Solider Schutz für den Router – Das Fundament für die IT-Sicherheit zu Hause

Im ungesicherten Zustand sind Router ein Einfallstor für Cyber-Angriffe. Wenn es Angreifern gelingt, von außen in den Router einzudringen, können sie das Gerät selbst, aber auch alle angeschlossenen Geräte kompromittieren und den Nutzerinnen und Nutzern persönlichen oder finanziellen Schaden zufügen.

Das BSI empfiehlt daher folgende Sicherheitsmaßnahmen:

Basisempfehlungen

• Ändern Sie die Standardpasswörter.
  Die Anwendung zur Verwaltung des Routers ist durch ein Passwort geschützt. Inzwischen ist bei bestimmten Routermodellen werksseitig ein individuelles Passwort voreingestellt. Sie erkennen das daran, dass dieses Passwort im Benutzerhandbuch als "individuell" gekennzeichnet ist oder überhaupt nicht mehr aufgeführt ist. Allerdings gibt es immer noch Router, die mit Standardpasswörtern wie "admin" oder "1234" ausgeliefert werden. Solche Zugangscodes sollten Sie sofort ändern, denn auch Angreifer kennen (und nutzen!) diese Standardpasswörter. Das BSI empfiehlt Passwörter mit mindestens acht Zeichen und aus verschiedenen Zeichenarten wie Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen. Tipps, wie Sie ein sicheres Passwort erstellen, finden Sie hier.
• Halten Sie die Firmware aktuell.
  Überprüfen Sie regelmäßig, ob die sogenannte Router-Firmware noch aktuell ist. Als Firmware bezeichnet man die Betriebssoftware eines Geräts. Eine Aktualisierung (also ein "Update") dient dem Nachrüsten mit neuen Funktionen oder der Korrektur von Fehlern, einschließlich dem Stopfen von Sicherheitslöchern. Haben Sie Ihr Gerät von Ihrem Internetzugangsprovider erhalten, fragen Sie diesen, ob er die Aktualisierung der Firmware regelmäßig über eine Fernwartung vornimmt. Auch im Konfigurationsmenü des Routers findet sich zumeist die Option, Aktualisierungen ("Updates") automatisch zu installieren. Machen Sie von dieser Option Gebrauch.

• Langes und komplexes WLAN-Passwort

  Das WLAN-Passwort ist nicht identisch mit dem Router-Passwort. Es dient speziell dem drahtlosen Zugang in das lokale Funknetz. In der Regel haben die Router werksseitig bereits ein sicheres WLAN-Passwort eingestellt, das aus 20 Zeichen besteht. Sollte dies bei Ihrem Router nicht der Fall sein, vergeben Sie ein Passwort, das aus mindestens 20 zusammenhanglosen Zeichen besteht.

• Ersetzen Sie den voreingestellten Standard-Netzwerknamen.
  Manche Router tragen im Namen des WLAN ausführliche Informationen zu etwa Hersteller oder Modell des Geräts. Diese Angaben können einem potentiellen Angreifer von Nutzen sein. Ändern Sie daher den Namen des Netzwerks in eine Bezeichnung, die nichts über Ihren Router verrät.
• Deaktivieren Sie nicht benötigte Funktionen Ihres Routers.
  Moderne Router ermöglichen neben dem Zugang zum Internet eine Vielzahl zusätzlicher Funktionen. So können Router zum Beispiel als Medienplayer eingesetzt werden. Diese Funktionen können allerdings auch ein Einfallstor für Angreifer darstellen. Deaktivieren Sie auf Ihrem Router daher alle Dienste, die Sie nicht benötigten. Informationen zu den Diensten Ihres Routers und deren Konfiguration finden Sie im Handbuch oder auf der Homepage Ihres Routerherstellers.
• Deaktivieren Sie den Fernzugang Ihres Routers.
  Viele Router ermöglichen es, sie auch von außerhalb des Heimnetzwerks zu konfigurieren. Prüfen Sie, ob bei Ihrem Router diese Funktion vorhanden und gegebenenfalls aktiviert ist und deaktivieren Sie diese, falls Sie sie nicht benötigen.

• Richten Sie ein Gast-Netzwerk ein.

  Für unsichere Geräte oder für die Geräte Ihrer Gäste sollten Sie, wenn möglich, ein Gast-Netzwerk einrichten. Damit trennen Sie diese Zugänge von sensiblen Diensten wie Onlinebanking oder Homeoffice-Anwendungen. In unserer Schritt-für-Schritt-Anleitung erklären wir, wie Sie ein Gäste-WLAN einrichten.

• Beachten Sie die IT-Sicherheitskennzeichen.

  Router-Anbieter können für ihre Produkte das IT-Sicherheitskennzeichen des BSI erhalten. Voraussetzung dafür: Sie sichern zu, dass ihre Produkte bestimmte Sicherheitseigenschaften besitzen. Falls Sie die Anschaffung eines neuen Routers planen, nutzen Sie dieses Kennzeichen als Kaufkriterium.

Die Broschüre "Wegweiser kompakt - 8 Tipps für ein sicheres Heimnetzwerk" fasst nochmal die wichtigsten Tipps zusammen - zum Herunterladen und/oder Bestellen.

Erweiterte Einstellungen

• Nutzen Sie https.
  Bei der Konfiguration des Routers sollte außerdem darauf geachtet werden, dass die Routerkonfiguration über https aufgerufen wird. Erkennbar ist das in der Adresszeile Ihres Browsers.
• Ändern Sie Einstellungen an der Firewall.
  Viele Router haben eine eingebaute Firewall. Ändern Sie Einstellungen an ihr nur, wenn Sie entsprechende Kenntnisse über die einzelnen Ports besitzen.
• Richten Sie den MAC-Filter ein.
  Die MAC-Adresse (Media-Access-Control-Adresse) ist die Hardware-Adresse jedes einzelnen Netzwerkadapters. Sie dient als eindeutiger Identifikator des Geräts in einem Rechnernetz. Bei Apple wird sie auch Ethernet-ID, Airport-ID oder Wi-Fi-Adresse genannt, bei Microsoft Physikalische Adresse. Wenn Ihr Router die Möglichkeit bietet, einen MAC-Filter einzurichten, dann nutzen Sie diese Möglichkeit. Nur den von Ihnen freigegebenen Netzwerkkarten wird nach Überprüfung ihrer MAC-Adressen der Zugang gestattet.

Verhalten im öffentlichen WLAN

Die meisten mobilen, internetfähigen Geräte können Sie in WLAN-Netzwerke einbinden. Diese Möglichkeit wird von Anwenderinnen und Anwendern oft und gerne genutzt, da die Datenmengen, die über das Mobilfunknetz versendet werden können, häufig vertraglich begrenzt werden. Außerdem sind die Übertragungsgeschwindigkeiten über WLAN derzeit meist noch höher als über ein Mobilfunknetz.

Doch die Nutzung eines WLAN-Netzes birgt auch Risiken, vor allem dann, wenn es sich um ein fremdes WLAN-Netz handelt, dessen Betreiber und Hintergründe Sie nicht kennen. Daten können abgegriffen oder Schadsoftware auf Ihr Gerät eingeschleust werden.

Sicherheitstipps

• Schalten Sie die WLAN-Funktion nur ein, wenn Sie diese benötigen.
  Auch beim Gebrauch im öffentlichen Raum gilt: Ein abgeschaltetes WLAN bietet keine Angriffsfläche.
• Rufen Sie vertrauliche Daten über ein fremdes WLAN-Netz am besten nicht ab.
  Falls das unvermeidbar ist, tun Sie dies möglichst nur über ein VPN (Virtual Private Network). Viele Arbeitgeber bieten ein VPN für die sichere Anbindung externer Mitarbeiterinnen und Mitarbeiter an. Für eine private Nutzung gibt es verschiedene Angebote von Internet-Providern sowie spezialisierte VPN-Dienstleister.