Router absichern: 14 Tipps und Tricks für mehr Sicherheit
Datensicherheit und Cyberangriffe spielen auch im privaten Raum eine große Rolle. Daher sollte jeder private Haushalt seinen Router so gut wie nur möglich absichern, um die Geräte im Heimnetzwerk zu schützen und Risiken zu minimieren. Schließlich dient der Router als Tor zum Internet und Verbindung der Geräte untereinander.
1. Firmware aktuell halten
Die Firmware ist das Betriebssystem des Routers. Die Hersteller aktualisieren regelmäßig die Firmware, um Sicherheitslücken zu schließen und die Performance zu verbessern. Die Firmware des Routers aktuell zu halten, ist in Sachen Sicherheit wichtiger als die Sicherheits-Updates von Windows.
Die meisten Router sind bereits so voreingestellt, dass die Firmware automatisch aktualisiert wird, sobald Updates zur Verfügung stehen. Sollte diese Einstellung nicht vorgenommen sein, schalten Sie die automatischen Updates an. Der Nutzer kann im Webmenü in vielen Fällen auch den Zeitpunkt der Updatesuche und -installation bestimmen, beispielsweise in der Nacht. Alternativ kann man über das Webmenü des Routers einen Update-Check der Firmware durchführen.
2. Router-Passwort setzen
Der Zugriff auf die Einstellungen des Routers erfolgt über einen Browser. Im Webmenü können dann Einstellungen am Router vorgenommen werden. Für gewöhnlich ist als Sicherheitsschranke ein Passwort notwendig, um auf die Routereinstellungen im Webmenü zugreifen zu können. Meist ist bereits ab Werk ein Router-Passwort (Administrator-Passwort) vergeben, dass nicht selten sogar auf den Router selbst abgedruckt wird.
Sollte kein Router-Passwort vergeben sein, dann setzen Sie das Passwort in den Einstellungen. Gibt es ein voreingestelltes Router-Passwort, sollte dieses Passwort geändert werden. Solch ein Passwort besteht am besten aus einer mindestens achtstelligen zufälligen Kombination aus kleinen und großen Buchstaben sowie Ziffern. Das neue Passwort sollte natürlich nicht irgendwo offen notiert liegen.
3. WLAN-Passwort setzen
Beim Thema Passwort ist natürlich ein weiteres Passwort für das Heimnetzwerk entscheidend: das WLAN-Passwort. Die meisten Router-Hersteller vergeben nicht nur werksseitig ein Router-Passwort, sondern auch ein voreingestelltes WLAN-Passwort. Dieses ist nicht selten ebenfalls auf dem Router selbst zu finden oder auf einer beigelegten Karte.
Das WLAN-Passwort sollte gesetzt oder geändert werden. Das ist über das Webmenü des Routers möglich. Hier sollte man ebenfalls eine zufällige Kombination aus kleinen und großen Buchstaben sowie Ziffern (und ggf. auch Sonderzeichen) wählen. Die Empfehlung ist ein Passwort aus mindestens 20 Zeichen. Natürlich sollte auch dieses Kennwort nicht notiert herumliegen.
4. WPA2- bzw. WPA3-Verschlüsselung
Bei den WLAN-Einstellungen ist auch die Verschlüsselungsart zu finden. Die aktuellen Verschlüsselungsstandards heißen WPA2 bzw. WPA3. Das WLAN-Passwort ist daher auch manchmal als WPA2-Kennung bezeichnet. In den allermeisten Haushalten dürfte es keine WLAN-fähigen Geräte mehr geben, die nicht mit der WPA2-Verschlüsselung arbeiten können. Daher ist in manchen Routern die kombinierte WPA/WPA2-Verschlüsselung voreingestellt. Die Verschlüsselung sollte immer auf den aktuellen Standard WPA2 bzw. WPA3 eingestellt werden.
FRITZ!Box von AVM
5. WLAN-Name ändern
Bei Geräten, die sich in ein WLAN einloggen wollen, wird der Name des Netzwerks angezeigt. Die Router haben in der Regel einen voreingestellten Netzwerknamen für das WLAN. Den Netzwerknamen sollte man über die Routereinstellungen ebenfalls ändern. Diese Änderung ist zwar nicht so entscheidend wie die Passwortänderung, aber bestimmte Hersteller vergeben die Netzwerknamen auf bestimmte Weise, sodass der Router-Hersteller leicht erkannt wird. Ein unverfänglicher Netzwerkname erschwert eventuelle Attacken auf das WLAN, da die Identifikation des Routertyps nicht sofort erkennbar ist.
6. WPS nicht aktiv lassen
Bestimmte Geräte wie beispielsweise WLAN-Repeater lassen sich über den WPS-Knopf sehr einfach ins Heimnetzwerk einbinden. WPS steht für Wifi Protected Setup und soll eine schnelle und sichere Methode sein, neue Geräte ins WLAN einzupflegen. Ein aktives WPS stellt dennoch eine Einfallsmöglichkeit ins Heimnetzwerk da. Sobald alle entsprechenden Geräte im Heimnetzwerk sind, sollte im Webmenü des Routers die Funktion WPS ausgeschaltet werden. Neue Geräte lassen sich auch ohne die WPS-Funktion ins Heimnetz einbinden.
7. Reichweite des WLAN
Das WLAN strahlt in alle Richtungen ab und bei der Nutzung von Repeatern wird das Signal entsprechend weiterverteilt. Oft entsteht so ein breites Funknetz, das weit über die eigenen vier Wände abstrahlt. In Bezug zur Sicherheit sollte man sich allerdings genau überlegen, wie am effektivsten die WLAN-Signale in den Räumen verteilt werden. Es kann durchaus sinnvoll sein, die Reichweite des WLAN sogar zu reduzieren. Ist mit weniger Reichweite der WLAN-Empfang trotzdem möglich? Dann stellen Sie das im Router entsprechend ein. Weniger Reichweite macht es Angreifer von außen schwerer, einen Zugriff zu erhalten.
8. Fernzugriff deaktivieren
Der Zugriff auf die Einstellungen des Routers sind – wie bereits oben genannt – über ein Webmenü möglich. Bei einigen Routern ist dafür keine direkte Verbindung notwendig. Statt dessen können sie von einem beliebigen Ort aus über das Internet angesteuert werden. Zumindest gilt das dann, wenn der Fernzugriff aktiviert ist. Für die meisten Nutzer ist der Fernzugriff nicht relevant. Deshalb sollte er aus Sicherheitsgründen stets deaktiviert bleiben. Nur wenn es wirklich die Situation erfordert, sollte der Fernzugriff im Vorfeld eingerichtet werden.
9. Fernzugriff nur mit zusätzlichen Sicherheitsmaßnahmen
Sollte doch der Fernzugriff auf den Router notwendig sein, sollten hierfür zusätzliche Sicherheitsmaßnahmen ergriffen werden. Idealerweise besitzt der Router einen integrierten VPN-Server, sodass über eine VPN-Verbindung der Fernzugriff erfolgen kann. Ansonsten sollte der Zugriff zumindest über eine HTTPS-Adresse erfolgen. Manche Hersteller bieten einen speziellen Dienst für den Fernzugriff an. Hierfür verwendet man ein separates, vom Router-Passwort verschiedenes und ausreichend komplexes Passwort.
10. Gast-WLAN verwenden
Die meisten modernen Router bieten die Möglichkeit, ein Gast-WLAN einzurichten. Das Gast-WLAN ist für gewöhnlich vom eigentlichen Heimnetzwerk getrennt und erlaubt nur den Internetzugang. Standardmäßig sollte das Gast-WLAN inaktiv bleiben. Bei Besuch aktiviert man es dann im Webmenü des Routers. So kann sich eventuelle Malware auf den Geräten der Gäste nicht im heimischen Netzwerk ausbreiten. Für das Gast-WLAN sollte demzufolge natürlich auch ein ausreichend komplexes Passwort vergeben werden, das nicht mit anderen Passwörtern identisch ist.
Tipp: Um es Gästen leichter zu machen, sich zum WLAN zu verbinden, erzeugen Sie einfach einen QR Code über unseren QR Code Generator.
11. WLAN ausschalten bei Abwesenheit
Bei längerer Abwesenheit oder über Nacht empfiehlt es sich, das WLAN auszuschalten. Das WLAN lässt sich bei den meisten Routern per Knopfdruck am Gerät ausschalten. Manche Router lassen sich auch per Zeitplan steuern. Das ist natürlich nur dann sinnvoll, wenn keine Geräte im Heimnetzwerk sind, die eine dauerhafte Netzwerkverbindung benötigen, wie beispielsweise Überwachungssysteme.
Den kompletten Router vom Strom zu trennen, ist meist nicht zu empfehlen. Viele Geräte sind auf den Dauerbetrieb ausgelegt und reagieren auf mehrmaliges Trennen vom Strom empfindlich.
12. Webfilter im Router
Einige Router besitzen einen integrierten Webfilter. Der ist eigentlich als Kindersicherung gedacht, um bestimmte Internetinhalte zu sperren. Ein guter Webfilter lässt sich aber auch nutzen, um potenziell gefährliche Webseiten zu blockieren. Sind diese im Router gesperrt, kann kein Gerät im Netzwerk auf sie zugreifen. Allerdings sind gute Webfilter aktuell meist nur in Premium-Modellen zu finden.
13. DHCP-Server ausschalten
Der DHCP-Server im Router dient dazu, den Geräten im Netzwerk die notwendigen Informationen zum Kommunizieren zu schicken. Das passiert automatisch. Um das Netzwerk sicherer zu machen, kann man diese Dienst ausschalten. Dann muss allerdings jedes Gerät manuell konfiguriert werden, um sich mit dem Router verbinden zu können. Das passiert beispielsweise über den Bereich Netzwerkverbindungen der Systemsteuerung.
Weiterhin ist es dann notwendig und sinnvoll, jedem Gerät eine feste IP-Adresse zuzuweisen. Die IP-Adresse besteht aus vier Ziffernfolgen, jeweils durch einen Punkt getrennt. Die ersten beiden Ziffernfolgen sind meist 192.168. Danach wählt man zwei Ziffern zwischen 2 und 254 (1 und 255 sind manchmal reserviert). Keine IP-Adresse darf doppelt im Netzwerk vergeben werden.
14. MAC-Filter nutzen
Netzwerkfähige Geräte besitzen eine MAC-Adresse. Das ist eine individuelle Kennung für jedes Gerät.
Bei vielen Routern besteht die Möglichkeit, einen MAC-Filter über die Einstellungen zu aktivieren. Ist dieser aktiv, können die MAC-Adressen der eigenen Heimnetzgeräte eingetragen werden. Nur diese Geräte sind dann berechtigt, auf das Heimnetzwerk zuzugreifen. Fremde Geräte sind so grundsätzlich ausgeschlossen. Allerdings sollte bedacht werden, neue Geräte dann ebenfalls mit einzutragen, da sie sonst nicht auf das Netzwerk zugreifen können.
