14 Tools zum Schutz von Ihnen und Ihrem Router vor invasiver Netzwerksicherheit

Wer kennt es nicht, das Ding, das an die Hauptsteckdose des Breitbandanschlusses gebunden ist? Auf ihm ist der Wi-Fi-Schlüssel aufgedruckt, und Sie starten ihn neu, wenn Ihre Internetverbindung ausfällt.

Ihr Router ist das wichtigste elektronische Gerät in Ihrem Haus. Er steuert, welche Daten über Ihr Heimnetzwerk fließen können.

Er ist der Torwächter zwischen Ihrer sicheren internen Netzwerkumgebung und dem Wilden Westen des unregulierten Internets. Dabei wird er oft vernachlässigt und ist extrem unsicher.

Ihr bescheidener Heim-Router

Bedauerlicherweise werden die meisten Router, die von Internetdienstanbietern (ISPs) als Teil Ihres Vertrags geliefert werden, mit Blick auf das Budget und nicht auf Effizienz und Sicherheit entwickelt und bereitgestellt.

Selbst Geräte, die einen guten Job leisten könnten, haben wahrscheinlich unsichere Standardkonfigurationen oder sogar Service-Hintertüren und fehlerhafte Firmware.

Alle modernen Router verfügen über eine Firewall-Funktion. Wie einfach es für den Benutzer ist, Zugang zur Firewall zu erhalten und die Einstellungen zu ändern, ist von Hersteller zu Hersteller unterschiedlich.

In einigen Fällen kann man die Firewall-Einstellungen nicht einmal sehen. Sie werden als Blackbox geliefert und in einem einheitlichen Format konfiguriert.

Diejenigen, die Änderungen an der Konfiguration zulassen, teilen ihren Endnutzern nur selten mit, dass dies möglich ist. Und selbst in den seltenen Situationen, in denen der Benutzer darüber informiert wird, wie er auf die Firewall-Einstellungen zugreifen kann, machen die privaten User selten davon Gebrauch.

Wenn das unregulierte Internet der Wilde Westen ist, dann ist Ihre Firewall der Sheriff. Damit sie ihre Aufgabe richtig erfüllen kann, muss sie entsprechend eingerichtet und befähigt sein. Andernfalls kann jeder oder alles in Ihr Netzwerk eindringen.

Und das kann auch Ihr Arbeitgeber sein.

Das Kleingedruckte lesen

Viele Unternehmen nehmen in ihre Arbeitsverträge, ihre Nutzungsrichtlinien oder ihre IT-Sicherheitsrichtlinien einen Abschnitt auf, in dem sie sich das Recht vorbehalten, alles zu scannen, was mit dem Firmennetzwerk verbunden ist. 

Das klingt fair. Es ist ihr Netzwerk, und sie müssen es sicher halten. Natürlich werden sie die Verbindungen zum Netz kontrollieren.

Aufgrund der weit verbreiteten Heimarbeit, die durch die COVID-19-Pandemie ausgelöst wurde, greifen mehr Mitarbeiter als je zuvor von zu Hause aus auf das Unternehmensnetzwerk zu. 

Firmen setzen Port-Scanner und Penetrationstest-Software ein, um Ihr Netzwerk auf Schwachstellen zu untersuchen, genau wie es Bedrohungsakteure tun.

Wenn Ihr Arbeitgeber Schwachstellen in Ihrem Router und Netzwerk entdeckt, wird er Sie natürlich nicht mit Ransomware infizieren.

Aber das Wissen, dass jemand die Verteidigungsmechanismen Ihres Routers getestet hat das digitale Äquivalent zum Klappern an der Tür, zum Ausprobieren der Fenster und zum Suchen des Schlüssels unter der Fußmatte kann Ihnen trotzdem ein unangenehmes Gefühl geben und Sie verärgern.

Die erste Frage, die Sie sich wahrscheinlich stellen werden, lautet: Darf man das überhaupt tun?

Wenn es in einer Richtlinie oder einem Vertragsdokument steht, dem Sie unterliegen, und wenn Sie bei Ihrer Einarbeitung und bei jeder Änderung und Neuausgabe in die entsprechende Richtlinie eingeführt wurden, dann ja. Ohne eine solche Erklärung ist das nicht möglich.

Es ist illegal, Port-Scans und Penetrationstests in einem fremden Netz ohne dessen vorherige Zustimmung durchzuführen, selbst wenn man gute Absichten hegt.

Deshalb sagen wir: Lesen Sie das Kleingedruckte. Eine solche Erklärung könnte in einer für Sie geltenden Richtlinie versteckt sein. Aber selbst wenn Ihre Organisation dazu in der Lage ist, wäre es nur höflich und respektvoll, wenn der Arbeitgeber Sie vorher informieren würde.

Ein kurzes Kommuniqué, in dem erklärt wird, dass die Netzwerke der Heimarbeiter zum Zweck der Gewährleistung einer sicheren Verbindung zum Unternehmensnetz einer wohlwollenden Fernprüfung unterzogen werden, ist nicht schwer zu verfassen.

Und es macht einen großen Unterschied für die Arbeitsmoral. Aber leider wird eine solche Erklärung oft gar nicht abgegeben.

So machen Sie Ihren Router sicherer

Egal, wer sich Zugang zu Ihrem System verschafft, was können Sie tun, um Ihre Verteidigung zu stärken und Ihren Router so unangreifbar wie möglich zu machen?

Die Maßnahmen, die Sie ergreifen können, hängen vom Hersteller und vom Modell Ihres Routers ab. Aber diese Liste sollte für jeden etwas bereithalten.

Die Verwaltungsoberfläche, die Menüs und die Einstellungen variieren je nach Marke und Modell, daher können wir Ihnen keine Schritt-für-Schritt-Anleitung geben.

Es sollte jedoch nicht allzu schwierig sein, die entsprechenden Einstellungen in Ihrem Router für die Punkte in unserer Liste zu finden sofern Sie die Erlaubnis haben, auf diese zuzugreifen.

Wenn Ihr Internetanbieter das Gerät gesperrt hat und Ihnen den Zugriff auf die wichtigen Einstellungen verwehrt, siehe Punkt 1.

1. ISP-Router mangelhaft?

Im Allgemeinen sind Router, die von Internetdienstanbietern zur Verfügung gestellt werden, weniger sicher als jene, die oft von denselben Herstellern unmittelbar an Verbraucher verkauft werden.

Hart kodierte Hintertüren sind üblich. Sicherheits-Patches und Firmware-Upgrades erscheinen oft viel später als die Korrekturen und Patches für die direkt an den Endkunden verkauften Modelle.

Das liegt daran, dass die Firmware in den von ISPs bereitgestellten Routern an den jeweiligen ISP angepasst ist und individuelle Patches benötigt.

Nichts hindert Sie daran, einen eigenen Router zu kaufen und ihn stattdessen zu verwenden. Den Router, den Sie von Ihrem Internetanbieter erhalten haben, können Sie als Ersatzgerät aufbewahren.

Wenn Sie ein Problem mit Ihrer Breitbandverbindung haben und sich fragen, ob es ein Problem mit dem Router oder mit der externen Breitbandinfrastruktur ist, können Sie den Router des Internetanbieters einstecken und testen, ob der Fehler verschwindet.

Wenn dies der Fall ist, liegt das Problem bei Ihrem Router, wenn nicht, ist die Ursache extern.

2. Standardmäßiges Admin-Passwort ändern

Da viele Router bei Auslieferung mit Standard-Administratorpasswörtern versehen sind, steht Bedrohungsakteuren Tür und Tor offen.

Ihre Scansoftware wird versuchen, die Marke und das Modell des Routers zu identifizieren indem sie die Metadaten in den Antworten des Routers auf ihre Anfragen untersucht und die voreingestellten Administrator-Zugangsdaten nachschlagen.

Wenn Sie Ihren Router zur Konfiguration zum ersten Mal anschließen, ändern Sie die Anmeldedaten in ein sicheres und zuverlässiges Passwort. Oder, noch besser, in eine Passphrase, z. B. aus drei Wörtern mit Interpunktionszeichen.

Und wenn Sie schon dabei sind, stellen Sie sicher, dass die Administrator-Weboberfläche nicht über das Internet zugänglich ist. Sie werden Ihren Router nicht aus der Ferne verwalten, also geben Sie auch niemand anderem die Möglichkeit dazu.

3. Router mit VPN-Unterstützung verwenden

Wenn Sie wirklich einen Fernzugriff auf Ihren Router benötigen, verwenden Sie einen Router, der VPN-Verbindungen (Virtual Private Network) unterstützt.

Schränken Sie VPN-Verbindungen auf eine Liste zugelassener IP-Adressen oder auf einen IP-Adressbereich ein.

Wenn Sie also wissen, dass Sie möglicherweise von Ihrem Büro aus per VPN auf Ihren Router zugreifen müssen, fügen Sie Ihr Büro der Whitelist der IP-Adressen hinzu.

4. Auch zu Hause inkognito bleiben

Auch wenn Sie von Ihrem Netzwerk aus eine Verbindung zu Ihrem Router herstellen, ist es ratsam, anonymes Surfen im Inkognito-Modus zu verwenden.

Auf diese Weise speichert Ihr Browser keine Anmeldedaten oder IP-Adressen, die andere zum Zugriff auf Ihren Router missbrauchen könnten.

Lassen Sie Ihren Browser niemals die Zugangsdaten für den Router speichern. Es liegt an Ihnen, sich diese zu merken und sie jedes Mal einzugeben.

Alternativ können Sie einen passwortgeschützten Passwort-Manager verwenden.

5. Nur Verbindungen von einer bestimmten IP-Adresse akzeptieren

Einige Router können so eingestellt werden, dass sie Administratorverbindungen von einer einzigen lokalen IP-Adresse akzeptieren und Verbindungen von anderen Orten ablehnen. 

Wenn Sie dies tun, sollten Sie eine IP-Adresse nutzen, die nicht Teil des DHCP-Pools (Dynamic Host Configuration Protocol) ist.

Wenn Ihr Computer seine IP-Adresse verliert, die er geleast hat, und ihm eine neue IP-Adresse zugewiesen wird von Ihrem Router! können Sie nicht mehr auf den Router zugreifen.

6. Sicheres Wi-Fi-Passwort verwenden

Wählen Sie ein sicheres Wi-Fi-Passwort und aktivieren Sie die stärkste Verschlüsselungseinstellung Ihres Geräts.

Die neuesten Router unterstützen möglicherweise Wi-Fi Protected Access 3 (WPA3). Die meisten sind jedoch auf Wi-Fi Protected Access 2 (WPA2) beschränkt.

7. WPS ausschalten

Deaktivieren Sie Wi-Fi Protected Setup (WPS). Die Prämisse von WPS war, die Einrichtung von Wi-Fi und die Verbindung mit Wi-Fi-Netzwerken für technisch nicht versierte Benutzer zu vereinfachen. 

Es wurde selten verwendet und enthielt eine Sicherheitslücke, die es Bedrohungsakteuren ermöglichte, Wi-Fi-Netzwerke zu kompromittieren.

Es wurden Patches und Korrekturen bereitgestellt, aber nicht alle Modelle wurden gepatcht, und nicht alle Hersteller reagierten auf das Problem.

Am sichersten ist es, die Funktion auszuschalten und eine kabelgebundene Verbindung für die Konfiguration zu nutzen.

8. Nicht benötigte Dienste deaktivieren

Router unterstützen alle Arten von Protokollen und Verbindungsarten. Sie brauchen sie höchstwahrscheinlich nicht, also schalten Sie diese ab.

Je weniger Türen und Fenster ein Gebäude hat, desto schwieriger ist es für einen Einbrecher, reinzukommen. Dasselbe gilt für Ihren Router.

Schließen Sie alle Ports und öffnen Sie nur die, die Sie tatsächlich benötigen. Je weniger Verbindungsarten er zulässt, desto sicherer sind Sie.

Sie können Dienste wie Ping, Telnet, Universal Plug and Play (UPnP), Secure Shell (SSH) und Home Network Administration Protocol (HNAP) abschalten.

9. Keine Cloud-basierte Router-Verwaltung verwenden

Falls Ihr Router diese Funktion unterstützt, schalten Sie diese aus. Sie möchten nicht, dass Ihr Router mit der Cloud des Herstellers kommuniziert.

Dadurch wird eine weitere Ebene zwischen Ihnen und dem Router aufgebaut, der Sie vertrauen müssen. Sie werden Ihren Router lokal verwalten, also deaktivieren Sie diese Einstellung.

10. Router regelmäßig patchen

Sie sind es gewohnt, Updates für Ihren Computer zu erhalten. Auch Ihr Smartphone wird mit Patches und Korrekturen versorgt, wenn Schwachstellen entdeckt und behoben werden.

Genau der gleiche Prozess läuft bei Ihrem Router ab. Bei den meisten Routern ist dies ein manueller Vorgang. Doch einige können auf regelmäßige Anrufe nach Hause eingestellt werden, um nach Updates zu suchen.

Wenn Sie manuelle Aktualisierungen vornehmen, sehen Sie auf der Support-Webseite des Herstellers Ihres Routers nach. Einmal im Monat sollte genügen.

11. Wi-Fi-Zugang kontrollieren

Bei vielen Routern können Sie eine Liste von Geräteidentitäten konfigurieren, die als MAC-Adressen (Media Access Control) bezeichnet werden.

Diese sind für jedes vernetzte Gerät eindeutig. Das bedeutet, dass nur erkannte und autorisierte Geräte eine Verbindung zu Ihrem WLAN herstellen können.

Richten Sie ein Gast-Wi-Fi für Besucher ein, wenn Ihr Router dies zulässt. Dadurch erhalten Gäste Wi-Fi-Zugang zum Internet, ohne dass andere Geräte in Ihrem Netzwerk offengelegt werden.

12. Netzwerk segmentieren

Einige Router für Endverbraucher bieten die Möglichkeit, virtuelle lokale Netzwerke (VLANs) innerhalb anderer Netzwerke zu konfigurieren.

So können Sie beispielsweise Geräte des Internets der Dinge (IoT) vom Rest Ihres Netzwerks isolieren.

IoT-Geräte sind notorisch unsicher. Viele von ihnen verletzen die grundlegendsten Sicherheitsmaßnahmen, indem sie sich mit ungeschützten Protokollen und unveränderlichen Administratorpasswörtern dem Internet aussetzen.

Sie in einem eigenen VLAN abzusondern ist eine gute Möglichkeit für ihre Kontrolle.

13. DNS-Einstellungen ändern

Ändern Sie die Einstellungen Ihres Domänennamensystems so, dass sie nicht die Standardwerte Ihres Internetanbieters verwenden.

Sie können die folgenden bewährten Dienste wählen:

  • OpenDNS: 208.67.220.220 oder 208.67.222.222
  • Google DNS: 8.8.8.8 oder 8.8.4.4
  • Cloudflare: 1.1.1.1 oder 1.0.0.1

14. Benutzerdefinierte Firmware für den Router in Betracht ziehen

Fortgeschrittene Benutzer könnten in Erwägung ziehen, die Firmware des Herstellers zu flashen und durch eine freie, quelloffene Alternative zu ersetzen.

Diese basieren in der Regel auf Linux oder Berkeley Software Distribution (BSD). Sie können sicherer, umfassender und konfigurierbarer sein als die Standard-Firmware des Herstellers und unterstützen oft nativ VPN-Protokolle.

Zwei der bekanntesten Angebote sind OpenWRT und DD-WRT, aber es gibt viele Alternativen. Diese von der Community unterstützten Projekte sind den Herstellern bei der Veröffentlichung von Patches und Fehlerbehebungen oft voraus.

Um es klar zu machen. Das richtige Flashen der Firmware erfordert technisches Fachwissen. Wenn Sie dies bei einem Router innerhalb des Support-Zyklus tun, erlischt Ihre Garantie.

Und im schlimmsten Fall können Sie Ihr Gerät beschädigen, so dass es nicht mehr funktioniert. Bevor Sie fortfahren oder technische Hilfe in Anspruch nehmen, sollten Sie sicherstellen, dass Sie wissen, was Sie tun.

Fazit

Ihr Router ist der Knotenpunkt zwischen Ihnen und der Außenwelt Aufmerksamkeit in diesem Bereich ist entscheidend für die Internetsicherheit!

Je nach Ihren Netzwerk- und Verbindungsanforderungen, der Marke des Routers, der Flexibilität der Router- und Firewall-Einstellungen und Ihren technischen Kenntnissen sollten Sie so viele dieser Schritte wie möglich durchführen, um Ihr Zuhause vor Cyber-Angriffen zu schützen.

Auch vor dem Schnüffeln durch Ihren Arbeitgeber!

Verwandte Begriffe

Marshall Gunnell

Marshall ist ein erfahrener technischer Autor und Gaming-Enthusiast mit Sitz in Tokio. Er ist ein professioneller Wortschöpfer mit Hunderten von Artikeln, die auf VGKAMI, Business Insider, How-To Geek, PCWorld, Zapier und vielen anderen veröffentlicht wurden. Seine Texte haben ein riesiges Publikum von über 70 Millionen Lesern erreicht.