heise PlusAbo
Anzeige

Security-Checkliste 2025, Teil 2: Heimarbeit, Windows, Smartphone und Router

Seite 5: Security-Checkliste WLAN-Router

Inhaltsverzeichnis

KI, Collage c’t

Mit Einrichtungsassistenten konfigurieren Sie WLAN-Router zwar schnell, aber Sicherheitsfunktionen wie die Verschlüsselung brauchen noch etwas Nacharbeit, selbst wenn der Router schon gemäß WPA3 verschlüsselt.

Webinterface abdichten

Viele Router lassen sich mittels Assistenten über Browser oder Smartphone-Apps konfigurieren; diese führen aber nicht durch alle empfehlenswerten Optionen, sodass oft Lücken bleiben. Ändern Sie zunächst das ab Werk eingestellte Konfigurationspasswort des Routers. Denn da es üblicherweise auf dem Typenschild steht, können Unbefugte es ablesen oder fotografieren und dann den Router unbemerkt manipulieren.

Aktivieren Sie das automatische Firmware-Update, falls vorhanden. Dann aktualisiert sich der Router selbstständig, sodass Sie nicht ständig darauf achten müssen, erst recht nicht auf Reisen.

Richtig verschlĂĽsseln

FĂĽr die WLAN-VerschlĂĽsselung empfiehlt sich der Mixed-Mode WPA2+WPA3. Falls nur WPA2 vorhanden, aktivieren Sie den Schutz der Steuerpakete (PMF). Ă„ndern Sie den Funknetznamen und das Passwort des WLANs, besonders dann, wenn diese Einstellungen ebenfalls auf dem Typenschild stehen. Standard-Zugangsdaten sind oft auch in Bedienungsanleitungen und damit per Suchmaschine zu finden.

Falls sich der Funkverkehr nur mit dem veralteten WPA2 verschlüsseln lässt, gilt für die Sicherheit des WLAN-Passworts: Länge ist wichtiger als irgendwelche Sonderzeichenregeln.

Falls Sie wegen älterer Geräte auf WPA2 nicht verzichten können: Verwenden Sie ein Passwort von mindestens 20, besser 30 Zeichen Länge. Denn einige Knackprogramme können WPA2-Passwörter durch Probieren herausfinden (Brute-Force-Attacke). Dafür zeichnen Angreifer Ihren WLAN-Verkehr auf und führen diesen später einem leistungsfähigen PC zu. Ob er dann Ihr Passwort schnell findet oder der Angreifer der Stromvergeudung nach Tagen Einhalt gebietet, hängt von der Länge des Passworts ab.

Schützen Sie Ihr Heimnetz, indem Sie Besucher, Smart-Home- und IoT-Geräte ins Gast-WLAN stecken. Und auch das Gastnetz sollte ein langes Passwort erhalten, das aber gelegentlich geändert werden sollte (Kalendereintrag ;-)), denn Besucher können es ohne Rückfrage weitergeben. Erlauben Sie im Gast-WLAN nur bestimmte Dienste, beispielsweise Surfen und Mailen, um unerwünschtes Filesharing zu unterbinden.

Wenn sich der Router aus dem Internet konfigurieren lässt, sollte er diesen Verkehr per HTTPS verschlüsseln. Falls Sie einen Server betreiben, auf den Sie von außen zugreifen wollen, richten Sie eine VPN-Verbindung ins Heimnetz ein; Portweiterleitungen funktionieren zwar ebenfalls, erfordern aber eine gute serverseitige Absicherung. Manche Router bieten für Fernzugriffe aufs Heimnetz eigene VPN-Server.

WPS nur bedarfsweise

Mittels der WPS-Funktion koppelt man WLAN-Geräte über je einen Tastendruck am Router und Client. Um Unbefugten diesen bequemen Zugang zu verwehren, schalten Sie diese Funktion nur vorübergehend bei Bedarf ein.

Manche Hersteller nutzen die UPnP-Funktion von Routern, damit sich ihre Geräte eine Portweiterleitung im Router selbst einrichten. Das spart Zeit, aber wenn UPnP aktiv ist, kann auch eingeschleppte Malware die Firewall des Routers von innen öffnen. Daher sollten Sie UPnP nur vorübergehend laufen lassen oder hilfsweise nur einzelnen Hosts gestatten.

Wenn alle Punkte abgehakt sind, exportieren Sie die Konfiguration auf Ihren PC, damit Sie bei einem Router-Ausfall ein Ersatzgerät einfach durch Konfigurationsimport in Betrieb nehmen können. (dz@ct.de) (atr)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Forum bei heise online: Sicherheit

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten