzugriff öffnet die Webkonfiguration des Routers für das Internet.

Wie: Schalten Sie Optionen wie “Remote Management” oder “Web Access” aus. Greifen Sie zur Konfiguration lokal über Ihr Heimnetzwerk zu.

Ausnahme: Wenn Sie aus der Ferne auf Ihr Netzwerk zugreifen müssen, richten Sie einen VPN‑Zugang ein statt die Router‑Weboberfläche global erreichbar zu machen.

Bekannte Probleme, Rückrufe und Schwachstellen prüfen

Wie: Suchen Sie nach Ihrem Router‑ und Gerätemodell zusammen mit Begriffen wie “Recall”, “Rückruf” oder “Vulnerability”. Nutzen Sie Sicherheitsdatenbanken (z. B. CVE‑Listen), um bekannte Schwachstellen zu prüfen. Wenn ein Gerät unpatchbar bleibt, sollten Sie den Austausch erwägen.

Checkliste vor dem Kauf

• Hat das Gerät einen guten Sicherheitsnachweis (regelmäßige Updates, verantwortliche Offenlegung von Sicherheitslücken)?
• Verfügt der Hersteller über eine leicht auffindbare Sicherheits‑/Responsible‑Disclosure‑Seite?
• Gibt es unabhängige Tests oder Reviews, die Schwächen dokumentieren?

Wenn möglich, bevorzugen Sie Hersteller, die Security‑Patches klar kommunizieren und schnell liefern.

Alternative Ansätze und Ergänzungen

• Segmentieren Sie Ihr Netzwerk: Legen Sie ein separates Gastnetzwerk für IoT‑Geräte an. So bleibt Ihr Arbeits‑ oder Hauptnetzwerk isoliert.
• Nutzen Sie einen dedizierten IoT‑Router oder VLANs, falls Ihr Router das unterstützt.
• Setzen Sie eine Firewall mit ausgehenden Regeln, um ungewollte Verbindungen von Geräten zu blockieren.
• Ersetzen Sie besonders unsichere Endgeräte, anstatt zu versuchen, sie nachträglich zu härten.

Mental Model: Minimaler Angriffsfläche‑Ansatz

Denken Sie in drei Schritten: 1) Zugang beschränken (starke Authentifizierung), 2) Sichtbarkeit reduzieren (keine unnötigen Dienste/Ports), 3) Hygiene wahren (Updates, Monitoring). Wenn alle drei stimmen, steigt der Aufwand für Angreifer deutlich.

Mini‑Playbook: Schritt für Schritt (SOP)

1. Sichern Sie Router‑Login (Benutzername + Passwort ändern).
2. WLAN verschlüsseln (WPA2/WPA3) und Passwort setzen.
3. UPnP und Fernverwaltung deaktivieren.
4. Separates Gastnetzwerk für IoT einrichten.
5. Firmware prüfen und aktualisieren.
6. Geräteliste erstellen: alle verbundenen Geräte dokumentieren.
7. Monatliche Überprüfung: Logs ansehen, neue Geräte identifizieren, Updates prüfen.

Checkliste zur Umsetzung finden Sie unten.

Rollenbasierte Checklisten

Home‑Nutzer:

• Passwort ändern
• WPA2/WPA3 aktivieren
• UPnP deaktivieren
• Gastnetzwerk einrichten

Kleines Büro / SOHO:

• Alle Heim‑Checks durchführen
• VLANs oder separates physisches Netz für IoT
• Backup der Router‑Konfiguration
• Minimal‑Berechtigungen für Mitarbeiter (kein Admin‑Zugriff)

IT‑Administrator:

• Zentrales Inventory aller Geräte
• Überwachung auf ungewöhnliches ausgehendes Verkehrsverhalten
• Incident‑Runbook für kompromittierte Geräte
• Regelmäßige Penetrationstests

Incident Runbook — kurz

Wenn Sie ein kompromittiertes Gerät vermuten:

1. Gerät sofort vom Netzwerk trennen.
2. Router‑Logs sichern und analysieren.
3. Werkseinstellungen wiederherstellen oder Gerät ersetzen.
4. Passwörter für Router und betroffene Dienste ändern.
5. Betroffene Geräte neu konfigurieren und Updates installieren.
6. Wenn ungewöhnlicher Datenverkehr bestand, informieren Sie ggf. Ihren Internetanbieter.

Sicherheits‑Härtung: praktische Einstellungen

• Admin‑Zugang nur per HTTPS erlauben.
• SNMP deaktivieren, falls nicht genutzt.
• Logging aktivieren und Logs regelmäßig prüfen.
• SSH‑Zugang nur mit Schlüsseln und deaktiviertem Passwortlogin erlauben (bei Routern, die SSH bieten).

Datenschutz und rechtliche Hinweise (GDPR‑Hinweise)

Viele IoT‑Geräte sammeln Daten. Prüfen Sie die Datenschutzerklärung des Herstellers: Welche Daten werden gesammelt? Wie lange werden sie gespeichert? Werden Daten an Dritte weitergegeben? Wählen Sie Geräte, deren Datenschutzerklärungen transparent und knapp sind. Bei geschäftlicher Nutzung beachten Sie die Vorgaben zur Datenverarbeitung nach DSGVO.

Wichtig: Dokumentieren Sie, welche personenbezogenen Daten Ihre Geräte verarbeiten, und informieren Sie betroffene Personen, wenn erforderlich.

Wann die Maßnahmen nicht ausreichen

• Wenn ein Gerät keine Updates mehr erhält, können Software‑Änderungen allein nicht mehr schützen — Austausch ist die sicherste Option.
• Physischer Zugriff auf Geräte (z. B. in gemeinsam genutzten Räumen) unterminiert viele Schutzmaßnahmen.
• Bei gezielten Angreifern mit Zugriff auf Firmware‑Signaturen sind zusätzliche Kontrollen nötig.

Prüf‑ und Akzeptanzkriterien

• Router‑Admin‑Passwort ist geändert.
• WLAN nutzt WPA2 oder WPA3.
• UPnP und Fernverwaltung sind deaktiviert, sofern nicht zwingend benötigt.
• Alle Geräte sind dokumentiert und auf Updates geprüft.

Faktentafel (qualitativ)

• Häufigste Ursachen für missbrauchte Geräte: Standardzugangsdaten, fehlende Updates, offene Dienste.
• Schnellster Schutzhebel: starke Passwörter + WPA2/WPA3 + UPnP deaktivieren.

Entscheidungsbaum (Mermaid)

flowchart TD
  A[Neues Gerät gekauft?] -->|Ja| B{Hersteller liefert Updates?}
  A -->|Nein| F[Prüfen: Ist Gerät aktuell im Einsatz?]
  B -->|Ja| C[Gerät eingliedern: Gastnetz/VLAN]
  B -->|Nein| D[Ersetzen oder isolieren]
  C --> E[Dokumentation und regelmäßige Updates]
  D --> E
  F --> G[Gerät inventarisieren und prüfen]
  G --> B

Zusammenfassung

Sichern Sie Ihren Router: Ändern Sie Standardzugänge, aktivieren Sie starke WLAN‑Verschlüsselung, deaktivieren Sie unnötige Dienste wie UPnP und Fernverwaltung und halten Sie Firmware aktuell. Segmentieren Sie Ihr Netzwerk für IoT‑Geräte und dokumentieren Sie verbundene Geräte. Nutzen Sie das Mini‑Playbook und die Checklisten, um systematisch vorzugehen.

Wichtig: Wenn ein Gerät keine Sicherheitsupdates mehr erhält, ist der Austausch die effektivste Maßnahme.

Quellen und weiterführende Links: Hersteller‑Supportseiten, CVE‑Datenbanken und unabhängige Produkt‑Reviews.