Die meisten Menschen installieren ihren WLAN-router und nutzen ihn jahrelang, ohne je einen Blick auf die sicherheitsrelevanten einstellungen zu werfen. Dabei öffnet ein schlecht konfigurierter router tür und tor für cyberkriminelle, die sich zugang zum heimnetzwerk verschaffen wollen. IT-experten wissen, dass die werkseinstellungen der hersteller oft nicht ausreichen, um moderne bedrohungen abzuwehren. Welche konkreten anpassungen sollten nutzer vornehmen, um ihr netzwerk wirklich zu schützen ? Die folgenden maßnahmen gehören zu den wichtigsten schritten, die sicherheitsbewusste fachleute sofort nach der installation eines neuen routers durchführen.
Ein starkes Passwort für das Wi-Fi-Netzwerk einrichten
Warum schwache passwörter das größte sicherheitsrisiko darstellen
Das standardpasswort, das auf der unterseite des routers aufgedruckt ist, mag bequem erscheinen, stellt jedoch eine erhebliche schwachstelle dar. Viele hersteller verwenden vorhersehbare kombinationen oder sogar identische passwörter für ganze produktserien. Angreifer nutzen automatisierte tools, die bekannte standardpasswörter innerhalb von minuten durchprobieren können. Ein kompromittiertes WLAN ermöglicht es unbefugten nicht nur, die internetverbindung mitzunutzen, sondern auch sensible daten abzufangen oder schadsoftware in das netzwerk einzuschleusen.
Merkmale eines sicheren WLAN-passworts
Ein wirklich robustes passwort sollte mehrere kriterien erfüllen, um modernen angriffsversuchen standzuhalten:
- Mindestens 16 zeichen länge für ausreichende komplexität
- Kombination aus groß- und kleinbuchstaben, zahlen sowie sonderzeichen
- Keine persönlichen informationen wie namen, geburtsdaten oder adressen
- Keine wörter, die in wörterbüchern zu finden sind
- Einzigartigkeit gegenüber anderen genutzten passwörtern
Passwortmanager können dabei helfen, solche komplexen kombinationen zu generieren und sicher zu speichern. Die investition von wenigen minuten in die erstellung eines starken passworts zahlt sich durch jahrelangen schutz aus.
Regelmäßiger passwortwechsel als zusätzliche absicherung
Sicherheitsexperten empfehlen, das WLAN-passwort mindestens einmal jährlich zu ändern. Dies begrenzt den schaden, falls das passwort unbemerkt kompromittiert wurde. Besonders nach dem besuch von gästen oder wenn geräte verkauft wurden, die zugriff auf das netzwerk hatten, sollte eine änderung erfolgen. Diese maßnahme mag umständlich erscheinen, bietet jedoch eine wichtige zusätzliche sicherheitsebene gegen langfristige infiltrationen.
Neben dem passwort selbst spielt auch die verschlüsselungstechnologie eine zentrale rolle für die netzwerksicherheit.
Regelmäßig die Firmware des Routers aktualisieren
Sicherheitslücken durch veraltete software
Router sind im grunde spezialisierte computer mit eigenem betriebssystem, der sogenannten firmware. Wie jede software enthält auch router-firmware potenzielle sicherheitslücken, die erst nach der veröffentlichung entdeckt werden. Hersteller schließen diese lücken durch updates, doch viele nutzer installieren diese aktualisierungen nie. Cyberkriminelle durchsuchen systematisch das internet nach routern mit bekannten schwachstellen, die sich leicht ausnutzen lassen.
Automatische update-funktionen aktivieren
Moderne router bieten häufig die möglichkeit, firmware-updates automatisch zu installieren. Diese funktion sollte unbedingt aktiviert werden, da sie den administrativen aufwand minimiert und gleichzeitig kontinuierlichen schutz gewährleistet. Falls der router keine automatischen updates unterstützt, sollte mindestens vierteljährlich manuell nach neuen versionen gesucht werden. Der update-prozess dauert in der regel nur wenige minuten und erfordert meist lediglich einen neustart des geräts.
Überprüfung der aktuellen firmware-version
Die meisten router zeigen die installierte firmware-version in ihrem administrationsbereich an. Ein vergleich mit der auf der herstellerwebsite verfügbaren version gibt aufschluss darüber, ob ein update erforderlich ist. Bei dieser gelegenheit lohnt es sich auch zu prüfen, ob der hersteller überhaupt noch sicherheitsupdates für das jeweilige modell bereitstellt. Ältere geräte, die keine unterstützung mehr erhalten, sollten durch aktuelle modelle ersetzt werden.
Die technische grundlage für sichere datenübertragung bildet jedoch die verwendete verschlüsselungsmethode.
WPA3-Verschlüsselung für eine verstärkte Sicherheit konfigurieren
Die entwicklung der WLAN-verschlüsselungsstandards
Die verschlüsselung des WLAN-signals hat sich über die jahre erheblich weiterentwickelt. Während WEP bereits seit jahrzehnten als unsicher gilt und WPA2 zwar weit verbreitet, aber anfällig für bestimmte angriffe ist, bietet WPA3 den modernsten schutz. Dieser standard wurde speziell entwickelt, um schwachstellen seiner vorgänger zu beheben und ist seit 2018 verfügbar. Dennoch nutzen viele router weiterhin ältere verschlüsselungsmethoden, weil die einstellung nie geändert wurde.
Vergleich der verschlüsselungsstandards
| Standard | Einführungsjahr | Sicherheitsniveau | Empfehlung |
|---|---|---|---|
| WEP | 1997 | Sehr niedrig | Niemals verwenden |
| WPA | 2003 | Niedrig | Vermeiden |
| WPA2 | 2004 | Mittel | Mindeststandard |
| WPA3 | 2018 | Hoch | Bevorzugt nutzen |
Praktische umsetzung von WPA3
Die umstellung auf WPA3 erfolgt in den router-einstellungen unter dem bereich für drahtlose sicherheit. Wichtig ist zu beachten, dass alle endgeräte im netzwerk WPA3 unterstützen müssen. Bei älteren geräten kann die übergangslösung WPA2/WPA3-mixed-mode genutzt werden, die beide standards parallel unterstützt. Dieser kompromiss bietet besseren schutz als reines WPA2, ohne ältere geräte auszuschließen. Langfristig sollten jedoch alle geräte WPA3-kompatibel sein.
Über die verschlüsselung hinaus gibt es weitere zugriffswege zum router, die abgesichert werden müssen.
Fernverwaltung des Routers deaktivieren
Risiken der remote-administration
Viele router bieten die möglichkeit, über das internet aus der ferne auf die administrationsschnittstelle zuzugreifen. Diese funktion ist praktisch für technischen support oder wenn nutzer von unterwegs einstellungen ändern möchten. Gleichzeitig öffnet sie jedoch ein einfallstor für angreifer aus dem gesamten internet. Automatisierte scans suchen kontinuierlich nach routern mit aktivierter fernverwaltung, um schwachstellen auszunutzen oder brute-force-angriffe auf die login-daten durchzuführen.
Deaktivierung überflüssiger zugriffsmöglichkeiten
Für die allermeisten privatnutzer ist die fernverwaltung völlig unnötig. Alle notwendigen einstellungen können bequem vom heimnetzwerk aus vorgenommen werden. In den router-einstellungen findet sich meist unter den erweiterten optionen oder unter sicherheit die möglichkeit, den fernzugriff zu deaktivieren. Zusätzlich sollten folgende dienste überprüft werden:
- Telnet-zugriff komplett abschalten
- SSH-zugriff nur bei bedarf aktivieren
- UPnP deaktivieren, da es sicherheitsrisiken birgt
- WPS-funktion ausschalten, die anfällig für angriffe ist
Lokale administration absichern
Selbst wenn die fernverwaltung deaktiviert ist, sollte der lokale zugriff auf die router-oberfläche geschützt werden. Das standardpasswort für die administration muss durch ein individuelles, starkes passwort ersetzt werden. Manche router erlauben zudem die änderung des standardbenutzernamen, was eine zusätzliche hürde für angreifer darstellt. Die verwendung von HTTPS statt HTTP für die verbindung zur administrationsschnittstelle verschlüsselt die kommunikation und verhindert das abfangen von zugangsdaten.
Eine weitere sinnvolle maßnahme besteht darin, verschiedene bereiche im netzwerk voneinander zu trennen.
Ein Gastnetzwerk für Besucher erstellen
Vorteile der netzwerksegmentierung
Ein gastnetzwerk schafft eine logische trennung zwischen den geräten von besuchern und den eigenen netzwerkressourcen. Gäste erhalten zwar internetzugang, können aber nicht auf freigegebene ordner, drucker oder andere geräte im hauptnetzwerk zugreifen. Dies schützt vor unbeabsichtigten sicherheitsproblemen, etwa wenn das smartphone eines gastes mit malware infiziert ist. Zudem bleibt das hauptnetzwerk-passwort privat, da gäste ein separates passwort erhalten.
Konfiguration eines sicheren gastnetzwerks
Die meisten modernen router bieten eine gastnetzwerk-funktion in ihren einstellungen. Bei der einrichtung sollten folgende parameter beachtet werden:
- Eindeutiger netzwerkname (SSID), der sich vom hauptnetzwerk unterscheidet
- Eigenes, starkes passwort für den gastzugang
- Aktivierung der client-isolation, damit gäste sich nicht gegenseitig sehen
- Bandbreitenbegrenzung, um die hauptverbindung nicht zu beeinträchtigen
- Zeitlich begrenzte aktivierung, falls der router dies unterstützt
Anwendungsfälle über gästebesuche hinaus
Das gastnetzwerk eignet sich nicht nur für besucher, sondern auch für smart-home-geräte mit fragwürdiger sicherheit. Internetfähige kühlschränke, staubsaugerroboter oder überwachungskameras können im gastnetzwerk betrieben werden, ohne dass sie zugriff auf computer oder smartphones im hauptnetzwerk haben. Diese strategie minimiert das risiko, dass ein kompromittiertes IoT-gerät als sprungbrett für angriffe auf wichtigere systeme dient.
Neben der netzwerktrennung bieten router weitere integrierte schutzmechanismen.
Die integrierte Firewall des Routers aktivieren
Funktionsweise einer router-firewall
Die meisten router verfügen über eine eingebaute firewall, die als erste verteidigungslinie zwischen dem heimnetzwerk und dem internet fungiert. Sie überwacht ein- und ausgehenden datenverkehr und blockiert verdächtige verbindungsversuche. Im gegensatz zu software-firewalls auf einzelnen geräten schützt die router-firewall das gesamte netzwerk zentral. Dennoch ist sie bei vielen geräten standardmäßig nicht aktiviert oder nur teilweise konfiguriert.
Optimale firewall-einstellungen
In den router-einstellungen sollte die firewall auf die höchste sicherheitsstufe gesetzt werden, sofern dies nicht zu problemen mit legitimen anwendungen führt. Die stateful packet inspection (SPI) sollte aktiviert sein, da sie nicht nur einzelne datenpakete prüft, sondern auch den kontext der verbindung berücksichtigt. Zusätzlich empfehlen sich folgende maßnahmen:
- DoS-schutz aktivieren gegen überlastungsangriffe
- Port-scanning-erkennung einschalten
- Eingehende verbindungen standardmäßig blockieren
- Nur explizit benötigte ports für spezifische anwendungen öffnen
Protokollierung und überwachung
Viele router bieten die möglichkeit, firewall-aktivitäten zu protokollieren. Diese logs können aufschluss über angriffsversuche geben und helfen, ungewöhnliche muster zu erkennen. Regelmäßige überprüfungen der protokolle, etwa monatlich, ermöglichen es, verdächtige aktivitäten frühzeitig zu identifizieren. Manche router senden auch benachrichtigungen bei sicherheitsrelevanten ereignissen, eine funktion, die unbedingt genutzt werden sollte.
Die absicherung des WLAN-routers erfordert mehr als nur die installation und inbetriebnahme. Die genannten maßnahmen bilden ein fundament für ein sicheres heimnetzwerk und schützen vor den häufigsten bedrohungen. Ein starkes passwort, aktuelle firmware, moderne verschlüsselung, deaktivierte fernverwaltung, ein separates gastnetzwerk und eine aktive firewall arbeiten zusammen, um mehrschichtige sicherheit zu gewährleisten. Die umsetzung dieser einstellungen nimmt insgesamt weniger als eine stunde in anspruch, bietet aber langfristigen schutz für alle verbundenen geräte und die darauf gespeicherten daten. Sicherheitsbewusste nutzer sollten diese konfigurationen als grundausstattung betrachten und regelmäßig überprüfen, ob neue sicherheitsempfehlungen umgesetzt werden müssen.