Arbeitet dein Router heimlich für ausländische Geheimdienste?

Warum sich einfallsreiche Angreifer für WLAN-Zugangspunkte bei dir zu Hause interessieren und wie sie die Kontrolle über deine Geräte übernehmen.

So schützt du deinen Router davor, dass er gehackt und als Proxy ausgenutzt wird

Kürzlich wurde bekannt, dass Tausende von ASUS-Heim-Routern gehackt worden sind. Dies zeigt, dass dein WLAN-Zugangspunkt zu Hause nicht nur dir (und vielleicht auch deinen Nachbarn) nützt. Auch Cyberkriminelle und sogar staatlich geförderte Hacker können über private Router gezielte Spionageangriffe ausführen. Der erwähnte Angriff dauert noch an und steht vermutlich mit der berüchtigten APT31-Gruppe in Verbindung. Was ihn besonders gefährlich macht, ist seine hervorragende Tarnung und die unkonventionelle Methode, die zur Verteidigung notwendig ist. Hier erfährst du, warum bösartige Angreifer es auf Router abgesehen haben und wie du dich vor diesen Hacker-Tricks schützen kannst.

Wie kompromittierte Router ausgenutzt werden

  • Heim-Proxy. Hackerangriffe auf große Unternehmen oder Behörden werden oft an ungewöhnlichen IP-Adressen erkannt, über die versucht wird, auf ein gesichertes Netzwerk zuzugreifen. Beispielsweise ist es höchst verdächtig, wenn ein Unternehmen in Land A tätig ist, sich aber plötzlich ein Mitarbeiter aus Land B im Unternehmensnetzwerk anmeldet. Auch bei Logins von bekannten VPN-Serveradressen läuten die Alarmglocken. Cyberkriminelle wollen ihre Aktivitäten verschleiern und verwenden dazu kompromittierte Router, die sich im passenden Land befinden oder sogar in einer ganz bestimmten Stadt in der Nähe des Angriffsziels. Sie leiten ihre gesamten Anfragen durch deinen Router, der die Daten dann an den Zielcomputer weiterleitet. Für Überwachungssysteme sieht dies so aus, als ob ein gewöhnlicher Mitarbeiter von zu Hause aus auf geschäftliche Ressourcen zugreift … also kein Grund zur Sorge.
  • Command-and-Control-Server. Angreifer können auf dem kompromittierten Gerät Malware ablegen, um diese auf angegriffene Computer herunterzuladen. Oder umgekehrt: Sie können Daten aus dem Netzwerk direkt auf deinen Router übertragen.
  • Köder für Konkurrenten. Ein Router kann als Köder verwendet werden, um die Methoden zu erforschen, die andere Hacker-Gruppen verwenden.
  • Mining-Tool. Jedes Gerät kann für Krypto-Mining ausgenutzt werden. Zwar ist es nicht sonderlich effizient, einen Router für Mining einzusetzen. Trotzdem lohnt es sich, schließlich bezahlen Cyberkriminelle nicht für Strom und Geräte.
  • Tool zur Manipulation des Datenverkehrs. Ein kompromittierter Router kann Internetverbindungen abfangen und die übertragenen Inhalte verändern. Dadurch können Kriminelle jedes Gerät, das mit einem Heimnetzwerk verbunden ist, angreifen. Diese Methode bietet ein breites Einsatzspektrum: vom Diebstahl von Passwörtern bis hin zum Einfügen von Werbung auf Webseiten.
  • DDoS-Bot. Jedes Heimgerät (Router, Babyphone, Smart-Lautsprecher oder intelligenter Wasserkocher) kann insgeheim in ein Botnet integriert werden, und ein illegales Netz aus kompromittierten Geräten kann beliebige Online-Dienste mit Millionen gleichzeitiger Anfragen überhäufen.

Jede dieser Optionen ist für bestimmte Gruppen von Angreifern geeignet. Mining, injizierte Werbung und DDoS-Angriffe sind eher für finanziell motivierte Cyberkriminelle attraktiv. Dagegen werden gezielte Angriffe, die sich hinter einer privaten IP-Adresse verstecken, von Ransomware-Banden oder echten Spionagegruppen bevorzugt. Das klingt wie aus einem Agentenroman, ist aber so weit verbreitet, dass die US-Behörde CISA (Cybersecurity and Infrastructure Security Agency) und das FBI bereits mehrmals davor gewarnt haben. Natürlich agieren Spione heimlich, still und leise, sodass Router-Besitzer nur selten bemerken, dass ihr Gerät zweckentfremdet wird.

Wie Router gehackt werden

Es gibt zwei gängige Methoden, um einen Router zu hacken: Entweder wird das Passwort für die Router-Verwaltungsfunktionen geknackt oder Schwachstellen in der Router-Firmware werden ausgenutzt. Im ersten Fall nutzen Angreifer das leichtsinnige Verhalten der Besitzer aus. Oft lassen Nutzer die Werkseinstellungen des Routers und das Standardpasswort admin unverändert oder legen ein zu einfaches Passwort fest (z. B. 123456). Sobald die Angreifer das Passwort geknackt haben, können sie problemlos in die Router-Verwaltung hineinspazieren.

Im zweiten Szenario greifen die Angreifer aus der Ferne auf den Router zu, um Hersteller und Modell zu identifizieren, und probieren dann bekannte Schwachstellen durch, um das Gerät zu kapern.

Normalerweise installieren sie nach einem erfolgreichen Hack versteckte Malware auf dem Router, um bestimmte Funktionen auszuführen. Dies kann sich auf verschieden Weise bemerkbar machen: Das Internet funktioniert langsamer, dein Prozessor ist übermäßig stark ausgelastet oder der Router kommt ins Schwitzen. In diesem Fall kannst du entweder den Router resetten oder die Firmware aktualisieren. Bei den jüngsten Angriffen auf ASUS-Router war jedoch alles anders.

Besonderheiten der ASUS-Angriffe und wie man sie erkennt

Ein wichtiges Merkmal dieses Angriffs ist, dass er sich nicht mit einem einfachen Firmware-Update beheben lässt. Die Angreifer richten eine versteckte Backdoor mit administrativem Zugriff ein. Und dieser Schleichweg bleibt auch nach gewöhnlichen Neustarts und Firmware-Updates in den Einstellungen erhalten.

Der Angriff beginnt mit den beiden oben beschriebenen Techniken. Wenn die Brute-Force-Methode für das Administratorpasswort fehlschlägt, nutzen Angreifer zwei Schwachstellen aus, um die Authentifizierung komplett auszuhebeln.

Dann wird der Angriff richtig raffiniert. Über eine weitere Schwachstelle aktivieren die Angreifer die im Router integrierte SSH-Fernverwaltung. Anschließend fügen sie in den Einstellungen ihren eigenen kryptografischen Schlüssel hinzu – und schon können sie eine Verbindung mit dem Gerät herstellen und es kontrollieren.

Die meisten Privatanwender verwalten ihren Router nie über SSH und haben darum auch keinen Grund, sich die Einstellungen mit dem Verwaltungsschlüssel überhaupt anzusehen. Deshalb kann diese Zugriffsmethode jahrelang unbemerkt bleiben.

Alle drei bei diesem Angriff ausgenutzten Sicherheitslücken wurden vom Hersteller inzwischen gepatcht. Wenn dein Router jedoch schon zuvor kompromittiert wurde, hilft ein Firmware-Update nicht gegen die Hintertür. Dann musst du in den Router-Einstellungen überprüfen, ob ein SSH-Server für eingehende Verbindungen auf Port 53282 aktiviert ist. Wenn dem so ist, deaktiviere den SSH-Server und lösche den administrativen SSH-Schlüssel, der so beginnt:

AAAAB3NzaC1yc2EA

Falls dir das alles zu verwirrend ist, gibt es auch eine radikalere Lösung: Setze den Router auf die Werkseinstellungen zurück.

Nicht nur ASUS ist betroffen

Nach Meinung der Forscher, die den ASUS-Angriff entdeckt haben, gehört er zu einer umfangreichen Kampagne, die etwa 60 Arten von Heim- und Bürogeräten betrifft. Darunter befinden sich Videoüberwachungssysteme, NAS-Speicher und VPN-Server für Büros. Zu den betroffenen Geräten gehören D-Link DIR-850L S, Cisco RV042, Araknis Networks AN-300-RT-4L2W, Linksys LRT224 und einige QNAP-Geräte. Die Angriffe auf diese Geräte haben zwar gewisse Unterschiede, weisen aber gemeinsame Merkmale auf: Ausnutzung von Schwachstellen, Verwendung integrierter Gerätefunktionen, um die Kontrolle zu erlangen, und kontinuierliche Tarnung. Nach Einschätzung der Forscher werden kompromittierte Geräte ausgenutzt, um den Datenverkehr umzuleiten und die Angriffstechniken rivalisierender Bedrohungsakteure zu beobachten. Die Angriffe werden einer „gut ausgestatteten und hoch qualifizierten“ Hackergruppe zugeschrieben. Inzwischen sind ähnliche Methoden jedoch schon über die ganze Welt verbreitet und gehören auch zum Repertoire von Hackern, die auf gezielte Angriffe spezialisiert sind. Deshalb können heutzutage auch Heim-Router in kleineren Ländern ein verlockendes Ziel sein.

Fazit und Tipps

Der Angriff auf ASUS-Heim-Router zeigt klassische Anzeichen für gezielte Angriffe: Tarnung, Kompromittierung ohne Malware und Schaffung dauerhafter Zugriffskanäle, die auch nach dem Patchen der Schwachstelle und dem Firmware-Update bestehen bleiben. Was können Heimanwender tun, um sich gegen solche Angreifer zu verteidigen?

  • Die Wahl des Routers ist wichtig. Gib dich nicht mit dem Standardrouter zufrieden, den dein Provider dir vermieten will. Und nimm auch nicht das erstbeste Sonderangebot. Schau dich im Elektronikfachhandel um und wähle ein Modell aus, das innerhalb der letzten ein oder zwei Jahre auf den Markt gekommen ist. Nur so kannst du sicher sein, dass die Firmware auch in den nächsten Jahren noch aktualisiert wird. Suche einen Hersteller aus, der Wert auf Sicherheit legt. Das kann schwierig sein, da es keine perfekten Optionen gibt. Gute Orientierungspunkte sind die Häufigkeit von Firmware-Updates und die vom Hersteller angegebene Supportdauer. News zur Router-Sicherheit findest du auf Websites wie Router Security. Dort erwarten dich aber keine „guten Nachrichten“, sondern eher Geschichten über „Antihelden“.
  • Aktualisiere die Firmware deines Geräts regelmäßig. Aktiviere die automatische Update-Funktion deines Routers (sofern vorhanden). Dann musst du die Updates nicht von Hand besorgen und dein Router ist immer frisch und munter. Trotzdem solltest du den Status, die Einstellungen und die Firmware-Version deines Routers mehrmals im Jahr überprüfen. Wenn du seit 12 bis 18 Monaten kein Firmware-Update erhalten hast, ist es möglicherweise Zeit für ein neueres Router-Modell.
  • Deaktiviere alle nicht benötigten Dienste auf deinem Router. Schau alle Einstellungen durch und schalte alle Funktionen und Extras aus, die du nicht verwendest.
  • Deaktiviere den administrativen Zugriff auf deinen Router aus dem Internet (WAN) über alle Verwaltungskanäle (SSH, HTTPS, Telnet).
  • Deaktiviere Verwaltungs-Apps für mobile Router. Diese Apps sind zwar praktisch, schaffen jedoch eine Reihe neuer Risiken – neben deinem Smartphone und deinem Router ist wahrscheinlich auch ein proprietärer Cloud-Dienst im Spiel. Deshalb solltest du auf diese Verwaltungsmethode verzichten.
  • Ändere die Standardpasswörter für die Router-Verwaltung und den WLAN-Zugriff. Die Passwörter für diese beiden Funktionen müssen unterschiedlich sein. Und sie müssen lang sein und dürfen keine leicht zu erratenden Wörter oder Zahlen enthalten. Ändere den Benutzernamen admin in einen einmaligen Namen, sofern dein Router dies zulässt.
  • Verwende einen umfassenden Schutz für dein Heimnetzwerk. Kaspersky Premium bietet beispielsweise ein Smart Home-Schutzmodul, das häufige Probleme im Auge behält und nach anfälligen Geräte und schwachen Passwörtern sucht. Wenn der Smart Home-Monitor Schwachstellen oder ein unbekanntes Gerät in deinem WLAN findet, wirst du gewarnt und erhältst Tipps für den Schutz deines Netzwerks.
  • Überprüfe alle Konfigurationsabschnitte deines Routers. Achte auf die folgenden verdächtigen Anzeichen: (1) Weiterleitung von Ports an unbekannte Geräte in deinem Heimnetzwerk oder im Internet, (2) neue Benutzerkonten, die du nicht erstellt hast, und (3) unbekannte SSH-Schlüssel oder andere Anmeldedaten. Wenn du so etwas findest, suche im Internet nach deinem Router-Modell und den gefundenen verdächtigen Informationen (z. B. Benutzername oder Port-Adresse). Falls du das Problem nirgends als dokumentierte Systemfunktion deines Routers finden kannst, lösche diese Daten.
  • Abonniere unseren Telegram-Kanal. Dort findest du alle Cybersicherheits-News.

Möchtest du mehr darüber erfahren, wie du Smart Home-Geräte auswählst, einrichtest und schützt, und wie Hacker deine Haushaltselektronik noch bedrohen können? Hier sind weitere spannende Artikel:

Tipps

Privatsphäre in sozialen Medien – Stand 2025

In welchen sozialen Netzwerken bleiben deine Beiträge vorwiegend deinen Freunden vorbehalten? Welche Netzwerke verwenden deine Postings für KI-Training und gezielte Werbung? Wir untersuchen das aktuelle Privatsphäre-Ranking für populäre Social-Media-Plattformen.

  • Für alle anderen Länder