Fritzbox-Sicherheitsleck analysiert: Risiko sogar bei deaktiviertem Fernzugriff
Seite 2: Was jetzt zu tun ist
Nach unserem aktuellen Kenntnisstand besteht der einzig wirksame Schutz darin, die Fritzbox auf eine abgesicherte Firmware-Version zu aktualisieren. Wenn Sie eine Fritzbox betreiben, sollten Sie daher sofort die Weboberfläche https://fritz.box aufrufen und über das Menü "Assistenten/Update" prüfen, ob ein Firmware-Update verfügbar ist. Wenn ja, stoßen Sie es umgehend mit "Update starten" an. Der zweite Schritt sollte sein, unter "System/Update/Auto-Update" sicherzustellen, dass mindestens "Stufe II: Über neue FRITZ!OS-Versionen informieren und notwendige Updates automatisch installieren" ausgewählt ist. Auf Stufe III installiert die Fritzbox auch Updates, die AVM als nicht sicherheitskritisch einstuft.
Es ist aktuell nicht ganz einfach, sich einen Überblick über die Gesamtsituation zu verschaffen. Zwar führt AVM die aktuellen Versionen für seine Produkte auf seiner Website unter "Status der Produktunterstützung" auf, doch die abgesicherten Updates sind unterschiedlich nummeriert. Für neuere Geräte lautet die aktuelle Version 7.57. Für die Fritzbox 5530 Fiber gibt es aber auch schon eine Version 7.58. Bei älteren Geräten ist die Versionsnummer trotz Sicherheitspatch niedriger: Im Fall der Fritzbox 7312 ist FritzOS 6.56 aktuell, bei der 3490 heißt die aktuelle Version 7.31. Die pauschale Angabe beim CERT-Bund, wonach alle Versionen kleiner als 7.57 verwundbar sind, trifft anscheinend nicht zu.
Wenn Sie es genau wissen müssen, etwa, weil Sie Fritzboxen in der Firma oder im Freundes- und Bekanntenkreis betreuen, steuern Sie den Updateserver des Herstellers an. Klicken Sie sich dort zum fritz.os-Ordner des fraglichen Produkts durch, zum Beispiel /fritzbox/fritzbox-7590/deutschland/fritz.os/. Wenn Sie dort eine Updatedatei (.image) finden, die ab dem 4. September veröffentlicht wurde, dann ist darin das Leck höchstwahrscheinlich gestopft. Gibt es für Ihr Gerät kein aktuelles Update, kann das bedeuten, dass es nicht betroffen ist – oder das Update erst noch erscheint. Was von beidem der Fall ist, weiß momentan nur der Hersteller.
Gibt es kein aktuelles Update, dann ist guter Rat teuer. Im Zweifel muss man davon ausgehen, dass eine solche Fritzbox verwundbar ist, bis AVM alle betroffenen Modelle beim Namen nennt. Bis dahin sollte man unbedingt auf die Sicherheitslage reagieren. Eine Lösung könnte darin liegen, ungepatchte Boxen bis zum Update zu deaktivieren. Auch sind potenziell Kunden gefährdet, die ihre Fritzboxen von einem Provider erhalten haben und die Aktualisierung nicht selbst anstoßen können. Sie müssen warten, bis ihr Provider das Update geprüft und den Startknopf für die von ihm betreuten Fritzboxen gedrückt hat. Immerhin haben Leserberichten zufolge schon einige Provider reagiert.
Falls Sie eines der betroffenen Modelle nutzen und Ihr Provider bisher nicht reagiert hat, empfiehlt es sich, ihn direkt anzusprechen. Während Sie auf das Update warten, sollten Sie sicherstellen, dass der Fernzugriff auf die Weboberfläche abgeschaltet ist. Ob das der Fall ist, steht im Menü "Internet/Freigaben" unter dem Punkt "Internetzugriff auf die FRITZ!Box über HTTPS aktiviert". Da sollte das Häkchen nicht gesetzt sein. So verhindern Sie zumindest direkte Attacken aus dem Internet. Gegen Umleitungsattacken hilft nur, über das Gastnetz zu surfen oder einen anderen Router zu nutzen. Sie können sich auch vorübergehend mit der Mobilfunkverbindung Ihres Smartphones oder Tablets behelfen.
Manöverkritik
Der Fritzbox-Hersteller handelt vorbildlich, indem er Sicherheitsupdates selbst für "steinalte" Geräte bereitstellt. Die Strategie jedoch, sich nicht zu einem Sicherheitsproblem zu äußern, während man relevante Informationen bereits aus öffentlichen Quellen entnehmen kann, ist nicht mehr zeitgemäß. Das gilt insbesondere, wenn es Indizien dafür gibt, dass eine Sicherheitslücke bereits aktiv ausgenutzt wird.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(rei)