Security-Checkliste 2026, Teil 2: Heimarbeit, Windows, Smartphone und Router

Seite 4: WLAN-Router

(Bild: Jessica Nachtigall / KI / heise medien)

Assistenten richten den WLAN-Router zwar binnen Minuten ein, aber optimale Sicherheit braucht oft etwas Nacharbeit, selbst wenn der Netzverteiler schon gemäß WPA3 verschlüsselt.

Konfiguration abdichten

Moderne Router kommen normalerweise vollautomatisch ins Netz, nur manchmal muss man selbst noch per Browser oder Smartphone-App Hand anlegen. Dabei gehen die Assistenten aber an manchen empfehlenswerten Optionen vorbei, sodass Lücken bleiben.

Ändern Sie zuerst das voreingestellte Konfigurationspasswort. Weil es typischerweise auf dem Typenschild steht, reicht Unbefugten ein schnelles Foto, um später den Router unbemerkt manipulieren zu können. Falls vorhanden und abgeschaltet, aktivieren Sie das automatische Firmware-Update. Dann hält sich der Router selbstständig frisch, selbst wenn Sie auf Reisen sind.

Richtig verschlüsseln

Bei der WLAN-Verschlüsselung sollte der Mixed-Mode WPA2+WPA3 aktiv sein. Falls Sie wegen alter Clients auf WPA2 bleiben müssen, schalten Sie den Schutz der Steuerpakete (PMF) ein. Ändern Sie den Funknetznamen und das WLAN-Passwort, weil diese ebenfalls meist auf dem Typenschild stehen.

Verwenden Sie ein Passwort von mindestens 24, besser 30 Zeichen Länge. Denn einige Knackprogramme können WPA2-Passwörter durch Probieren herausfinden (Brute-Force-Attacke). Dafür zeichnen Angreifer den WLAN-Verkehr auf und führen diesen später einem leistungsfähigen PC zu. Ob er dann Ihr Passwort schnell findet, hängt von der Länge des Passworts ab.

Der Passwortgenerator Ihres Passwortsafes spendiert einen guten, mindestens 24 Zeichen langen WLAN-Schlüssel aus Buchstaben und Ziffern. Den muss man fast nie abtippen: Die meisten Geräte können den WLAN-Zugang per WPS-Tastendruck, Smartphones und Tablets auch per QR-Code übernehmen.

Gastnetz nutzen

Aktivieren Sie das Gast-WLAN und stecken Sie Besucher, Smart-Home- und IoT-Geräte dort hinein. Auch das Gastnetz braucht ein langes Passwort. Müssen Sie fürchten, dass Besucher es weitergegeben haben, muss ein neues her, gegebenenfalls regelmäßig (Kalendertermin). Erlauben Sie im Gast-WLAN nur wenige Dienste, beispielsweise Surfen und Mailen, um unerwünschtes Filesharing zu unterbinden.

Falls die Webseite des Routers aus dem Internet erreichbar ist, muss das per HTTPS geschehen, besser aber ausschließlich per routereigenem VPN (WireGuard oder IPsec). Das gilt auch für einen Heimserver, dessen Dienste Sie unterwegs brauchen. VPN ist sicherer als Portweiterleitungen, die eine gute serverseitige Absicherung voraussetzen. Weitere Tipps für eigene Server finde Sie in der Security-Checkliste „Server & Hosting“.

WPS nur vorübergehend

Mit Wi-Fi Protected Setup genügt ein WPS-Tastendruck, um Clients ins WLAN zu bringen. So können sich auch Unbefugte in einem unbeobachteten Moment Zugang zum Heimnetz verschaffen. Schalten Sie WPS deshalb nur bei Bedarf ein und anschließend wieder aus.

Ähnliches gilt für UPnP: Über diese Router-Automatik können sich Geräte eine Portweiterleitung zum Internet selbst einrichten. Das ist bequem, erleichtert aber auch eingeschleppter Malware das Leben. Lassen Sie UPnP deshalb nur vorübergehend laufen oder schränken Sie es auf einzelne Netzwerk-Hosts ein.

Wenn der Router abgedichtet ist, exportieren Sie seine Konfiguration, damit es nach einem Defekt mit dem Ersatz durch Konfigurationsimport schnell weitergehen kann. (ea@ct.de)

(goe)