Der Sinn eines Heimnetzes ist, dass dort alle Geräte untereinander erreichbar sind. Dafür verfügen sie über eine eigene, private IP-Adresse. Was Datentausch, Video-Streaming oder Backup erleichtert, kann aber zum Risiko werden: Weist nur ein einziges Heimnetzgerät eine Sicherheitslücke auf, können Angreifer es übernehmen und als Sprungbrett für Attacken auf weitere Ziele im lokalen Netzwerk missbrauchen.
Die Schwachstelle muss dabei nicht unbedingt auf einen Fehler des Herstellers zurückgehen, zum Beispiel aufgrund einer veralteten Firmware. Auch laxe oder unkluge Sicherheitseinstellungen des Anwenders können den Schutz des Heimnetzes kompromittieren.
Besonders kritisch sind Schwachstellen im Heimnetzrouter: Er ist das Schutzschild fürs Heimnetz gegen Angriffe aus dem Internet, weil er alle Zugriffsversuche blockieren soll, die an seinem WAN-Anschluss ankommen. Im ersten Teil dieses Artikels beschreiben wir, wie Sie das Abwehrverhalten Ihres Routers gegen externe Zugriffe prüfen und bei Bedarf Anpassungen in den Router-Einstellungen vornehmen können.
Allerdings lassen sich Angriffe auch direkt aus dem Heimnetz starten: Dazu versuchen Angreifer ihre Malware verdeckt ins lokale Netzwerk zu schleusen, beispielsweise per E-Mail oder durch das Laden einer präparierten Webseite. Kommt die Schadsoftware auf diese Weise am Router vorbei, kann die Attacke auch Sicherheitslücken der Heimnetzgeräte ausnutzen.
Zudem entziehen sich manche Geräte im Heimnetz Ihrer unmittelbaren Kontrolle, zum Beispiel Smartphones und Notebooks von Besuchern, die Sie kurz ins Heimnetz gelassen haben, um dem Gast den Internetzugang zu ermöglichen. Weisen sie Sicherheitslücken auf, können Angreifer auch hier ansetzen.
Deshalb reicht es nicht, nur den WAN-Zugang des Routers gegen Verbindungsversuche abzusichern. Ihr Heimnetz sollte auch auf Angriffe von innen vorbereitet sein. Im zweiten Teil des Artikels stellen wir Ihnen deshalb praktische Tools vor, mit denen Sie alle Teilnehmer in Ihrem Heimnetz auf Schwachstellen überprüfen.
Routerschutz: Schwachstellen vermeiden
Die Grundlage für ein sicheres Heimnetz ist ein Internetrouter, der ausreichend gegen Angriffe aus dem Internet schützt. Das ist gewährleistet, wenn Sie keine Portweiterleitungen oder Portfreigaben eingerichtet haben. Denn ein offener Port erlaubt den Zugriff vom Internet auf Geräte im Heimnetz. Sind alle Ports geschlossen, blockiert der Router direkte Angriffsversuche auf seine öffentliche IP-Adresse erfolgreich.
Allerdings können Portfreigaben im Router sinnvoll sein: Sie erlauben Ihnen zum Beispiel den Zugriff ins Heimnetz von unterwegs oder sind die Voraussetzung, um bestimmte Onlinedienste oder -spiele überhaupt nutzen zu können. Deshalb ist nicht der geöffnete Port das Sicherheitsrisiko, sondern ein ungeschützter oder vergessener Port, der nicht mehr gebraucht wird.
Einen Überblick über geöffnete Ports an Ihrem Internetrouter bekommen Sie mit Hilfe eines Online-Portscan-Dienstes: Er prüft den Router auf von außen zugängliche Ports. Nach dem Test können Sie dann prüfen, ob die geöffneten Ports ausreichend geschützt sind - zum Beispiel durch ein starkes Passwort - oder sie gegebenenfalls in den Routereinstellungen schließen. Der Portscanner sendet für die Sicherheitsprüfung einige Datenpakete an die öffentliche IP-Adresse (WAN-Adresse) Ihres Heimnetzrouters und wertet die Antworten des Routers aus.
Offene Ports ermitteln mit Shields Up
Im Internet finden sich zahlreiche Portscan-Dienste. Für den Heimnetzschutz am besten geeignet ist "Shields Up!" von Steve Gibson. Der englischsprachige, kostenlose Dienst steht unter https://www.grc.com bereit und gilt als Klassiker unter den Onlinescannern, weil er schon seit vielen Jahren zuverlässig arbeitet. Um ihn zu starten, wechseln Sie auf deren Webseite im Menü oben zu "Services -› Shields Up!" und klicken anschließend auf die kleine graue Schaltfläche "Proceed", wozu Sie die Seite eventuell etwas nach unten scrollen müssen. Im folgenden Fenster können Sie wiederum weiter unten, in einem hellblau hinterlegten Kasten mit der Überschrift "Shields Up Services", zwischen den Scan-Optionen "Common Ports" und "All Service Ports" wählen.
Ein Klick auf "Common Ports" scannt den WAN-Zugang Ihres Routers nach den rund 25 wichtigsten Server-Ports, darunter FTP, HTTP(S), Telnet, SMTP, SSH und NetBIOS. Diese Ports sind die beliebtesten Ziele für Angreifer aus dem Internet. Im Idealfall erhalten Sie als Ergebnis dieses Scan-Tests ein "Passed", was so viel bedeutet wie "Scan-Test bestanden". Das geschieht allerdings nur, wenn Ihr Router auf keine der Anfragen des Shields-Up-Scanners reagiert und alle abgefragten Ports als "Stealth" (grün) erscheinen. Die Firewall des Routers verwirft oder filtert somit automatisch alle (TCP-) Pakete, die im Rahmen einer Anfrage vom Internet aus an den entsprechenden Port gesendet werden, ohne eine Antwort an den Sender der Anfrage zu schicken. Was die Scan-Ergebnisse im Detail bedeuten, lesen Sie im Kasten "Geöffnet, geschlossen oder Stealth?" weiter unten.
Falls der Router jedoch auf eine Portanfrage antwortet, so gibt Shields Up das Scan-Ergebnis "Failed" aus, was so viel heißt wie "Test nicht bestanden". Solange es nur um einen blau gefärbten "closed port" handelt - also um einen geschlossenen Port -, besteht keine Gefahr für Ihr Heimnetz. Ihr Router teilt dem Portscanner nur mit, dass dieser Port für ihn nicht erreichbar ist.
Ein rot gefärbter, offener Port ("open port") hingegen bedeutet, dass hier ein aktiver Dienst bereitsteht, der aus dem Internet erreichbar ist und für den Sie im Router wahrscheinlich eine entsprechende Portfreigabe eingerichtet haben. "Shields Up!" bietet Ihnen nach einem Klick auf eine der aufgelisteten Portnummern ausführliche Informationen zu den Serverdiensten, die mit dem entsprechenden Port verknüpft und von außen erreichbar sind, sofern der Port geöffnet ("open", rot) ist.
Als Alternative zum "Common Ports"-Scan bietet Shields-Up auch den umfassenderen Scan "All Service Ports" an, der sämtliche TCP-Service-Ports bis Port 1055 prüft. Hier wird dann jeder gescannte Port als kleines Quadrat in grüner ("stealth" port), blauer ("closed" port) oder roter ("open" port) Farbe angezeigt.
Portweiterleitungen schließen
Auch ein Trojaner, der sich in Ihrem Heimnetz eingenistet hat, kann für einen geöffneten Port verantwortlich sein, indem er Ihren Router beispielsweise über das unsichere UPnP-Protokoll Ports öffnen lässt, so dass Ihr Heimnetz von außen angegriffen werden kann.
Prüfen Sie deshalb gleich im Webmenü Ihres Routers, ob das automatische Öffnen von Ports durch Heimnetzclients über UPnP aktiviert ist. Falls ja, sollten Sie diese Einstellung unbedingt abschalten, denn sie stellt ein erhebliches Sicherheitsrisiko dar. Da diese Einstellung bei jedem Routermenü an anderer Stelle untergebracht ist, suchen Sie am besten im Handbuch. AVM hat bei den Fritzboxen die automatische UPnP-Freigabe, die ein beliebiger Netzwerkclient anstoßen kann, schon seit längerem abgeschafft. Hier richten Sie den UPnP-Zugriff auf den Router für jeden Client einzeln unter "Internet -› Freigaben -› Portfreigaben" ein und aktivieren ihn.
Auch eine statische Portweiterleitung im Router, die auf ein bestimmtes Gerät im Heimnetz verweist, sollten Sie nur in Ausnahmefällen einrichten, wenn sie unbedingt benötigt wird. Vergewissern Sie sich, dass der hinter der Weiterleitung sitzende Serverdienst, wie beispielsweise der Webserver einer NAS, IP-Kamera und Ähnliches, auch wirklich mit sicheren Zugangsdaten, SSL-Verschlüsselung und im Idealfall auch mit einem Schutz gegen Brute-Force-Attacken gesichert ist.
Wenn Sie eine Portweiterleitung nur selten nutzen, sollten Sie diese aus den Router-Einstellungen entfernen oder abschalten und nur für einen beschränkten Zeitraum aktivieren, in dem Sie sie benötigen - etwa im Urlaub oder für die Dauer einer Geschäftsreise.
Grundlegende Vorkehrungen
Da Angreifer den Router auch umgehen und einen Angriff direkt aus dem Heimnetz starten können, sollten Sie alle Geräte in Ihrem Netzwerk auf Schwachstellen prüfen. Der erste Schritt: Installieren Sie immer die aktuelle Firmware auf allen Geräten, und prüfen Sie in regelmäßigen Abständen, ob es neue Versionen gibt. Manche Hersteller unterstützen Sie dabei, indem sie neu entdeckte Sicherheitslücken umgehend über Firmware-Updates beheben und die Anwender darüber per E-Mail oder App informieren.
Achten Sie außerdem grundsätzlich darauf, dass alle Ihre Geräte mit Serverdiensten, also solche, die ein Webmenü besitzen, das Sie über ein anderes Gerät per Browser aufrufen können - durch ein starkes Zugangskennwort gesichert sind. Um zu verhindern, dass diese Kennwörter im Klartext übers Heimnetz übertragen werden, sollte der Zugriff darauf nur über das SSL-verschlüsselte https-Protokoll erfolgen. Bei den meisten Routern und NAS-Systemen lässt sich das Webmenü per https öffnen; anderenfalls aktivieren Sie den https-Zugang nachträglich im Menü.
Schwachstellen aufdecken mit Bitdefender Home Scanner
Eine aktuelle Firmware ist eine gute Grundlage, bietet aber noch keinen optimalen Schutz: Es kann zum Beispiel vorkommen, dass eines Ihrer Geräte von einer bekannten, aber noch nicht geschlossenen Sicherheitslücke betroffen ist, mit der ein Angreifer alle Schutzmaßnahmen aushebeln kann. Für diesen Fall sollten Sie einen lokalen Schwachstellenscanner nutzen: Einen sehr umfassenden Überblick über alle Geräte in Ihrem Heimnetz inklusive möglicher Schwachstellen liefert Ihnen das kostenlose Windows-Tool Bitdefender Home Scanner. Um das Tool einsetzen zu können, müssen Sie sich mit einer gültigen E-Mail-Adresse registrieren. In der Benutzeroberfläche starten Sie nach der Installation über die Schaltfläche "Netzwerk scannen" einen ersten Suchlauf. Das Tool ermittelt nun alle aktiven Geräte im lokalen Netzwerk und testet diese danach auf diverse Sicherheitslücken. Das kann mehrere Minuten in Anspruch nehmen und hängt von der Anzahl Ihrer Geräte im Heimnetz ab. Warten Sie auf jeden Fall so lange, bis das Hinweisfenster "Scan abgeschlossen" erscheint. Klicken Sie dann auf "Schließen". Bitdefender Home Scanner listet alle entdeckten Geräte im Heimnetz auf und zeigt neben der IP-Adresse und dem Hostnamen auch Infos zu Hersteller und Typ, so dass Sie alle aktiven Heimnetzgeräte einfach identifizieren und zuordnen können. Damit liefert Ihnen das Bitdefender-Tool mehr nützliche Informationen, als sie beispielsweise ein Router in seiner Geräteliste bereitstellt.
Portscans auswerten: Geöffnet, geschlossen oder unsichtbar? Online-Portscanner wie Shields Up prüfen bestimmte Zugangstüren am WAN-Anschluss Ihres Routers, die als Ports bezeichnet werden. Sie können feststellen, ob ein Port geöffnet, geschlossen oder nicht sichtbar („stealth“) ist. Wenn Ihr Router die Anfrage des Scanners auf einen bestimmten Port komplett ignoriert, ohne auch nur eine einfache Antwort zu schicken, dann ist dieser Port „stealth“, da alle Anfragen von außen ins Leere laufen. Ebenso wie der „stealth“-Port bietet auch ein geschlossener („closed“) Port grundsätzlich keine Angriffsmöglichkeit von außen. In diesem Fall sendet der Router allerdings bei einer Anfrage eine entsprechende Antwort zurück und gibt dem anfragenden Gerät zu verstehen, dass auf diesem Port keine Kommunikation möglich ist. Auch hier gibt es noch keinen Grund zur Beunruhigung, da auch ein geschlossener Port keine Verbindung von außen annimmt. Allerdings weiß ein potenzieller Angreifer nun, dass es eine Gegenseite gibt. Eine Gefahr stellen hingegen offene („open“) Ports dar, denn diese signalisieren, dass hinter dem angefragten Port ein Serverdienst bereitsteht, der Verbindungen aus dem Internet entgegennimmt. Angreifer können nun dort ansetzen, um ins Heimnetz zu gelangen. Zum Beispiel suchen sie nach bekannten Schwachstellen für diesen Serverdienst oder starten eine Brute-Force-Attacke, um das Kennwort herauszufinden. |
So schätzen Sie ein, wie gefährlich eine Schwachstelle ist
Bei den meisten Geräten in Ihrem Heimnetz wird Bitdefender wahrscheinlich keine Schwachstelle finden. Diese Geräte erhalten dann den Status "Keine Risiken gefunden" (grüne Schrift). Doch wenn Sie sehr viele und vor allem ältere Geräte im Heimnetz betreiben, könnte es durchaus sein, dass der Scanner manchen Geräten den Status "Mögliches Risiko" in oranger Schrift zuweist. Ein Klick auf den Eintrag öffnet ein Fenster mit großem Warnhinweis und diversen Gerätedetails, wie zum Beispiel Angaben zu Produkthersteller, Produkttyp oder die MAC-Adresse. Ein Klick auf den weißen Pfeil im Warnhinweis führt zu den vom Scanner aufgespürten Sicherheitslücken. Hier sollten Sie insbesondere rote, mit der Risikostufe "Hoch" bezeichnete Schwachstellen ernst nehmen und als mögliche Gefahr für die Sicherheit Ihres Heimnetzes sehen. Wenn Sie auf eine der angezeigten Schwachstellen klicken, liefert Bitdefender nur eine vage Info zum Schwachstellentyp. Es folgt der sinnvolle Rat, ein Firmware-Update beim betroffenen Gerät zu installieren, und der Werbehinweis auf die eigene Hardware-Sicherheitslösung "Bitdefender Box".
Präzise Schwachstellenanalyse mit Nessus
Details zu den gefundenen Sicherheitslücken bleibt Bitdefender Home Scanner allerdings schuldig. Wer etwas ausführlichere Infos zu den Sicherheitslücken eines Geräts erhalten und sich eine zweite, unabhängige Meinung einholen möchte, sollte deshalb zusätzlich zu einem unabhängigen, professionellen Scanner greifen.
Allerdings basieren die meisten kostenlosen professionellen Schwachstellenscanner auf Linux und lassen sich oft nur aufwendig per Kommandozeile einrichten. Windowstaugliche Profi-Scanner wiederum sind für den gelegentlichen Einsatz im Heimnetz meist viel zu teuer.
Eine Ausnahme ist der Schwachstellenscanner Nessus von Tenable. Von dem kostenpflichtigen Profi-Tool gibt es mit "Nessus essentials" eine Gratis-Variante, mit der Sie bis zu 16 verschiedene IP-Adressen scannen können, die nach 90 Tagen wieder für andere Geräte freigegeben sind. Das genügt völlig, um Geräte im Heimnetz zu untersuchen, die das Bitdefender-Tool als "Mögliches Risiko" anzeigt.
Nachdem Sie sich auf der tenable-Homepage für "Nessus essentials" registriert haben, erhalten Sie eine Mail mit dem Aktivierungscode und dem Download-Link für den Schwachstellenscanner. Der Zugriff auf den als Hintergrunddienst gestarteten Nessus-Scanner erfolgt dann per Browser über die IP-Adresse https://localhost:8834.
Basis-Scan mit dem Profi-Tool Nessus
Im Gegensatz zum Bitdefender Home Scanner können Sie mit Nessus essentials einen so genannten "Host Discovery Scan" durchführen, bei dem Ihr Heimnetz zunächst nur nach aktiven Geräten gescannt wird. Diese listet das Tool mit IP-Adresse, Host-Namen und eventuell entdeckten Serverports auf. Dieser "Host Discovery Scan" verbraucht noch keine der 16 für Schwachstellen-Scans verfügbaren IP-Adressen. Selbst wenn sich mehr als 16 Geräte in Ihrem Heimnetz tummeln, zeigt sie das Programm alle in der Ergebnisliste des Scans an.
Zunächst müssen Sie den Scan konfigurieren. Klicken Sie dazu auf die Schaltfläche "Host Discovery Scan" und vergeben Sie einen aussagekräftigen Namen, beispielsweise "Mein Heimnetz". Unter "Targets" tragen Sie in diesem Fall den kompletten Netzwerkbereich Ihres Heimnetzes ein, also alle Netzwerkadressen, die in Ihrem Heimnetz für (W)LAN-Geräte verfügbar sind. In einem Fritzbox-Heimnetz wäre das Target beispielsweise "192.168.178.1- 192.168.178.254" oder in kürzerer Schreibweise "192.168.178.0/24".
Wenn Sie einen anderen Heimnetzrouter nutzen, orientieren Sie sich am besten an der internen IP-Adresse Ihres Routers. Bei "192.168.1.1" für Ihren Router tragen Sie als Target dann "192.168.1.1-192.168.1.254" oder "192.168.1.0/24" ein. Klicken Sie anschließend auf "Save": Ihr Scan erscheint als einziger Eintrag in der "(My) Scans"-Liste.
Um den "Host Discovery Scan" zu starten, klicken Sie am rechten Rand des neuen Scan-Eintrags auf das Play-Symbol, das Dreieck mit Spitze nach rechts. Der Scan nimmt dann wieder etwas Zeit in Anspruch. Sobald das grüne, animierte Pfeilsymbol verschwunden ist, klicken Sie auf den Scan-Eintrag, und die Geräteliste (Host Liste) erscheint. Per Klick auf die Überschrift "Host" können Sie die Geräte/Hosts anhand ihrer IP-Adressen auf- oder absteigend sortieren. Vergewissern Sie sich, dass in der Liste auch die Geräte erscheinen, bei denen der Bitdefender Home Scanner zuvor eine Schwachstelle aufgespürt hat, und notieren Sie sich deren IP-Adressen.
Verborgene Schwachstellen aufspüren
Klicken Sie nun auf den Link "Back to my Scans" oder ganz oben in der Kopfleiste auf "Scans" und dann rechts oben auf die blaue Schaltfläche "New Scan". Wählen Sie nun unter "Vulnerabilities" die erste Schaltfläche "Basic Network Scan" aus, und tragen Sie unter "Name" den Namen des Geräts ein, das Sie per Schwachstellen-Scan genauer untersuchen möchten. Als "Target" geben Sie nur die IP-Adresse dieses Geräts ein. Achtung: Hier sollten Sie keinen kompletten Adressbereich eintragen, da Sie sonst Gefahr laufen, dass Sie möglicherweise alle der 16 verfügbaren IP-Adressen für die nächsten drei Monate verbrauchen. Diese können Sie dann innerhalb dieses Zeitraums nicht mehr für andere Geräte nutzen.
Klicken Sie auf "Save" und starten Sie den neu angelegten Vulnerability-Scan wiederum über dessen Play-Taste. Der deutlich intensivere Schwachstellen-Scan dauert länger. Nach Abschluss des Scans werden Ihnen die ermittelten Sicherheitslücken nach Risikostufe geordnet aufgelistet. Zudem erhalten Sie ausführliche Informationen zu den einzelnen Schwachstellen mit Beschreibungen, Link-Verweisen und der CVE-Referenz- Nummer: Mithilfe dieser Information können Sie im Internet weitere Informationen zur Lücke, deren Auswirkung und Gegenmaßnahmen recherchieren.
Nach dem Scan: Risikogeräte im Heimnetz isolieren
Entdeckt der Scan mit dem Profi-Tool eine Schwachstelle im Netzwerk, sollten Sie dafür sorgen, dass dieses Gerät keinen Zugriff auf andere mehr bekommt. Ein Gerät, das sich über einen externen Dienst, zum Beispiel die Cloudanwendung des Herstellers, steuern lässt, könnten Sie ins Gästenetz auslagern. Es bekommt dann vom Router eine IP-Adresse aus einem anderen Bereich und ist dadurch vom restlichen Heimnetz getrennt. Dieses Vorgehen macht allerdings bei vielen Multimedia-Geräten, wie einem älteren AV-Receiver, keinen Sinn, da das Gerät vom Gastnetz aus nicht mehr auf Ressourcen im Heimnetz zugreifen kann und sich somit nicht mehr sinnvoll nutzen lässt. Eine weitere Schutzmaßnahme ist, dem Gerät über eine entsprechende Einstellung im Router den Internetzugriff zu verweigern: So verhindern Sie, dass ein Angreifer die Sicherheitslücke ausnutzt, um weitere Malware nachzuladen. Allerdings hilft das nichts, wenn das Risikogerät über ein weiteres Gerät im Heimnetz attackiert wird.
Deshalb ist die sicherste Maßnahme, das Gerät mit der potenziellen Sicherheitslücke komplett vom Netzwerk zu trennen. Ein AV-Receiver zum Beispiel lässt sich notfalls auch ohne Netzwerkzugang sinnvoll nutzen. Besonders vorsichtig sollten Sie jedoch bei älteren NAS-Geräten mit hohen oder kritischen Schwachstellen sein - vor allem, wenn Sie dort relevante Inhalte gespeichert haben und nicht nur die Sicherungen der DVD- oder Blu-ray-Sammlung. Gibt es keine Abhilfe der Sicherheitslücke durch ein Firmware-Update, sollten Sie unbedingt ein aktuelleres und sicheres Gerät ersetzen.
(PC-welt)