Fritzbox-Sicherheitslücke: Weiterhin Millionen Router ungeschützt

Bei Computern werden sicherheitsrelevante Updates automatisch eingespielt. Für Internetrouter, mit denen die PCs, Notebooks, Tablets oder Smartphones den Zugang ins Netz herstellen, gilt dieser Automatismus zumeist nicht. Das hat gravierende Folgen, wie die Sicherheitslücke bei AVM-Routern gezeigt hat, die in der vergangenen Woche bekannt wurde. Zwar wurden inzwischen für über die Hälfte der hierzulande eingesetzten Fritzboxen Updates installiert. In Deutschland stammt jedoch rund jeder zweite Internetrouter von AVM. Somit stellen noch immer Millionen Internet-Zugangsgeräte ein potenzielles Angriffsziel für Hacker und Cyberkriminelle dar.

Doch AVM steht nicht allein da: In eine ähnliche Richtung gehen die Gefahren für Router der Firma Asus. Zwei Sicherheitslecks erlauben es derzeit Angreifern, die Kontrolle über diese Geräte zu übernehmen. Dabei erhalten die Hacker unter anderem Zugriff auf den integrierten Cloud-Service. Zudem können die Angreifer die Daten von Massenspeichern auslesen, die per USB mit der Box verbunden sind. Im Internet kursiert eine Liste mit 12000 IP-Adressen von angreifbaren Asus-Routern, die das seit Monaten verfügbare Sicherheitsupdate noch nicht installiert haben. Asus hat eine Webseite eingerichtet, auf der beschrieben wird, wie man das Problem löst.

Teure Telefonanrufe und Router-Trojaner

Bei den Fritzbox-Routern von AVM – der Hersteller ist Marktführer in Deutschland – ist das Problem sogar erheblich größer als zunächst angenommen. Anfangs schien sich das Problem nur auf solche Router zu beschränken, deren Besitzer den Fernwartungszugang aktiviert hatten. Analysen von Heise Security haben allerdings ergeben, dass die Sicherheitslücke nahezu alle Router der Berliner Firma betrifft. Beim Aufruf einer speziell präparierten Webseite könnte ein Angreifer die komplette Kontrolle über die Fritzbox übernehmen, warnte der Heise-Sicherheitsexperte Ronald Eikenberg. In einer Simulation konnten die Heise-Experten die Konfigurationsdatei der Box auslesen, die unter anderem die DSL-Zugangsdaten und andere sensible Informationen enthält. Die Folgen können dramatisch sein: einerseits sind kostenpflichtige Anrufe bei Premiumdiensten und von teuren Auslandsnummern möglich, andererseits lassen sich Router-Trojaner installieren.

Sie überwachen den Netzwerkverkehr nach Passwörtern und anderen Zugangsdaten, um diese an die Angreifer zu schicken. AVM räumt diese Bedrohung inzwischen ein – zumindest im Grundsatz: Hierzu sei allerdings eine völlig andere Art des Angriffs notwendig, schränkt das Unternehmen ein. „Denn um den Angriff durchzuführen, müssten Anwender beispielsweise auf speziell präparierte Internetseiten mit Schadcode gelockt werden oder einen entsprechend präparierten Mailanhang öffnen. Ein solcher Angriff ist bis heute nicht bekannt“, heißt es in einer Mitteilung von AVM, in der nochmals alle Nutzer von Fritzbox-Routern dazu aufgefordert werden, die für nahezu alle Boxen verfügbaren Updates zu installieren. Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) warnt ebenfalls, dass die Schwachstelle „entgegen teilweise anderslautender Darstellungen alle Anwender der Fritzbox-Router“ betrifft.

Fernwartung nicht unnötig aktivieren

Der aktuelle Vorfall macht deutlich, dass die Fülle von Funktionen moderner Router es nötig macht, bei den Internet-Zugangsgeräten die gleichen Sicherheitsanforderungen zu stellen wie bei den klassischen Computern. Solange nur einige Provider die Router mit einer Auto-Updatefunktionen ausliefern, muss der Besitzer selbst regelmäßig die Suche nach Sicherheitspatches anstoßen. Größte Vorsicht gilt bei den Funktionen zur Fernwartung, zur Fernprogrammierung von Videorekordern oder bei anderen Smart-Home-Diensten. Alle diesen Neuerungen machen es nötig, dass die Sicherheitsfirewall an einigen Stellen geöffnet wird. AVM versichert, dass die Fernwartung nach dem Update wieder unbesorgt eingesetzt werden kann – sollte sie zuvor jedoch schon einmal in Betrieb gewesen sein, sollten vorsichtshalber die verwendeten Kennwörter geändert werden. Heise-Experte Eikenberg hat einen einfachen Rat: „Den Fernzugriff nur einschalten, wenn man ihn wirklich braucht.“ Das BSI empfiehlt einen VPN-Zugang als sichere Alternative, da hierbei ein verschlüsseltes Zertifikat statt einer Benutzername/Password-Kombination verwendet wird.

Für die W-Lan-Repeater sowie für die Powerline-Produkte mit W-Lan-Funktionalität hat AVM ebenfalls Updates veröffentlicht. Auch wenn keine reale Bedrohung für diese Gerätetypen bestehe, werde das Einspielen der Updates empfohlen. Die Hardware von AVM steckt nicht nur in den Fritzbox-Routern. Die Deutsche Telekom hat in einigen ihrer Speedport-Router ebenfalls Technik aus Berlin verbaut. Für die Modelle W 503V (Typ A), W 721V und W 920V wurden inzwischen Updates herausgegeben, für den Typ W 722V (Typ A) soll in Kürze ein Update bereitgestellt werden. Die Telekom beschreibt in einem PDF-Dokument, wie die Speedport-Updates installiert werden.

So starten Sie das Update:

Einige Internetprovider liefern die Fritzbox so aus, dass Updates automatisch eingespielt werden. Ansonsten wird zunächst im Internet-Browser die Benutzeroberfläche der Fritzbox über die Adresse fritz.box (ohne http:// oder www.) aufgerufen. Im Menü "Assistenten" wird "Update" ausgewählt und den Anweisungen gefolgt. Weitere Informationen hat AVM im Internet hinterlegt.

Die Fritzbox enthält eine Funktion, mit der Nutzer über den so genannten Push-Service Status-Informationen per E-Mail zugeschickt bekommen. AVM rät jenen Nutzern, die diesen Dienst bereits eingesetzt haben, die Passwörter ihrer E-Mail-Konten zu ändern.

Eine der größten Gefahren durch das Sicherheitsleck besteht darin, dass ein Angreifer über die Fritzbox teuere Telefonate führt. Dies geschieht, in dem neue virtuelle IP-Telefone in der Box eingerichtet werden. Um dies zu unterbinden, wird im Menü der Bereich Telefoniegeräte geöffnet. Sollten sich hier unbekannte Geräte befinden, die sie nicht selbst eingerichtet haben und die nicht von der FritzApp Fon eingerichtet wurden, sollten Sie sie umgehend entfernen. Auch die Rufweiterleitung ("Calltrough") im Menü "Rufumleitung" sollte überprüft werden, weil auch damit teure Telefonate ohne Kenntnis des Fritzbox-Besitzers geführt werden können.