Wenn Router und WLAN nicht abgesichert sind, sind alle verbundenen Geräte und damit auch auf ihnen gespeicherte Daten gefährdet. ntv.de zeigt, wie man sein heimisches Netzwerk in wenigen Schritten vor Hackern schützt.

Im vergangenen Mai hat eine Warnung des Bundesamt für Sicherheit in der Informationstechnologie (BSI) vor einer Schwachstelle namens "FragAttacks" großen Wirbel verursacht, da praktisch alle WLAN-Geräte davon betroffen waren, vor allem auch Router. Hacker können über die Lücke nicht nur auf die betroffenen Geräte zugreifen, sondern unter Umständen auch weitere Angriffe im Netzwerk durchführen. Auch die weit verbreiteten Fritzboxen waren betroffen, Hersteller AVM hat inzwischen aber alle noch unterstützten Router und Zubehör mit Updates abgesichert, zuletzt auch einige Geräte, die älter als fünf Jahre sind.

Bei "FragAttacks" handelt es sich um eine Schwachstelle, die Hackern viel Arbeit bereitet. Sie haben es aber oft viel leichter, in Netzwerke einzudringen, weil viele Nutzer ihre Router gar nicht oder nur unzureichend absichern. Im schlimmsten Fall können sie dann von verbundenen Geräten Informationen abgreifen oder sie sogar übernehmen. ntv.de zeigt, wie man Router und WLAN vor Angriffen schützt.

Anonymer WLAN-Name

Ein erster Schritt ist, in der Benutzeroberfläche des Routers den Namen des Netzwerks (SSID) zu ändern und einen anonymen Begriff dafür zu wählen. Das schützt ein Netzwerk zwar nicht direkt, macht es Hackern aber besonders in Mehrfamilienhäusern ein bisschen schwerer, gezielt anzugreifen. In den Werkseinstellungen erhalten sie außerdem Infos zum verwendeten Router, bei dem sie möglicherweise nicht geschlossene Sicherheitslücken kennen und wissen, wie man sie ausnützt.

- Bei einer Fritzbox erreicht man die Benutzeroberfläche, indem man im Browser in die Adresszeile "fritz.box" eingibt. Dann kann man unter WLAN - Funknetz - Funknetzname die SSID ändern.

Router-Zugang schützen

Nachdem man die SSID umbenannt hat, sollte man das voreingestellte Passwort ändern beziehungsweise einrichten, mit dem man auf den Router zugreifen kann, um Einstellungen zu ändern.

- Das Passwort einer Fritzbox ändert man unter System - Fritz!Box-Benutzer - Benutzer.

- Ein sicheres Passwort ist möglichst lang und besteht aus Buchstaben, Zahlen und Sonderzeichen, die keinen Sinn ergeben.

- Falls möglich sollte man für Änderungen an den Router-Einstellungen keine WLAN-Verbindung, sondern den Computer per LAN-Kabel anschließen.

- Ist man fertig, beendet man die Sitzung, bevor man weitersurft. Der Zugang zur Benutzeroberfläche bleibt nämlich gewöhnlich weiter offen und man wird erst nach einer gewissen Zeit abgemeldet. Bei der Fritzbox sind das 20 Minuten.

Zwei-Faktor-Authentifizierung nutzen

Falls angeboten, sollte man die Zwei-Faktor-Authentifizierung aktivieren. Das bedeutet, zusätzlich zur Eingabe des Passworts ist zur Änderung von kritischen Einstellungen eine Bestätigung nötig, beispielsweise durch eine via SMS zugeschickte PIN.

- Bei einer Fritzbox kann man dazu auch ein angeschlossenes Telefon oder die Google-Authenticator-App nutzen. Die Einstellung ändert man unter System - FRITZ!Box-Benutzer - zusätzliche Bestätigung.

WLAN-Passwort ändern

Besonders wichtig ist, dass man das WLAN-Passwort ändert (SSID-Passwort). Die voreingestellte Kombination steht gewöhnlich auf der Rück- oder Unterseite eines Routers und ist daher alles andere als ein Geheimnis. Manchmal besteht sie sogar nur aus Nullen oder Einsen, was jeder Angreifer als Allererstes ausprobiert.

- Auch hier gilt es, ein möglichst sicheres Passwort zu wählen, selbst wenn es bei der ersten Verbindungsaufnahme eines neuen Gerätes nervig sein kann, lange komplizierte Kombinationen einzugeben.

- Im Menü der Fritzbox ändert man das WLAN-Passwort unter WLAN - Sicherheit - Verschlüsselung - WLAN-Netzwerkschlüssel.

Höchste WLAN-Verschlüsselung wählen

Das beste Passwort nutzt wenig, wenn die WLAN-Verbindung nicht oder nicht gut genug verschlüsselt ist. Deshalb ist es wichtig, hier den bestmöglichen Schutz einzustellen.

- Das gängige Verfahren ist WPA (Wi-Fi Protected Access), das festlegt, wie Router und WLAN-Gerät einen gemeinsamen Schlüssel zur Verbindung aushandeln.

- Das ursprüngliche WPA ist inzwischen veraltet und ist nicht mehr sicher. Der aktuelle Standard ist WPA2, die beste Verschlüsselung erhält man mit WPA3.

- In den Einstellungen des Routers gibt es oft eine Option, die für ältere WLAN-Geräte automatisch WPA oder WPA2 auswählt. Sie sollte nicht genutzt werden. Falls es im Haushalt noch Geräte gibt, die nur WPA können, ist es Zeit, sich davon zu trennen. Sie erhalten (schon lange) keine Updates mehr und stellen für sich ein großes Sicherheitsrisiko dar.

- Das Häkchen sollte man bei WPA2 beziehungsweise WPA2 oder WPA3 setzen.

- Im Menü der Fritzbox ändert man die WPA-Einstellungen unter WLAN - Sicherheit - Verschlüsselung.

Firmware aktualisieren

Wie man am Beispiel "FragAttacks" sehen kann, ist es für die Router-Sicherheit essenziell, dass seine Software aktuell gehalten wird und regelmäßig zur Verfügung stehende Updates installiert werden.

- Am besten aktiviert man automatische Aktualisierungen, damit man sie nicht verpasst.

- In der Fritzbox-Benutzeroberfläche findet man die entsprechenden Einstellungen unter System - Update - FRITZ!OS-Version beziehungsweise - Auto-Update.

WPS nicht dauerhaft aktiv

WPS (Wi-Fi Protected Setup) ist eine bequeme Sache. Denn es erspart bei der Verbindung neuer Geräte die Eingabe des WLAN-Passworts. Speziell das PIN-Verfahren ist allerdings nicht sehr sicher. Dabei erstellt der Router einen kurzen Code, den man dann auf WLAN-Client eingibt.

- Man muss nicht ganz auf den Komfort verzichten, aber man sollte WPS deaktivieren, solange man es nicht braucht.

- WPS-PBC (WPS-Push-Button-Configuration) gilt grundsätzlich als sicher. Dabei drückt man nacheinander physische Tasten an Router und WLAN-Gerät. Allerdings kann das theoretisch auch ein Besucher schnell erledigen, wenn er kurz unbeobachtet ist.

- Die Fritzbox nutzt standardmäßig WPS-PBC. Um es ein- oder auszuschalten, geht man in den Einstellungen zu WLAN - Sicherheit -WPS-Schnellverbindung.

Gastzugang einrichten

Vielleicht kann man Gästen trauen, aber nicht unbedingt ihren mitgebrachten Geräten, die möglicherweise unbemerkt Schad-Software an Bord haben. Deshalb ist es besser, ihnen einen eigenen WLAN-Zugang einzurichten, der ihnen zwar eine Internetverbindung, nicht aber den Zugriff aufs Heimnetzwerk ermöglicht.

- Bei einer Fritzbox findet man die entsprechenden Einstellungen unter WLAN - Gastzugang. Hier muss man privater WLAN-Gastzugang wählen, da bei der zweiten Möglichkeit ein öffentlicher WLAN-Hotspot eingerichtet wird, bei dem die Übertragung grundsätzlich unverschlüsselt stattfindet.

Zeitschaltung aktivieren

Wenn man kein WLAN benötigt, kann man es auch abschalten. Das spart etwas Strom und das Netzwerk ist nicht angreifbar. Man kann dafür am Router jedes Mal einen Knopf drücken oder eine Zeitschaltung aktivieren, die das Netzwerk zu bestimmten Zeiten aus- oder einschaltet.

- Die Zeitschaltung der Fritzbox steuert man über WLAN - Zeitschaltung an. Praktisch: Man kann bestimmen, dass das Funknetz erst abgeschaltet wird, wenn kein WLAN-Gerät mehr aktiv ist.

MAC-Filter nutzen?

Oft wird geraten, den Mac-Adressfilter des Routers zu aktivieren. Dabei muss der Zugriff jedes neuen Geräts gestattet werden, auch wenn der Besitzer das korrekte Passwort eingibt. Das erscheint im ersten Moment eine logische Maßnahme zu sein, Hacker haben dafür aber nur ein müdes Lächeln übrig. Der Filter hält höchstens Nachbarn in Funk-Reichweite davon ab, Passwort-Raten zu spielen. Wenn man, wie oben empfohlen, ein sicheres Passwort eingerichtet hat, ergibt ein Mac-Filter keinen Sinn und macht die Sache nur unnötig umständlich.

- Wer doch filtern möchte, geht in der Fritzbox-Oberfläche zu WLAN - Sicherheit - Verschlüsselung. Dort findet man die entsprechenden Einstellungen unter der Liste aller bisher zugelassenen Geräte.

Unsichtbare SSID?

Ähnlich wenig Sinn ergibt es, den WLAN-Namen zu verbergen. Das heißt, ein Nachbar sieht ihn nicht in der Liste der verfügbaren Netzwerke. Ein Hacker hat damit aber überhaupt keine Probleme.

- Falls es doch einen guten Grund dafür gibt, kann man im Fritzbox-Menü die SSID unter WLAN - Funknetz unsichtbar machen, indem man das Häkchen hinter Funknetz sichtbar entfernt.