Router absichern: die wichtigsten Einstellungen
Mit diesen Einstellungen härtest du deinen Heim-Router gegen die häufigsten Angriffe — vom Standard-Passwort bis WPA3.
Auf eigene Gefahr: Das Ändern von WAN-, Fernzugriffs- oder WLAN-Einstellungen kann dich aus dem Router oder dem Netz aussperren — nimm alle Änderungen lokal per LAN-Kabel vor und behalte den physischen Zugang zum Gerät. Sichere vorher die Router-Konfiguration (z. B. FritzBox: System → Sicherung) und teste einen neuen Fernzugriff per VPN von außen, bevor du den alten Zugang schließt. Alles auf eigene Gefahr.
Warum der Router das wichtigste Gerät im Heimnetz ist
Der Router ist das Tor zwischen deinem LAN und dem Internet. Wer ihn übernimmt, kann DNS umbiegen, Traffic mitlesen, Geräte erreichen und Botnetze aufbauen. Die meisten Angriffe sind dabei keine Hacker-Magie, sondern nutzen Standard-Passwörter, alte Firmware und offene Dienste. Diese Anleitung ist herstellerneutral, mit konkreten FritzBox-Beispielen. Bei anderen Routern (Speedport, AVM, UniFi, OpenWrt) heißen die Menüpunkte ähnlich.
1. Admin-Passwort ändern (und Default-Login killen)
Viele Router kommen mit admin/admin oder einem aufgedruckten Standardkennwort. Solche Defaults stehen in öffentlichen Datenbanken — ändere sie sofort. Setze ein einzigartiges, langes Passwort (16+ Zeichen) und speichere es im Passwort-Manager.
FritzBox: System → FRITZ!Box-Benutzer. Lege einen benannten Benutzer mit Passwort an und deaktiviere das geräteweite Kennwort-only-Login. So hat jeder Admin ein eigenes Konto statt eines geteilten Passworts.
2. Firmware aktuell halten
Firmware-Updates schließen genau die Lücken, die in Massen-Scans ausgenutzt werden. Aktiviere automatische Updates und prüfe einmal manuell.
FritzBox: System → Update → Auto-Update → Stufe „Über neue FRITZ!OS-Versionen informieren und neue Versionen automatisch installieren". OpenWrt prüfst du unter System → Software bzw. mit:
opkg update
opkg list-upgradable3. WPS abschalten
WPS (besonders die PIN-Methode) ist per Brute-Force angreifbar und hebelt deine WLAN-Passphrase aus. Du brauchst es im Alltag nicht — schalte es ab.
FritzBox: WLAN → Sicherheit → WPS → Haken entfernen.
4. WPA3/WPA2 statt WPA/WEP
WEP und WPA(1) gelten als gebrochen. Nutze WPA3, oder den Mischmodus WPA2+WPA3 (WPA2/WPA3-Transitional), wenn ältere Geräte WPA3 noch nicht unterstützen. Reines WPA2 ist akzeptabel, reines WPA/WEP nicht.
| Standard | Sicherheit | Empfehlung |
|---|---|---|
| WEP | Gebrochen | Niemals |
| WPA / TKIP | Veraltet | Niemals |
| WPA2 (AES/CCMP) | Gut | Minimum |
| WPA2 + WPA3 | Sehr gut | Für gemischte Geräte |
| WPA3 | Stärkste | Ziel |
FritzBox: WLAN → Sicherheit → Verschlüsselung → „WPA2 + WPA3".
5. Starke WLAN-Passphrase setzen
Die Passphrase schützt vor Offline-Cracking nach einem mitgeschnittenen Handshake. Nimm mindestens 20 Zeichen oder vier zufällige Wörter — länger schlägt Sonderzeichen-Chaos. Erzeuge sie z. B. so:
tr -dc 'A-Za-z0-9' < /dev/urandom | head -c 24; echo6. UPnP deaktivieren, wenn nicht gebraucht
UPnP erlaubt jedem Gerät im LAN, selbstständig Ports nach außen zu öffnen — Malware liebt das. Schalte es ab und lege bei Bedarf einzelne Portfreigaben manuell an.
FritzBox: Internet → Freigaben → FRITZ!Box-Dienste bzw. bei den Portfreigaben „Selbstständige Portfreigaben für dieses Gerät erlauben" deaktivieren.
7. Fernzugriff und Cloud abschalten
Fernwartung (HTTPS/TR-069), Telnet/SSH von außen und Hersteller-Cloud sind Angriffsfläche aus dem Internet. Lass sie aus, außer du brauchst sie wirklich — und dann nur über VPN.
FritzBox: Internet → Freigaben → FRITZ!Box-Dienste → „Internetzugriff über HTTPS aktivieren" und MyFRITZ! nur einschalten, wenn nötig. Für Fernzugriff besser Internet → Freigaben → VPN (WireGuard) nutzen — verschlüsselt und nicht öffentlich exponiert.
8. Separates Gäste-WLAN für Besuch und IoT
Ein Gäste-WLAN trennt fremde Geräte und unsichere IoT-Hardware (Smart-Plugs, Kameras) von deinem Hauptnetz. Fällt ein billiges Gerät aus, bleibt der Rest geschützt. Aktiviere die Geräte-Isolation, damit Gäste-Clients sich nicht gegenseitig sehen.
FritzBox: WLAN → Gastzugang → eigener Name, eigenes Passwort, „Gäste dürfen untereinander kommunizieren" abwählen. Hänge IoT idealerweise ins Gästenetz oder ein eigenes VLAN.
9. Unnötige Dienste abschalten
Alte Protokolle wie Telnet, FTP ohne TLS und SMBv1 sind unverschlüsselt oder löchrig. Deaktiviere alles, was du nicht aktiv nutzt: Telnet, UPnP-Medienserver, NAS-Freigaben mit SMBv1, alte „LAN-Gastzugang über LAN4"-Brücken. Prüfe von einem Client aus, was offen ist:
nmap -Pn 192.168.178.1Erwartbar sind höchstens 53 (DNS), 80/443 (lokales Web-UF) — Telnet (23) oder offene SMB-Ports (445) gehören geschlossen.
10. Optional: DNS-over-HTTPS (DoH)
DoH verschlüsselt deine DNS-Anfragen, sodass dein Provider oder Mitleser im Netz nicht sieht, welche Domains du aufrufst. Manche Router (FritzBox ab FRITZ!OS 7.50, OpenWrt, UniFi) unterstützen das direkt.
FritzBox: Internet → Zugangsdaten → DNS-Server → „DNSSEC … verwenden" sowie verschlüsseltes DNS aktivieren und einen DoH-Resolver eintragen, z. B.:
https://dns.quad9.net/dns-query
https://doh.dns.sb/dns-queryAuf OpenWrt erreichst du dasselbe mit https-dns-proxy. Achte darauf, dass einzelne Clients nicht heimlich ein eigenes DoH benutzen, sonst greift deine Router-Richtlinie nicht.
Kurz-Checkliste
Admin-Passwort geändert, Firmware aktuell/Auto-Update an, WPS aus, WPA2/WPA3 aktiv, starke Passphrase, UPnP aus, Fernzugriff/Cloud aus (oder VPN), Gäste-/IoT-WLAN getrennt, Telnet/SMBv1 aus, optional DoH. Damit bist du gegen die überwiegende Mehrheit automatisierter Angriffe abgesichert.