Netzwerk-Sicherheit: Zahlreiche Router sind unsicher
Die Sicherheit im World Wide Web darf sich nicht nur auf Websites und Clouds erstrecken. Sie beginnt schon viel früher: Beim Router, beim Zugangspunkt der Geräte zum Internet. Wie die Netzwerk-Sicherheit unterschätzt wird, zeigt ein Sicherheitstest des Fraunhofer-Instituts für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE). Lesen Sie die erschreckenden Ergebnisse des Tests sowie Tipps, die Ihre Netzwerksicherheit erhöhen.
Netzwerk und WLAN-Router im Test
Das Fraunhofer FKIE hat seinen aktuellen „Home Router Security Report 2020“ veröffentlicht und spricht von „alarmierenden Ergebnissen“. Insgesamt wurden 127 Router für Privatnutzer getestet, die von sieben namhaften Herstellern stammen. Das FKIE stellte Sicherheitsmängel fest, „teilweise sogar ganz erhebliche. Diese reichen von fehlenden Sicherheitsupdates, über einfach zu entschlüsselnde, hartcodierte Passwörter bis hin zu bereits bekannten Schwachstellen, die eigentlich längst behoben sein müssten“, erklärt das FKIE.
Die Mängel, die die Forscher um Peter Weidenbach und Johannes vom Dorp, jeweils aus der Abteilung „Cyber Analysis & Defense“ des FKIE, feststellen mussten, sind gravierend: „Die Auswertung hat ergeben, dass kein einziger Router ohne Fehler war. Manche waren sogar von Hunderten bekannter Schwachstellen betroffen. 46 Router hatten in den letzten zwölf Monaten kein Sicherheitsupdate erhalten“, so Weidenbach. Tatsächlich gibt es sogar einen Extremfall, der 2.000 Tage – das heißt: mehr als 5 Jahre – kein Sicherheitsupdate erhalten hat!
Über 90 Prozent der getesteten Router setzten auf Linux als Betriebssystem, jedoch oftmals in veralteten Versionen. Vom Dorp sieht hier ganz klar die Router Hersteller in der Pflicht: „Linux arbeitet permanent daran, Sicherheitslücken in seinem Betriebssystem zu schließen und neue Funktionalitäten zu erarbeiten. Die Hersteller müssten eigentlich nur die aktuellste Software aufspielen, aber sie integrieren diese nicht in dem Maße, wie sie es könnten und müssten.“
Neben langjährig bekannten Sicherheitslücken, die die Hersteller längst hätten beseitigen können und müssen, erstaunte die FKIE-Wissenschaftler auch der laxe Umgang mit Passwörtern: „Etliche Router haben einfach zu knackende oder bekannte Passwörter bzw. hartcodierte Anmeldedaten, die vom Benutzer auch nicht geändert werden können.“
Zum Zeitpunkt der Testungen des FKIE wurden sämtliche Geräte aktiv von den Herstellern beworben. Daraus schlossen die Forscher, dass alle Router neu genug sind, um aktiv Updates zu erhalten. Insgesamt konnten die Forscher feststellen, dass der Hersteller AVM „mehr Wert auf die Sicherheitsaspekte als die anderen Anbieter“ legte, „auch wenn AVM Router ebenfalls nicht ohne Sicherheitsmängel“ seien. ASUS und Netgear zeigten sich in den Tests in diversen Punkten „zuverlässiger als D-Link, Linksys, TP-Link und Zyxel“.
Netzwerk-Sicherheit: Schwachstellen im Visier
Es war zum Auffinden der Schwachstellen nicht notwendig, dass die FKIE-Mitarbeiter die Router mühsam manuell untersuchten. Es genügte, das eigens vom FKIE entwickelte Open Source-Tool „Firmware Analysis and Comparison Tool“ (FACT) zu nutzen und die Router-Software so auf fünf Sicherheitsaspekte hin zu untersuchen:
- Wie viel Zeit verging seit dem letzten Firmware-Release für dieses Gerät?
- In welcher Version liegt das unterliegende Betriebssystem-Kernel vor?
- Existieren Exploitschutz-Maßnahmen?
- Existieren private Kryptoschlüssel im System?
- Existieren vor eingestellte Passwörter?
Konkret untersuchte man mithilfe des Tools automatisiert 127 Firmware-Images der sieben Router-Hersteller Asus, AVM, D-Link, Linksys, Netgear, TP-Link sowie Zyxel.
Sicherheitsrisiken häufen sich
Die Forscher luden mittels FACT die Firmware-Images herunter. Das Router-Betriebssystem wurde extrahiert; wie bereits erwähnt, setzen die meisten auf Linux. Anschließend stand das Prüfen der Software auf die oben genannten Sicherheitsaspekte an. Die Ergebnisse, die die Tests zeigten, können in der Tat nur als alarmierend bezeichnet werden:
22 der Router wurden in den letzten zwei Jahren überhaupt nicht mit Firmware-Updates versorgt. Über ein Drittel der getesteten Router basieren auf deutlich veralteten Linux-Kernelversionen (mind. 9 Jahre kein Sicherheitsupdate). Den traurigen Rekord diesbezüglich hält ein Linksys-Gerät, welches auf einem fast 18 Jahre alten Linux-Kernel basiert. AVM ist laut der Studie der einzige Hersteller, der durchgängig neuere Kernelversionen einsetzt.
Weiter sind den Forschern im Schnitt rund fünf private Krypto Schlüssel je untersuchtem Firmware-Image aufgefallen. Auch hier bildet AVM die rühmliche Ausnahme: Nicht ein einziger Schlüssel fand sich in der Firmware.
In sagenhaften 50 der 127 getesteten Images fand das FKIE vor eingestellte Passwörter, die in 16 Routern extrem einfach zu knacken waren. Hier hat Asus die Nase vorn: Dies ist tatsächlich der einzige Hersteller, der auf vor eingestellte Passwörter verzichtet.
Die Fraunhofer-Forscher haben mit ihrem Tool nicht in der Tiefe, sondern eher oberflächlich analysiert – und schon dabei fielen derartig viele Sicherheitslücken auf. Zwar könnten sich einige dieser Sicherheitslücken nicht zwangsläufig als angreifbar herausstellen. Dennoch: Die Analyse zeigt, dass in Routern für Heimanwender handfeste Sicherheitsmängel fester Bestandteil sind.
Tatsächlich ist es noch immer ein Ding der Unmöglichkeit, Sicherheitslücken an die Router-Hersteller zu melden. Updates kommen entweder verspätet oder gar nicht. Details darüber in Erfahrung zu bringen, wann welche Schwachstelle geschlossen werden könnte, braucht man gar nicht erst versuchen. Selbst wenn die entdeckten Mängel nicht aktiv ausgenutzt werden, sollte doch klar sein, dass das Implementieren zeitgemäßer Technologien Angriffe verhindern könnte. Derzeit sind zum Teil Daten aus lesbar, die auch dafür sorgen können, dass die Verschlüsselung von Kommunikationen im betroffenen Netzwerk angreifbar ist.
Dringender Handlungsbedarf für Netzwerk-Sicherheit
Eines wird deutlich durch den Test der Forscher des FKIE: es besteht dringender Handlungsbedarf! Erst wenn die Hersteller bei ihren Geräten grundsätzlich auf effiziente Sicherheitsmaßnahmen setzen, werden auch Anwenderinnen und Anwender in die Lage versetzt, auf mehr Netzwerk-Sicherheit hinzuarbeiten.
Hersteller sind in der Pflicht
Wie die Forscher rund um Weidenbach festgestellt haben, ist Linux selbst immer auf dem neusten Stand – nur nutzen die Router-Hersteller das eben nicht. Gegenüber dem MDR erklärt Weidenbach, warum das so sein könnte: „Irgendjemand muss quasi die Sicherheitsupdates zusammenstellen. Die müssen getestet werden, damit nicht eine andere Funktion des Routers nicht mehr läuft. Das kostet Geld.“
Ein weiteres Problem sei das der nicht vorhandenen Haftung: Werden Router und damit Netzwerk von Dritten gekapert, haften die Router-Hersteller nicht. Deshalb fordern Forscher wie Weidenbach verbindliche Sicherheitsrichtlinien, die Hersteller zu Updates und weiteren Sicherheitsmaßnahmen verpflichten.
Natürlich können auch Verbraucherinnen und Verbraucher aktiv werden: Lassen Sie sich nicht einfach irgendeinen Router zusenden. Entscheiden Sie selbst, welchen Sie nutzen möchten. Weidenbach rät nach der aktuellen Studie zu AVM, denn hier erfolgen Updates immerhin einmal jährlich. Wenngleich auch dies völlig unzureichend wäre, sei das immer noch besser als neun Jahre alte Systeme, erklärt er. Seine Idealvorstellung wären wöchentliche Updates, die ohne Zutun des Anwenders automatisch ausgeführt werden.
So erhöhen Sie Ihre Netzwerk-Sicherheit
Auf die Hersteller können Sie derzeit leider nicht setzen – solange es keine verbindlichen Richtlinien gibt, gibt es für die Hersteller keinen Grund, etwas zu ändern. Sie jedoch können Ihre Netzwerk-Sicherheit immer optimieren, beispielsweise mit den folgenden Tipps:
- Updates: Seien Sie schlauer als der Hersteller Ihres Routers. Wann immer ein Update herausgegeben wird, spielen Sie es zügig ein. Halten Sie die Firmware stets so aktuell wie möglich, vermeiden Sie es, dass Sicherheitslücken ausgenutzt werden können.
- Router-Passwort: Vermeiden Sie es, einen Router zu erwerben, bei dem das Ändern des Passworts nicht möglich ist. Existiert ein vor eingestelltes Passwort, ändern Sie dies bitte. Kombinieren Sie dafür mindestens acht Stellen aus Klein-, Großbuchstaben, Ziffern und – wenn möglich – Sonderzeichen.
- WLAN-Passwort: Nicht nur Ihr Router, sondern auch Ihr WLAN ist normalerweise passwortgeschützt. Ändern Sie auch hier das vor eingestellte Passwort. Idealerweise besteht dieses Passwort aus deutlich mehr als nur acht Zeichen, 20 sind empfehlenswert.
- Netzwerkname: Wenn Ihr Router dies erlaubt, ändern Sie auch den Netzwerknamen. Verzichten Sie dabei darauf, Bezüge zu Ihrem Leben herzustellen, indem Sie Ihren Namen, Ihre Straße oder Ihren Wohnort, Herstellernamen oder gar Gerätetypen angeben.
- WPS-Button: Es ist schon praktisch: Neue Netzwerkgeräte lassen sich per Knopfdruck (WiFi Protected Setup, WPS) drahtlos ins Netzwerk einbinden. Aber ist das auch sicher? Es empfiehlt sich, nach Einbinden aller Clients, den WPS-Button zu deaktivieren. So haben Sie die Kontrolle darüber, wenn sich neue Geräte im Netzwerk anmelden möchten.
- Fernzugriff: Nahezu jeder moderne Router bietet die Möglichkeit, über einen beliebigen Browser aufs Web-Menü des Routers zuzugreifen. Tatsächlich kann dieser Fernzugriff Einfallstor für Cyberkriminelle werden. Wenn es um den Home-Router geht, auf den man ohnehin nur aus den heimischen vier Wänden zugreift, kann man diesen Fernzugriff deaktivieren. Möchten Sie auf den Fernzugriff nicht verzichten oder können Sie dies nicht, verbinden Sie sich unbedingt via HTTPS und/ oder VPN.
- Gastzugänge: Die meisten Router verfügen über Gastzugänge: Kommen Gäste, können diese ihr Smartphone beispielsweise über diesen Gastzugang ins Heimnetzwerk einbinden. Nutzen Sie diese Möglichkeit! Denn: In aller Regel ist ein solcher Gastzugang vom Heimnetz getrennt. Gäste können also kostenfrei surfen, haben jedoch keinerlei Zugriffe auf die Geräte im Heimnetzwerk. Dass Sie für den Gästezugang eine von Ihrem Passwort abweichende Kennung einrichten, versteht sich von selbst. Einige Router erlauben es, den Gästezugang nach eingestellten Intervallen automatisch wieder zu deaktivieren.
- WLAN in Abwesenheit: Sind Sie aufgrund eines Urlaubs oder einer Dienstreise eine Zeitlang nicht Zuhause, können Sie das WLAN am Router zwischenzeitlich deaktivieren. So verringern Sie in Abwesenheitszeiten die Angriffsfläche. Haben Sie jedoch Überwachungs- oder Smart Home-Geräte ins Netzwerk eingebunden, kann dieser Tipp zuweilen hinfällig sein.
- WLAN bei Bedarf: Wer vorrangig kabelgebunden surft und beispielsweise nur abends drahtlos am TV beschäftigt ist, kann das WLAN auch entsprechend bedarfsweise nutzen. Die meisten Router erlauben Zeitschalt-Optionen: Sie könnten zwischen 24 und 18 Uhr Ihr WLAN deaktivieren und abends zum Fernsehen aktivieren.
- MAC Filter: Richten Sie einen MAC Filter ein, um damit die Zugangsrechte zu Ihrem Netzwerk zu beschränken. Viele Hersteller bieten Anleitungen zum Festlegen der sogenannten Media-Access-Control-Adresse auf ihren Websites.
- Funktionalitäten: Viele Router bringen etliche Funktionalitäten mit – Tools und Werkzeuge, die Sie nicht zwangsläufig alle benötigen. Deaktivieren Sie sämtliche Funktionen Ihres Routers, die Sie nicht benötigen. So verringern Sie die Angriffsfläche.
Wie ist das bei Ihnen: Für welchen Router haben Sie sich entschieden und warum? Tun Sie aktiv etwas für Ihre Netzwerksicherheit oder verlassen Sie sich auf die Hersteller? Haben Sie ergänzende Sicherheitstipps für unsere Leserinnen und Leser? – Kommen Sie mit uns ins Gespräch, wir freuen uns auf Ihre Kommentare!
Schreibe einen Kommentar