https://www.heise.de/news/WLAN-Router-im-Visier-von-Hackern-4852953.html

Ich frage mich gerade, ob Unternehmen, Behörden auch die nötigen Vorkehrungen treffen/getroffen haben, bevor die ,,Homeofficer" ihre Arbeit von Zuhause aus aufgenommen haben. :hmm:

-Homeoffice- wird für Hacker, Chinesen, Russen .. eine Goldgrube an Wissen werden. Die Gefahr für Deutschland sehe ich als besonders hoch.

https://www.heise.de/news/WLAN-Router-im-Visier-von-Hackern-4852953.html

Ich frage mich gerade, ob Unternehmen, Behörden auch die nötigen Vorkehrungen treffen/getroffen haben, bevor die ,,Homeofficer" ihre Arbeit von Zuhause aus aufgenommen haben. :hmm:

-Homeoffice- wird für Hacker, Chinesen, Russen .. eine Goldgrube an Wissen werden. Die Gefahr für Deutschland sehe ich als besonders hoch.
Die brauchen nicht hacken. Die Spione sind längst vertraglich bei den deutschen Unternehmen eingestellt.

Die brauchen nicht hacken. Die Spione sind längst vertraglich bei den deutschen Unternehmen eingestellt.

Ganz besonders die LTE-Router die von der Telekom, Vodafone angeboten werden. Alle mit Huawai Hardware. Die Firmware wird von den Chinesen nicht zum Download angeboten. Heißt, eine Überprüfung war laut Artikel, nicht möglich. Und was Du gerade ansprichst, von Internetanbietern selbst.. DNS-Spoofing z.B. Ich kenne kein Endgerät mit z.B. DNS Verschlüsselung.

Ganz besonders die LTE-Router die von der Telekom, Vodafone angeboten werden. Alle mit Huawai Hardware. Die Firmware wird von den Chinesen nicht zum Download angeboten. Heißt, eine Überprüfung war laut Artikel, nicht möglich. Und was Du gerade ansprichst, von Internetanbietern selbst.. DNS-Spoofing z.B. Ich kenne kein Endgerät mit z.B. DNS Verschlüsselung.

Nein, die meisten Nutzer konfigurieren die DNS Server auch nicht separat. Ich nutze zumindest OpenDNS, und teste zweitweilen, welche DNS Server wirklich genutzt werden. Aber auch das ist nur ein Behelf. Ansonsten wechsel ich meine Router recht häufig, was aber eher an den Wi-Fi Standards liegt.

Nein, die meisten Nutzer konfigurieren die DNS Server auch nicht separat. Ich nutze zumindest OpenDNS, und teste zweitweilen, welche DNS Server wirklich genutzt werden. Aber auch das ist nur ein Behelf. Ansonsten wechsel ich meine Router recht häufig, was aber eher an den Wi-Fi Standards liegt.

Die Nutzer hatten ja auch nie die Möglichkeit, die DNS zu verschlüsseln. Zumindest nicht mit den alten Fritzboxen.
Mit der neuen FritzOS 7.20 soll DNS-over-TLS möglich sein. Welche Geräte dafür in Frage kommen, dass muss wohl jeder selbst schauen bzw. nachschlagen.
Soviel ich aber schon weiß, soll die Fritzbox 7590 mit FritzOS-7.20 -DoT können.

Die Nutzer hatten ja auch nie die Möglichkeit, die DNS zu verschlüsseln. Zumindest nicht mit den alten Fritzboxen.
Mit der neuen FritzOS 7.20 soll DNS-over-TLS möglich sein. Welche Geräte dafür in Frage kommen, dass muss wohl jeder selbst schauen bzw. nachschlagen.
Soviel ich aber schon weiß, soll die Fritzbox 7590 mit FritzOS-7.20 -DoT können.

Ja, bisher ist der support eher mager. Und auch nicht alle DNS Server unterstützen dies. OpenDNS m.W. bisher z.B. noch nicht. Ebenso frage ich mich, wann die Exekutive sich bewusst wird, was dies konkret bedeutet, und versucht dem einen Riegel vorzuschieben.

https://www.heise.de/news/WLAN-Router-im-Visier-von-Hackern-4852953.html

Ich frage mich gerade, ob Unternehmen, Behörden auch die nötigen Vorkehrungen treffen/getroffen haben, bevor die ,,Homeofficer" ihre Arbeit von Zuhause aus aufgenommen haben. :hmm:

-Homeoffice- wird für Hacker, Chinesen, Russen .. eine Goldgrube an Wissen werden. Die Gefahr für Deutschland sehe ich als besonders hoch.

Klares Nein, weil die Behörden auf die Schnelle nicht die Umgebung schaffen konnten, die zum Homeoffice nötig war. Früher war es strengstens verboten, die private Hardware zu nutzen, jetzt ist es erwünscht. Natürlich liegt die Sicherheit des Routers demnach in deinen Händen.

Nein, die meisten Nutzer konfigurieren die DNS Server auch nicht separat. Ich nutze zumindest OpenDNS, und teste zweitweilen, welche DNS Server wirklich genutzt werden. Aber auch das ist nur ein Behelf. Ansonsten wechsel ich meine Router recht häufig, was aber eher an den Wi-Fi Standards liegt.

Du wechselst deine Router häufig? Wie muß ich mir das vorstellen? Ich habe aktuell eine Fritzbox 7590 NW in Benutzung, und die ist auch ohne Konfiguration auf den Provider relativ happig.

Du wechselst deine Router häufig? Wie muß ich mir das vorstellen? Ich habe aktuell eine Fritzbox 7590 NW in Benutzung, und die ist auch ohne Konfiguration auf den Provider relativ happig.

Das sind meistens so um die $300. Mein Sohn ist ein Gamer, d.h. eine jede Neuerung der 802.11ac Varianten ist für ihn wichtig, ebenso, dass ich sein Funknetzwerk weitgehend von dem trennen kann, das meine Frau für die Arbeit braucht. Älter als zwei Jahre werden Router bei mir selten. Das Kabelmodem ist separat, und ich kann es so häufig wechseln wie ich will. Das derzeitige Modem ist gerade ein paar Monate alt.

Wer so bekloppt ist, seinen WLan-Router nicht zu verschlüsseln oder gar sensitive Websites ohne SSL zu benutzen, ist selbst dran schuld.

---

Wer so bekloppt ist, seinen WLan-Router nicht zu verschlüsseln oder gar sensitive Websites ohne SSL zu benutzen, ist selbst dran schuld.

---
Meine kamen schon mit WPA2 ins Haus.

Wer so bekloppt ist, seinen WLan-Router nicht zu verschlüsseln oder gar sensitive Websites ohne SSL zu benutzen, ist selbst dran schuld.

---


Meine kamen schon mit WPA2 ins Haus.

Im Eingangsbeitrag ging es jedoch eher um Schwachstellen des Routers selbst, d.h. dass der Angriff von der anderen Seite des Internets und nicht dem lokalen Netzwerk/WLAN aus geschieht. Es stimmt schon, das Router oftmals nur selten Updates bekommen (im Gegensatz zu PCs), und von vielen Nutzen bei der Konfiguration völlig übersehen werden.

Ja, bisher ist der support eher mager. Und auch nicht alle DNS Server unterstützen dies. OpenDNS m.W. bisher z.B. noch nicht. Ebenso frage ich mich, wann die Exekutive sich bewusst wird, was dies konkret bedeutet, und versucht dem einen Riegel vorzuschieben.


Hier meine persönliche Liste aller DNS Server die DoT ermöglichen:

https://www.politikforen.net/attachment.php?attachmentid=68896&stc=1

Klares Nein, weil die Behörden auf die Schnelle nicht die Umgebung schaffen konnten, die zum Homeoffice nötig war. Früher war es strengstens verboten, die private Hardware zu nutzen, jetzt ist es erwünscht. Natürlich liegt die Sicherheit des Routers demnach in deinen Händen.

Ich habe mich ein wenig auf heise.de unterhalten, z.B. mit denen die Home-Office machen. Zumindest ist der Großteil so vernünftig, mit den Firmen-Laptops erst gar nicht ins Internet zu gehen.

Auf T-Online https://www.t-online.de/digital/hardware/wlan-dsl/id_88352214/corona-krise-angriffe-auf-wlan-router-haben-stark-zugenommen.html wird ebenfalls darüber berichtet und geben recht gute Tipps zu. Der Hinweis seinen Router auf Sicherheitsmängel zu prüfen, sollte man ruhig mal machen.

Heise Security (Geht allerdings nur bis Security Level 2 (nmap -sS scan))
https://www.heise.de/security/dienste/portscan/test/go.shtml?scanart=1

Hier bitte vorsichtig sein. Die Prüfmethoden sind recht aggressiv und gehen bis Security Level 4. Mein IDS erkennt z.B. zusätzlich noch trojanische Signaturen.
Passiert eigentlich nichts. Nur Server die mit einer Panic-mode Sicherung ausgestattet sind, könnten eventuell aussetzen und das Netz lahm legen. Die Erkennungsrate ist dafür sehr gut bzw. viel besser als ,,Heise Security".
https://www.grc.com/x/ne.dll?rh1dkyd2

Hier meine persönliche Liste aller DNS Server die DoT ermöglichen:

https://www.politikforen.net/attachment.php?attachmentid=68896&stc=1

Danke, ich werde beim nächsten Router-Kauf darauf achten.

Ich habe mich ein wenig auf heise.de unterhalten, z.B. mit denen die Home-Office machen. Zumindest ist der Großteil so vernünftig, mit den Firmen-Laptops erst gar nicht ins Internet zu gehen.

Meine Firma hat keine Laptops, sind einfach zu riskant. Windows läuft nur noch auf VMware, und wird bei jedem Neustart frisch aufgesetzt. (Es braucht ca. 1 Minute bis alle Applikationen und Verzeichnisse eingestellt sind.) Firmenhardware gibt es nicht, oder nur als Chromebook, das als reines Terminal fungiert. Die Nutzung der virutellen Windows-Umgebung wird protokolliert, und Algorithmen und AI suchen nach Auffälligkeiten im Nutzerverhalten und bei den Anwendungen selbst.

Meine Firma hat keine Laptops, sind einfach zu riskant. Windows läuft nur noch auf VMware, und wird bei jedem Neustart frisch aufgesetzt. (Es braucht ca. 1 Minute bis alle Applikationen und Verzeichnisse eingestellt sind.) Firmenhardware gibt es nicht, oder nur als Chromebook, das als reines Terminal fungiert. Die Nutzung der virutellen Windows-Umgebung wird protokolliert, und Algorithmen und AI suchen nach Auffälligkeiten im Nutzerverhalten und bei den Anwendungen selbst.

Hört sich gut an. :)

Hört sich gut an. :)

Ist ein wenig dystopisch, d.h. wir wissen, wieviel Zeit die Mitarbeiten im WWW im Vergleich zu Excel oder anderen Anwendungen verbringen. Von der Sicherheit her ist dies allerdings eine ganz andere Stufe, wobei dies auch auf die ganz harte Tour gelernt und durchgesetzt werden musste.

Die Nutzer hatten ja auch nie die Möglichkeit, die DNS zu verschlüsseln. Zumindest nicht mit den alten Fritzboxen.
Mit der neuen FritzOS 7.20 soll DNS-over-TLS möglich sein. Welche Geräte dafür in Frage kommen, dass muss wohl jeder selbst schauen bzw. nachschlagen.
Soviel ich aber schon weiß, soll die Fritzbox 7590 mit FritzOS-7.20 -DoT können.
Gerade nachgesehen: die 7490 kann es.

Ist ein wenig dystopisch, d.h. wir wissen, wieviel Zeit die Mitarbeiten im WWW im Vergleich zu Excel oder anderen Anwendungen verbringen. Von der Sicherheit her ist dies allerdings eine ganz andere Stufe, wobei dies auch auf die ganz harte Tour gelernt und durchgesetzt werden musste.

Erinnert mich an einen Spediteur der gerne wissen wollte, wie lange seine Mädels täglich so im Netz surften. Schwierig, weil die Browser auch immer offen standen, um z.B. nach Kundenanschriften, Telefonnummern, Routen usw.. zu suchen. Was ich aber machen konnte war, die einzelnen Webseiten wie z.B. Facebook, Youtube usw. zu sperren bzw. die besuchten Webseiten zu protokollieren.

Gerade nachgesehen: die 7490 kann es.

Jo. Auch WPA-3, SMB-2/3 soll mit fritzOS-7.20 möglich sein. Für den normal Sterblichen gar nicht mal so verkehrt.

Jo. Auch WPA-3, SMB-2/3 soll mit fritzOS-7.20 möglich sein. Für den normal Sterblichen gar nicht mal so verkehrt.
Richtig. SMB kommt mir ja entgegen. WPA3 nutzt mir wenig, weil die wenigen Geräte, die über WLAN verbunden sind, das gar nicht können.

Richtig. SMB kommt mir ja entgegen. WPA3 nutzt mir wenig, weil die wenigen Geräte, die über WLAN verbunden sind, das gar nicht können.

WPA-3 bzw. SMB-3 sind beide abwärtskompatibel. Mal gehört zu haben, dass manche Fritzboxen, 2 Wlan Chips haben sollen. Einen für WPA-3 und einen für WPA-2. Ob dies stimmt, weiß ich ehrlich gesagt nicht.

@edit
Müssen die eigentlich haben. Denn die neuen Boxen funken ja gleichzeitig mit 2,4 Ghz und 5 Ghz.

WPA-3 bzw. SMB-3 sind beide abwärtskompatibel. Mal gehört zu haben, dass manche Fritzboxen, 2 Wlan Chips haben sollen. Einen für WPA-3 und einen für WPA-2. Ob dies stimmt, weiß ich ehrlich gesagt nicht.

@edit
Müssen die eigentlich haben. Denn die neuen Boxen funken ja gleichzeitig mit 2,4 Ghz und 5 Ghz.
SMB ist klar, nutze ich ja auch.

Mit WPA3 nicht können meinte ich, daß es sich um einfache Geräte handelt, die damit offensichtlich nichts mit anfangen können. Müssen sie auch nicht, da sie eigentlich als mobile Router über SIM-Karte dienen. Ich nutze sie manchmal zu Hause als Reichweitenvergrößerer (range extender)

Nachtrag: gerade mal nachgesehen. Die Fritzbox hat ohnehin die Einstellung WPA2 + WPA3

WPA-3 bzw. SMB-3 sind beide abwärtskompatibel. Mal gehört zu haben, dass manche Fritzboxen, 2 Wlan Chips haben sollen. Einen für WPA-3 und einen für WPA-2. Ob dies stimmt, weiß ich ehrlich gesagt nicht.

@edit
Müssen die eigentlich haben. Denn die neuen Boxen funken ja gleichzeitig mit 2,4 Ghz und 5 Ghz.
Habe auch nachgetragen. Und ja, das Telefon bucht sich manchmal bei 5 GHz ein. Normalerweise braucht es das nicht. Datenvolumen hat es auch so genug.

Das Problem der Router sind doch nicht nur die offenen Ports, veraltete Firmware und Treiber, verbuggte Kernel usw.. die Hacker für Angriffe ausnutzen.
Ich finde auch, Sicherheit sollte zentral gesteuert sein. Das jedes Gerät wie Smartphone, PC, Laptop .. in der heutigen Zeit immer noch mit Antivirenschutz, Blocker bezüglich Malware, Exploits, Trojaner, Würmer, Spyware, Tracker, Werbung... ausgestattet werden müssen, bzw. unverschlüsselt (nackt) ins Netz gehen sollen, ist meiner Meinung nach nicht mehr zeitgemäß. Ein Router wie z.B. eine FritzBox für 200-300 Euro, sollte genau dies können. Einige Punkte die ich nebenher in Foren aufgeschnappt habe bzw. was sich der Benutzer wünscht bzw. wo Bedenken sind.

- Sicherheit und persönliche Daten im Netz
- Antispam - Strategien, Unerwünschte Emails erkennen
- Besuch von sicheren Seiten
- Download nur von sicheren Seiten
- Zentrale Schutzsysteme wie z.B. Antivirenschutz
- Vertrauliche Informationen nur in vertrauenswürdigen Netzen austauschen
- Logins mit starken Passwörtern
- Schutz vor Identitätsdiebstahl
- Sicheres Onlinebanking
- Strenge Datenschutzeinstellungen
- Privatsphäre > Öffentlchee Verwendung

Wie also sollte eine zentrale Einheit wie z.B. ein Router standardmäßig seine Benutzer und sich selbst schützen ? Kinder, Unerfahrene z.B.. es sollte doch eigentlich kein Problem mehr sein, ausversehen den falschen Button gedrückt zu haben, ohne gleich ein Abo eingegangen zu sein.

Projekte wie OpenWrt sind schon mal nicht schlecht. Allerdings sind die alten Router so schwach von der Rechenleistung, dass z.B. meine alte ausgediente Fritzi 73xx nach Belastungstests, mit weiteren Serverfunktionen kaum noch nachkam und somit selbst das interne Netz stark ausbremste. Notfalls schnell mit SSH auf die Box zuzugreifen, wäre so nicht möglich. Bei OpenWrt habe ich u.a. noch die Bedenken, die Firewall falsch konfiguriert zu haben. Und somit nicht nur sich selbst schädigt, sondern gleich auch die gesamte Familie in Gefahr bringt.

Die einzige saubere Lösung bleibt einen eigenen Router zu bauen mit Pfsense oder OpenWRT mit freiher Linux Software wo weiterhin sämtlicher Datenverkehr per Firewall geregelt wird so das bsp auch keine Telemetrie Daten von W10 abfließen.

Weiterhin kann man auch alle Teilnehmer so sehr bequem über OpenVPN oder/und Tor ebenso wie I2P zwingen.

Man sollte beim Mini PC auf AES-NI achten und wenigstens 2x Gbit/s Ports ebenso wie einem schnelleren Datenträger um auch hier das BS vollständig zu encrypten bsp. M2 die am besten per 4 Lances über NVME angebunden ist

Der ganze closed Code Mist wo jeder Hersteller wie AVM sein eigenes properitäres Süppchen kocht ist des Teufels Kind !

Die einzige saubere Lösung bleibt einen eigenen Router zu bauen mit Pfsense oder OpenWRT mit freiher Linux Software wo weiterhin sämtlicher Datenverkehr per Firewall geregelt wird so das bsp auch keine Telemetrie Daten von W10 abfließen.

Weiterhin kann man auch alle Teilnehmer so sehr bequem über OpenVPN oder/und Tor ebenso wie I2P zwingen.

Man sollte beim Mini PC auf AES-NI achten und wenigstens 2x Gbit/s Ports ebenso wie einem schnelleren Datenträger um auch hier das BS vollständig zu encrypten bsp. M2 die am besten per 4 Lances über NVME angebunden ist

Der ganze closed Code Mist wo jeder Hersteller wie AVM sein eigenes properitäres Süppchen kocht ist des Teufels Kind !

Lüfterlose X86 MiniPCs laufen nahezu alle mit Intel Hardware. Dementsprechend wird auch ,,AES NI" unterstützt.
Aber, wieso willst Du denn das BS verschlüsseln ? Wenn überhaupt, dann würde ich nur die externe CLOUD verschlüsseln.

Meine Fritzbox 3390 kam auch mit WPA2 ins Haus. Ist jetzt etwa 4 Jahre alt. Das Update - Betriebssystem habe ich gerade auf 06.55 umgestellt.

Meine Fritzbox 3390 kam auch mit WPA2 ins Haus. Ist jetzt etwa 4 Jahre alt. Das Update - Betriebssystem habe ich gerade auf 06.55 umgestellt.

Nach der Liste hier, wird die 3390 gar nicht mehr voll unterstützt. https://avm.de/service/ende-des-produktsupports-und-der-produktweiterentwicklung/fritzbox/

Es wird Zeit für was neues :)

Nach der Liste hier, wird die 3390 gar nicht mehr voll unterstützt. https://avm.de/service/ende-des-produktsupports-und-der-produktweiterentwicklung/fritzbox/

Es wird Zeit für was neues :)
Wüsste nur nicht, wozu. Der Router kann alles, was ich so brauche. Hat vier Ausgänge, von denen ich zwei, maximal drei verwende. Der kann sogar Telefonie, aber die ist per ISDN. Und der Router läuft zuverlässig, fest eingestellt auf Kanal 13, der frei war. Hat sogar einen "Gastzugang", den man entsprechend konfigurieren kann - leider auf der gleichen Frequenz.

Wüsste nur nicht, wozu. Der Router kann alles, was ich so brauche. Hat vier Ausgänge, von denen ich zwei, maximal drei verwende. Der kann sogar Telefonie, aber die ist per ISDN. Und der Router läuft zuverlässig, fest eingestellt auf Kanal 13, der frei war. Hat sogar einen "Gastzugang", den man entsprechend konfigurieren kann - leider auf der gleichen Frequenz.

Wenn die Ports alle geschlossen sind bzw. keine Freigaben, die den Internetverkehr auf interne IP-Adressen umleitet, uPNP deaktiviert ist, wäre der erste Schritt schon mal getan. Wie es aber mit der Firmware aussieht, wird wohl nur AVM bzw. der Hacker selbst darüber Bescheid wissen. Deswegen, mit einer Box ohne Hersteller-Updates, sollte man Dinge wie Online-Banking, Einkäufe mit Banking Daten, besser unterlassen. Auch die Telefonie sollte man abschalten. Gehackte Router die man missbraucht, um die teuren Gesprächen nach Kuba, Nigeria, Senegal zu verkaufen, kamen in der Vergangenheit sehr oft vor.

https://www.bo.de/nachrichten/neue-masche-bei-telefonabzocke-tater-hacken-sich-in-router#

Wenn die Ports alle geschlossen sind bzw. keine Freigaben, die den Internetverkehr auf interne IP-Adressen umleitet, uPNP deaktiviert ist, wäre der erste Schritt schon mal getan. Wie es aber mit der Firmware aussieht, wird wohl nur AVM bzw. der Hacker selbst darüber Bescheid wissen. Deswegen, mit einer Box ohne Hersteller-Updates, sollte man Dinge wie Online-Banking, Einkäufe mit Banking Daten, besser unterlassen. Auch die Telefonie sollte man abschalten. Gehackte Router die man missbraucht, um die teuren Gesprächen nach Kuba, Nigeria, Senegal zu verkaufen, kamen in der Vergangenheit sehr oft vor.

https://www.bo.de/nachrichten/neue-masche-bei-telefonabzocke-tater-hacken-sich-in-router#
Internetbanking ist bei mir nur mit spezieller Hardware möglich. Wer die nicht hat, hat keine Chance.