Blackbox Router - So unsicher kann das Heimnetzwerk sein

Frankfurt/Main (dpa/tmn) - Netzwerkfähige Geräte online bringen oder miteinander verbinden: Das geht oft wie von Geisterhand. Ob es im Heimnetzwerk aber auch sicher ist, steht auf einem anderen Blatt.

Denn Nutzer erkennen den Router meist nicht als Einfallstor für Bedrohungen - ein Fehler.

Die heimischen Gerätschaften vom Rechner über den Router bis hin zu Konsole, Smartphone oder Tablet kommunizieren oft freimütig per LAN oder WLAN miteinander. Das Ziel der automatischen „Hintergrundgespräche“: Der Nutzer soll etwa Musik oder Videos bequem abspielen oder Internetdienste sofort nutzen können - ohne groß Einstellungen vornehmen zu müssen. Der Standard dahinter nennt sich Universal Plug and Play (UPnP). Er ist nützlich, kann aber ein Sicherheitsrisiko darstellen.

Dass etwa Hersteller UPnP-Spezifikationen fehlerhaft umgesetzt und damit Sicherheitslücken aufgerissen haben, war schon länger bekannt. Das mögliche Ausmaß überraschte dann aber doch, als US-CERT, die Computer-Task-Force der US-Regierung, im Januar eindringlich vor UPnP warnte. Grund war eine Studie, nach der weltweit bis zu 50 Millionen netzwerkfähige Geräte anfällig für Angriffe von außen sein könnten - Drucker, IP-Kameras, Medienserver, Smart-TV-Geräte oder Router, die als Tor zum Internet in fast jedem Haushalt stehen.

Entsprechend groß ist die Verunsicherung. Wer wissen möchte, ob eigene Geräte betroffen sind, kann online einen Netzwerk-Check machen, den der Fachdienst „Heise Security“ gemeinsam mit dem niedersächsischen Landesdatenschutzbeauftragten (LfD) anbietet. Als die UPnP-Problematik im Januar publik wurde, seien die Server unter den vielen Anfragen fast in die Knie gegangen, sagt Jürgen Schmidt, Chefredakteur von „Heise Security“.

In betroffenen Geräten sollte UPnP ausgeschaltet werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt ohnehin den meisten Internetnutzern die Deaktivierung der UPnP-Funktion im Router. Sie dient ja nur der direkten automatischen Kommunikation zwischen Geräten, egal ob über ein Netzwerkkabel, WLAN oder Bluetooth, und wird in vielen Fällen gar nicht gebraucht.

UPnP sei für lokale Netzwerke entwickelt worden, erklärt Manfred Grabow vom LfD. Wenn ein UPnP-fähiges Gerät nun aber von außen erreichbar sei, dann „hat es der Nutzer nicht mehr in der Hand, was geschieht“. Zugriffe auf Daten oder Einstellungen werden vielleicht nicht bemerkt. „Der Nutzer erkennt gar nicht, dass da etwas verändert wurde“, erklärt Grabow. „Das Gerät läuft ja.“ Denn das ist ja auch der Sinn von UPnP. Die Technologie soll es dem Nutzer bequem machen, ihm Arbeit abnehmen, unbemerkt im Hintergrund bleiben.

Eine gute Nachricht: 80 bis 90 Prozent der Router in Deutschland sind nicht von den aktuellen UPnP-Verwundbarkeiten betroffen, sagt Thorsten Dietrich vom BSI. Trotzdem sollten Nutzer ihrem Router mehr Beachtung schenken, rät der Experte. Denn das Gerät stelle die Absicherung des Heimnetzwerks nach außen dar.

Falls vorhanden, sollte man die automatische Update-Funktion des Browsers aktivieren. Grundsätzlich müssten Warnungen der Provider vor Sicherheitslücken ernst genommen werden, schließlich gibt es noch andere und auch immer wieder neue Schwachstellen. Ohne Auto-Update-Funktion gilt es deshalb, regelmäßig auf der Seite des Herstellers zu kontrollieren, ob neue Firmware verfügbar ist.

In der Standardkonfiguration eines Routers seien oft viele Dinge nicht so sicher, wie sie sein sollten, kritisiert auch Manfred Grabow. Bei einem neuen Gerät gilt es deshalb, das Passwort für das Einstellungsmenü des Routers zu ändern. Denn sowohl die IP-Adresse, die zum Menü führt, als auch das voreingestellte Menü-Passwort steht für jedermann recherchierbar im Handbuch. Ebenso sollte man prüfen, ob die Firewall, die grundlegenden Schutz vor Angriffen von außen bietet, wirklich aktiviert ist.

Das BSI rät auch, den voreingestellten Namen des WLAN-Hotspots (SSID) zu ändern - in eine beliebige Bezeichnung, die keine Rückschlüsse auf Betreiber oder Router zulässt. Der WLAN-Schlüssel, mit dem der Zugang zum Hotspot kontrolliert wird, sollte ebenfalls geändert werden. Empfehlenswert ist nur die Verschlüsselungsmethode WPA2 und eine Schlüssellänge von mindestens 20 Zeichen.

Wie wichtig zuverlässige Hersteller-Updates sind, beschreibt Sicherheitsexperte Chester Wisniewski im Blog Naked Security. Da einige Firmen Updates zu bekanntgewordenen Sicherheitslücken nur sehr langsam oder gar nicht liefern, bleibt vielen Nutzern angesichts der UPnP-Problematik nur ein Abschalten des Dienstes - und noch nicht einmal das funktioniert bei manchen Geräten. Bei anderen gebe es wiederum eine Option für die Deaktivierung, nur zeige die Einstellung keinerlei Wirkung.

Wisniewskis Kritik ist aber noch viel grundsätzlicher. UPnP sei darauf ausgelegt, bestehende Sicherheitsvorkehrungen ohne Zustimmung oder Wissen der Person, die das Gerät kontrolliert, zu umgehen. Das öffne Kriminellen Tür und Tor. Sein Fazit: „Meiner Meinung nach ist UPnP eine der schlechtesten Ideen, die es je gab.“