Categories: Sicherheit

Rund drei Viertel aller Router in Deutschland sind unsicher

Viele Notebooks und PCs sind in Heimnetzwerken inzwischen mit Sicherheitssoftware abgesichert. Es scheint, dass Angreifer daher neue Wege suchen – und auch finden. Daher rücken immer mehr WLAN-Router beziehungsweise andere Router für Heimnetzwerke ins Visier der Hacker. Und aufgrund einer unseligen Kombination aus Arglosigkeit bei den Anwendern und Unachtsamkeit bei den Herstellern werden sie schnell fündig.

Die Mehrzahl der Anwender in Deutschland läuft Gefahr, Opfer eines Hackerangriffs über unsichere Router zu werden. Das geht aus einer aktuellen Umfrage unter 8000 Haushalten hervor, die der Sicherheitsanbieter Avast durchgeführt hat. Demnach sind 74 Prozent der deutschen Heimnetzwerke bedroht, da die von ihnen verwendeten Router nur mit voreingestellten oder einfach zu erratenden Passwörtern geschützt sind.

Rund die Hälfte aller Router in Deutschland ist nur nachlässig mit dem voreingestellten Kennwort abgesichert oder aber mit allzu simplen Kombinationen aus Nutzernamen und Passwort. Als Beispiele für letztere nennt der Security-Anbieter „admin/admin“, „admin/passwort“ oder gar „admin/kein Passwort“. Weitere 24 Prozent der befragten Anwender verwendeten einfach zu erratende Passwörter, die sich etwa aus ihrer Adresse, Telefonnummer, ihrem Namen oder dem Straßennamen zusammensetzten.

Eines der größten Sicherheitsrisiken bei einem ungeschützten Router ist laut Avast das sogenannte DNS-Hijacking. Hierbei wird über eine Schwachstelle im Gerät ein Schadprogramm ins Netzwerk eingeschleust, um den Internet-Datenverkehr des Nutzers umzuleiten. Dadurch wird es Kriminellen möglich, gefälschte Web-Inhalte darzustellen. Beispielsweise könnte dem Anwender eine authentisch aussehende, gefälschte Online-Banking-Website angezeigt werden. Während der Nutzer glaubt, sich dort einzuloggen, greifen die Hacker dessen Anmeldedaten ab, um sie auf der echten Homepage der Bank einzugeben und Geld zu stehlen.

Viele Umfrageteilnehmer sind sich der Konsequenzen eines solchen oder ähnlichen Angriffs auf ihr Heimnetzwerk Avast zufolge bewusst. So sorgen sich 33 Prozent der Deutschen um den Abfluss ihrer Bank- oder Finanzdaten, während 31 Prozent Angst um ihre persönlichen Informationen haben. Weitere 17 Prozent befürchten, dass ihr Browserverlauf ausgespäht werden könnte, wohingegen 16 Prozent um ihre privaten Bilder fürchten. Darüber hinaus sei lediglich die Hälfte der Deutschen von der Sicherheit ihres Heimnetzwerks überzeugt. Im Gegensatz dazu gaben 17 Prozent laut Avast an, dass sie schon einmal Opfer eines Hackerangriffs wurden.

Gefahr erkannt – doch nicht gebannt

Trotz dieser Bedenken schützen sich die Nutzer der Umfrage zufolge nicht ausreichend: So wüssten 14 Prozent der Anwender nicht, ob sie überhaupt eine Lösung zur Absicherung ihres Heimnetzwerks einsetzen, 9 Prozent seien sich sogar sicher, dass sie keine nutzen. 15 Prozent der Teilnehmer räumten ein, dass sie sowohl für ihren Router als auch für passwortgeschützte Internetseiten die gleichen Nutzername-Passwort-Kombinationen verwenden. Weitere 28 Prozent setzen auf das werksmäßig voreingestellte Router-Passwort, während 6 Prozent nicht wissen, ob sie das Standard- oder ein anderes Kennwort vergeben haben.

„Die heutige Router-Situation ähnelt der PC-Situation der 90er-Jahre sehr. Auf der einen Seite übernimmt niemand Verantwortung, sich zu schützen, auf der anderen Seite werden jeden Tag neue Sicherheitslücken in Routern entdeckt, die Hacker einfach missbrauchen können. Allerdings haben die Deutschen heute auf ihren Computern und Smartphones viel mehr persönliche Informationen gespeichert als damals. Verbraucher benötigen daher starke Lösungen, die einfach zu nutzen sind und Angriffen vorbeugen“, kommentiert Vince Steckler, CEO bei Avast, die aktuelle Bedrohungslage.

Aus Sicht des Sicherheitsanbieters stellt etwa der Heimnetzwerk-Scan in dessen aktuellen Security-Suiten eine solche Lösung dar. Er soll Nutzern nicht nur vor Gefahren im eigenen Netzwerk schützen, sondern ihnen auch Hilfestellung bieten, um diesen vorzubeugen. Zudem verweist das Unternehmen auf die neu integrierte Funktion Avast SecureDNS, die die erwähnten DNS-Hijacking-Attacken verhindern soll, indem sie den Internet-Traffic zwischen dem Rechner des Anwenders und dem DNS-Server verschlüsselt. Letzterer wird als zusätzliche Schutzmaßnahme von dem Anbieter selbst bereitgestellt.

Bekannte Sicherheitslücken und -vorfälle bei WLAN-Routern

Dass die aus der Avast-Umfrage resultierende Schlussfolgerung, deutsche Heimnetzwerke seien unsicher, nicht aus der Luft gegriffen ist, zeigen einige Sicherheitslücken- und vorfälle bei für Privat- und KMU-Kunden gedachten Routern, die in diesem und dem vergangenen Jahr gemeldet wurden.

Im September wurden Fritz-Box-Besitzer teilweise erneut über eine im Februar geschlossene Sicherheitslücke angegriffen (Bild: AVM).

In Deutschland machte vor allem AVM durch Sicherheitslücken in seinen Fritz-Boxen Schlagzeilen. Anfang Februar hatte der Hersteller vor einem potenziellen Missbrauch der in die Geräte integrierten Fernzugriffsfunktion über den standardmäßigen HTTPS-Port 443 gewarnt. Betrüger hatten diese über gestohlene Zugangsdaten offenbar dazu verwendet, um von außen auf den Router zuzugreifen und kostenpflichtige Telefon-Mehrwertdienste anzurufen.

Durch oft nur wenige Sekunden dauernde Anrufe in entfernte Länder verursachten die Täter teilweise hohe Telefonrechnungen für die Betroffenen. In einem Fall kamen beispielsweise 4200 Euro durch zahlreiche Kurztelefonate nach den Falkland-Inseln zusammen. Weitere Verbindungen wurden etwa nach Litauen und Surinam hergestellt.

Als Gegenmaßnahme empfahl AVM damals, den Internetzugriff auf ihren Router über Port 443 zu deaktivieren. Im Anschluss daran sollten Dienste wie MyFritz und Fritz-NAS sowie die Benutzeroberfläche fritz.box nur noch aus dem lokalen Netzwerk, nicht aber von außerhalb erreichbar sein. Zudem stellte das Unternehmen in den darauffolgenden Tagen Sicherheitspatches für alle gängigen Fritz-Boxen bereit.

Geholfen hat das jedoch nur bedingt: Angreifer konnten nämlich offenbar auch ohne eingeschalteten Fernzugriff die Kontrolle über AVMs Router übernehmen. Die per Firmware-Update behobene Schwachstelle hatte allerdings nichts mit dem Fernzugriff zu tun, da Hacker anhand der neuerlichen Lücke die komplette Kontrolle über den Router übernehmen und beliebige Befehle mit Root-Rechten ausführen konnten. Anwender mussten dafür nur eine mit Schadcode infizierte Website besuchen oder einen präparierten Mail-Anhang öffnen.

Ende September versuchten Kriminelle dann erneut, die bereits im Februar geschlossene Lücke in den Routern auszunutzen: Offenbar hatten nicht alle Fritz-Box-Besitzer das von AVM bereitgestellte Update eingespielt und auch keinerlei Kennwörter neu vergeben. Betrüger wollten sich das zunutze machen und suchten gezielt nach derartigen Geräten.

Dieses generelle Problem, dass Nutzer Router-Firmware nur selten aktualisieren und Angreifer daher bei allen Herstellern auch häufig sehr alte, ungepatchte Software vorfinden, wurde von AVM schließlich dadurch angegangen, dass es seit der Firmwareversion FritzOS 6.20 automatische Sicherheits-Updates für seine Router eingeführt hat. Die Funktion lässt sich von Profi-Anwendern, die Kompatibilitätsprobleme oder Störungen komplizierter Konfigurationen befürchten, deaktivieren. Weniger versierten Nutzern wird dies jedoch nicht empfohlen. Auf Wunsch kann der Fritz-Box-Besitzer zudem per E-Mail über Firmware-Updates informiert werden.

Darüber hinaus hat AVM als Konsequenz aus den Angriffen auf seine Router in der jüngsten Firmwareversion FritzOS 6.20 unter dem Menüpunkt „Diagnose” eine neue Sicherheitsübersicht integriert. Sie teilt Nutzern beispielsweise mit, ob die aktuelle Firmware-Version installiert ist, auf welchen Ports Verbindungen ins Internet sowie im heimischen Netzwerk geöffnet sind und wer sich am Router an- oder abgemeldet hat.

Auch die von O2 bereitgestellten Router-Modelle enthielten ein Sicherheitsleck (Bild: Telefónica)

Von gleich mehreren Sicherheitslücken, die Ende Januar 2013 bekannt wurden, waren zwar AVM-Router nicht betroffen, dafür aber bis zu 50 Millionen andere netzwerkfähige Geräte mit aktiviertem Universal Plug and Play (UPnP). Hierbei handelt es sich um eine Sammlung von Netzwerkprotokollen, die es beispielsweise PCs, Druckern, NAS-Geräten und WLAN-Access-Points erlaubt, sich gegenseitig zu erkennen und miteinander zu kommunizieren. Die Anfälligkeiten in dem Dienst ermöglichten etwa die Ermittlung von über 80 Millionen IP-Adressen durch UPnP-Anfragen über das Internet. Hacker hätten die Lecks Sicherheitsforschern zufolge unter anderem zum Öffnen von Ports in einer Firewall sowie zum Einschleusen und Ausführen von Schadcode ausnutzen können.

Eine Schwachstelle in einem weiteren Router-Dienst wurde spätestens seit Mitte Dezember 2013 durch Angreifer auch tatsächlich missbraucht. Sicherheitsforscher des in Florida ansässigen Team Cymru deckten einen umfangreichen Pharming-Angriff auf, bei dem die DNS-Einträge von Router-Modellen der Hersteller D-Link, TP-Link und Zyxel manipuliert wurden, nachdem deren Nutzer zuvor einen präparierten Link angeklickt hatten.

Die Hacker änderten die DNS-Server auf die Adressen 5.45.75.11 und 5.45.75.36, sodass sie die DNS-Anfragen der Betroffenen entsprechend umleiten konnten. Nach dem Ersetzen von IP-Adressen bekannter Domain-Namen durch andere sind Man-in-the-Middle-Attacken möglich. Binnen zwei Wochen wurden Team Cymru zufolge Anfragen von rund 300.000 IP-Adressen bei den erwähnten DNS-Servern beobachtet. Die Zahl der kompromittierten Geräte dürfte laut den Forschern daher ähnlich hoch gewesen sein.

Doch nicht nur die Router der genannten Hersteller waren betroffen: Auch in Asus-Geräten wurden bereits im Juni 2013 erstmals Sicherheitslücken gemeldet. Nachdem der Anbieter nur schleppend mit einem manuell zu installierenden Firmware-Update reagiert hatte, veröffentlichten unbekannte Hacker nahezu 13.000 IP-Adressen angreifbarer Geräte, um auf die nach ihrer Ansicht dilettantischen Fehler in der Router-Software hinzuweisen. Unter anderem erlaubte eine Standardeinstellung für den FTP-Server den Hackern zufolge ein anonymes Log-in. Dadurch habe praktisch jeder Internetnutzer Zugriff auf per USB angeschlossenen Speicher und könne darauf Dateien herunterladen oder dort ablegen.

Ebenso finden sich auch in den von Netzbetreibern unter eigenem Namen ausgelieferten Routern gravierende Sicherheitslücken. So hat etwa O2 seine Kunden im März auffordern müssen, den bei seinen Geräten standardmäßig eingestellten WPA2-Schlüssel zur Aktivierung des Funknetzes schnellstmöglich zu ändern. Als Grund nannte die Telefónica-Tochter, dass das eingesetzte Verfahren zur Generierung des Standard-WLAN-Schlüssels Ansatzpunkte für Zugriffe durch Unbefugte geboten habe.

Jüngstes Beispiel sind die von Vodafone unter dem Namen Easybox bereitgestellten WLAN-Router. Eine bereits seit August 2013 bekannte und nun erneut ausgenutzte Sicherheitslücke erlaubt es Angreifern, sich Zugang zum Heimnetzwerk eines Anwenders zu verschaffen und dort beispielsweise Daten abzugreifen.

Obwohl der Provider nach Bekanntwerden des Lecks ein Firmware-Update auslieferte, lässt sich mittels einer nur leicht abgewandelten Angriffsmethode das WLAN-Passwort sowie die voreingestellte WPS-Pin anhand der MAC-Adresse des Routers errechnen. Das gilt selbst dann, wenn die aktuelle Firmware installiert und das WLAN-Passwort, wie von Vodafone empfohlen, geändert wurde. Betroffen sein sollen die vor August 2011 produzierten Baureihen 300, 400, 600 und 800.

Jüngstes Beispiel für ein Router-Sicherheitsleck: In älteren Modellen der Easybox lässt sich theoretisch das WLAN-Passwort sowie die voreingestellte WPS-Pin anhand der MAC-Adresse des Routers errechnen (Bild: Vodafone).

Sicherheitstipps der Hersteller

Auch wenn es keine hundertprozentige Sicherheit gegen solche Router-Angriffe gibt, sollten Anwender ihren WLAN-Router trotzdem nach der einmaligen Einrichtung nicht unbeaufsichtigt seinen Dienst verrichten lassen. Denn grundsätzliche Sicherheitsmaßnahmen wie regelmäßige Firmware-Updates erschweren den Hackern zumindest die Attacken auf Heimnetzwerke. Unabhängig vom jeweiligen Gerät finden sich auf jeder Hersteller-Homepage Schritt-für-Schritt-Anleitungen, Tipps oder Hinweise zur Absicherung des Heimnetzwerks und Routers. Besonders ausführliche Ratschläge geben AVM und TP-Link an die Hand.

AVM erklärt seinen Kunden in einem Sicherheitsratgeber unter anderem, wie sie alte IP-Telefon-Profile löschen, um missbräuchliche Anrufe darüber auszuschließen und neue Passwörter zu vergeben. Zudem erläutert der Hersteller, wie sich nach der Installation des Firmware-Updates im Einzelnen die in der Fritz-Box hinterlegten Kennwörter ändern lassen. Hierzu zählen etwa Passwörter für VPN-Verbindungen und E-Mail-Konten oder auch WLAN-Netzwerkschlüssel. Gesonderte Hinweise zur Absicherung des heimischen WiFi-Netzes offeriert AVM in einem weiteren Ratgeber.

TP-Link verpackt seine Sicherheitshinweise in fünf kompakte Tipps zum Schutz eines WLAN-Routers. So sollte der Nutzer unter anderem eine MAC-Filtertabelle im Router hinterlegen, um unbekannten Geräten den Zugriff zu verweigern. Auch der Schlafmodus zur zeitlich gesteuerten Abschaltung der WLAN-Funktion bei Nichtgebrauch des Routers sollte aktiviert sein.

Ein weiterer Ratgeber listet für Anwender auf, welche Maßnahmen sie zusätzlich ergreifen können: Beispielsweise rät das Unternehmen, die Fernwartungsfunktion des Routers nur dann zu aktivieren, wenn sie auch tatsächlich benötigt wird. Wie sich diese abschalten lässt, wird ebenfalls erklärt.

D-Link empfiehlt nur Sicherheitspatches für seine Router-Firmware sowie die in den Geräten integrierten UPnP-Protokolle. Für weitere Sicherheitstipps verweist der Anbieter lediglich auf eine grundlegende Empfehlung (PDF) des BSI (Bundesamt für Sicherheit in der Informationstechnik).

Mit Netgear beschränkt sich ein anderer, in Deutschland weit verbreiteter Router-Hersteller ebenfalls auf grundsätzliche Sicherheitsanleitungen. Diese umfassen im Einzelnen Ratgeber zur manuellen Aktualisierung der Router-Firmware sowie zur Absicherung des WLAN-Netzes mittels WPA/WPA2-Verschlüsselung, aber auch zur Änderung des WLAN-Schlüssels, falls der Nutzer noch den Standardschlüssel oder ein schwaches Passwort verwendet.

Darüber hinaus offerieren auch die Netzbetreiber zahlreiche Leitfäden für die von ihnen bereitgestellten Router-Modelle. Während das Ratgeberspektrum von Vodafone auf Anleitungen zum Update der Easybox-Firmware und zur Absicherung des Funknetzes begrenzt ist, warnt die Telekom auf der FAQ-Seite zu ihren Speedport-Routern etwas kryptisch vor Angriffsvektoren, die bei bestimmten Modellen „im Zusammenhang mit der kürzlich aufgetretenen Sicherheitsschwachstelle eines anderen bekannten Herstellers“ – gemeint ist AVM – stünden, aber nicht so schwerwiegend seien. Gleichzeitig gibt der Bonner Konzern auf derselben Website Hilfestellung, wie sich das Problem beheben lässt.

Auf diese Schwachstelle sowie den daraus resultierenden Telefonmissbrauch weist auch O2 auf seiner Überblicksseite zur Router-Sicherheit hin, da das Unternehmen seinen Kunden ebenfalls einige Fritz-Box-Modelle zur Verfügung stellt. Ein weiterer Ratgeber befasst sich dort mit dem Problem der unsicheren Standard-WPA2-Schlüssel.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Rainer Schneider

Seit September 2013 ist Rainer hauptsächlich für ITespresso im Einsatz, schreibt aber gerne auch mal hintergründige Artikel für ZDNet und springt ebenso gerne für silicon ein. Er interessiert sich insbesondere für die Themen IT-Security und Mobile. Sein beständiges Ziel ist es, die komplexe IT-Welt so durchsichtig und verständlich wie möglich abzubilden.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago