Zahlreiche Login-Versuche auf Internet-Router
Verunsicherte Leser melden sich bei uns mit Hinweisen, dass auf ihren Internetroutern zahlreiche Login-Versuche stattfinden. Die Spur führt in die Niederlande.
(Bild: asharkyu/Shutterstock.com)
Unbekannte versuchen derzeit offenbar, Zugriff auf leichte Ziele im Internet zu erlangen und nehmen dabei auch Heimrouter ins Visier. Wir haben in kurzer Zeit mehrere Zuschriften von Lesern erhalten, die von zahlreichen Login-Versuchen auf ihren Fritzboxen berichten. Sie fragen, ob eine Bedrohung vorliegt oder ob es wirksame Gegenmaßnahmen gibt.
Die gute Antwort zuerst: Wenn man die üblichen Sicherheitshinweise (siehe hierzu auch die c't Security-Checklisten) berücksichtigt hat, besteht nur eine geringe Gefahr. Fritzbox-Hersteller AVM liefert die Router mit einer vernünftigen Sicherheitskonfiguration und individuellen Passwörtern aus; zudem ist die Benutzeroberfläche für Zugriffe aus dem Netz standardmäßig gesperrt. Auf unsere Anfrage erklärte AVM, dass derzeit nichts über eine speziell auf Fritzboxen zielende Angriffswelle bekannt sei.
Listen abklappern
Heutzutage ist es schon normal, dass das gesamte Internet ständig auf verwundbare Dienste gescannt wird. Dies machen zum einen Sicherheitsforscher, zum anderen aber auch Cyberkriminelle. Google etwa beobachtet solche Scans permanent, wie das Unternehmen jüngst in einer Analyse von erfolgreichen Angriffen auf Cloud-Systemen schrieb.
Dabei wird auch versucht, verwundbare Dienste zu kompromittieren – etwa in mit schwachen Zugangsdaten abgesicherte Systeme einzubrechen. Wichtig zu wissen: Wer ein Login für den Router einrichtet und dabei Passwörter von anderen Diensten wiederverwendet oder ein schwaches verwendet, gefährdet sein Netzwerk.
Die Angreifer testen in den vorliegenden Fällen in langsamer Folge offenbar Listen mit E-Mail-Adressen und zugehörigen Passwörtern. Durch die langen zeitlichen Abstände der Logins versuchen sie, automatische Sperren bei zu vielen fehlerhaften Anmeldungen binnen kurzer Zeit zu vermeiden.
Weitere Auffälligkeiten
Die von unseren Lesern beobachteten Scans haben eine gemeinsame Quelle: Sie gehen von einer Maschine aus dem IP-Bereich des niederländischen Hosting-Providers Peenq aus. Ob das System gemietet oder kompromittiert ist, lässt sich jedoch aus der Ferne nicht sagen. Diese einzelne Adresse zu sperren hilft jedoch nicht gegen Scans. Solche Cyberangriffe finden permanent von diversen IPs aus statt.
Was hilft also in der Praxis? Die protokollierten Login-Versuche wird man nur los, wenn man Dienste auf dem Router nicht mehr von außen zugänglich macht. Der Fernzugriff auf die Benutzeroberfläche sollte etwa lediglich bei Bedarf aktiviert und im Anschluss wieder abgeschaltet werden. Alternativ könnte man eine VPN-Verbindung einrichten und dann daraus bei Bedarf auf die Fritzbox zugreifen. Da der VPN-Dienst dann aktiviert ist, könnten auch darauf Login-Versuche stattfinden und protokolliert werden. Hier kommt es auf einen Test in der Praxis an.
Es empfiehlt sich zudem die übliche Sicherheitshygiene: Für jeden Dienst individuelle und ausreichend komplexe sowie lange Passwörter verwenden, nach Möglichkeit mit zusätzlicher Authentifikation über einen zweiten Faktor (2FA). AVM unterstützt etwa Authenticator-Apps wie die von Google, die ein zeitlich begrenzt gültiges Einmalkennwort (TOTP) erstellen. Durch Abschalten aller nicht benötigten Dienste lässt sich die Angriffsfläche minimieren. Zudem sollten alle bereitstehenden Softwareaktualisierungen für den Router auch eingespielt werden; idealerweise bietet das Gerät dafür eine automatische Update-Funktion.
Lesen Sie auch
Das kleine Einmaleins der Computersicherheit
(dmk)