Sicher vernetzt

Inhaltsverzeichnis


Heimnetzwerk absichern

Konfigurieren Sie Ihren Router richtig

Der Router bildet die zentrale Schnittstelle zwischen Ihrem Heimnetzwerk und dem Internet. Mit der richtigen Konfiguration Ihres Routers schützen Sie Ihr Heimnetzwerk vor unerwünschten Zugriffen. Nutzen Sie automatische Firmware-Updates und ändern Sie alle voreingestellten Passwörter. Wir zeigen Ihnen, was Sie dabei beachten sollten.

Schützen Sie Ihr WLAN vor unbefugtem Zugriff

Die kabellose Kommunikation per WLAN ist längst der Standard in Heimnetzwerken. Laptops, Tablets, Smartphones und zunehmend auch die Haussteuerung sind per WLAN verbunden. Aktivieren Sie die Verschlüsselung Ihres Datenverkehrs, ändern Sie den voreingestellten WLAN-Schlüssel und richten Sie ein getrenntes WLAN für Gäste ein, wenn Ihr Router dies zulässt.

Sichern Sie Server-Dienste ab

Netzwerkspeicher (Network Attached Storage, NAS), Druckerserver oder vernetzte Stereoanlage – kaum ein Heimnetzwerk kommt ohne Server aus. Damit die Schotten Ihres Netzwerks möglichst dicht bleiben, müssen Server-Dienste richtig konfiguriert sein. Wir zeigen Ihnen, wie Sie Ihre Server absichern und die Gefahren des Fernzugriffs durch Hacker reduzieren – von der Port-Konfiguration im Router bis hin zu verschlüsselten Netzwerkdiensten.

Konfigurieren Sie Dateifreigaben, um Daten sicher auszutauschen

Hat Ihr Mitbewohner oder Kollege freigegebene Dokumente ungefragt verändert oder versehentlich gelöscht? Schränken Sie die Zugriffsrechte Ihrer Freigaben im Heimnetzwerk ein, um die Datenhoheit zu behalten. Nutzen Sie Computer-zu-Computer-Netzwerke für den kurzzeitigen Datenaustausch mit Gästen. Wir zeigen Ihnen, wie’s geht.


VoIP-Telefonanlagen vor Hackerangriffen schützen

Servergestützte Telefonanlagen, die mit Voice-over-IP (VoIP)-Technologie arbeiten, sind in Unternehmen und bei Selbständigen weit verbreitet. In der Regel sind neben den stationären Tischtelefonen auch mobile Endgeräte wie Laptops, Tablets und Smartphones sowie internetbasierte Anwendungen mit der VoIP-Telefonanlage verbunden. Alle diese Geräte besitzen eine eigene IP-Adresse und verhalten sich wie ganz normale Clients in einem Computer-Netzwerk – daher müssen sie ebenso intensiv gegen Hackerangriffe abgesichert werden.

Immer wieder werden Fälle bekannt, in denen VoIP-Telefonanlagen durch Hacker manipuliert werden, um teure Auslandsrufnummern anzuwählen. Die Cyber-Kriminellen dringen in die Steuerung der Telefon-Anlage ein und rufen dann automatisiert, d.h. in kurzen Intervallen und möglichst häufig, teure Nummern im Ausland oder von Mehrwertdiensten an. In der Regel sind dabei Geschäftskunden betroffen – und das oft über Wochen unbemerkt. Denn die Angriffe erfolgen meistens am Wochenende, wenn niemand in den Büros anwesend ist.

Die Frühwarnzeichen erkennen

Es macht  deshalb Sinn, das Verbindungsaufkommen regelmäßig –  idealerweise wöchentlich kurz nach dem Wochenende – auf Auffälligkeiten zu überprüfen. Dies können Verbindungsspitzen wie auffällig viele Anrufe von einer bestimmten Nummer in das Ausland oder zu Mehrwertdiensten sein. Unter Umständen lassen sich so Angriffsversuche rechtzeitig erkennen oder der Schaden lässt sich zumindest begrenzen.

Der Missbrach kann „live“ durch vielfaches, kurzes Klingeln der Nebenstelle beobachten werden. Sensibilisieren Sie daher auch ihr Reinigungs- und Wachpersonal, ein solches Phänomen in den Nachtstunden oder an Wochenenden sofort zu melden.

Netzwerk sichern: Passwortschutz einrichen

Besonders leicht fällt es den Angreifern, wenn bei den persönlichen Sprachboxen von Nebenstellenanlagen (d.h. dem integrierten Anrufbeantworter) die voreingestellte PIN nicht geändert wurde. Genau danach suchen die Angreifer gezielt. Dazu tätigen sie mit automatisierter Software massenhaft kurze Testanrufe, die sog. Ping-Calls. Nach dem Zufallsprinzip werden dabei ganze Rufnummernblöcke von Unternehmen nach Schwachstellen durchsucht. Sie sollten daher keinesfalls die werksseitigen Voreinstellungen (oft die „0000“ oder „1234“) belassen, sondern immer für jedes Endgerät individuelle Passwörter vergeben!

Den berechtigten Zugriff von außen schützen und reglementieren

Sind im TK-System sogenannte DISA-Nebenstellen mit Durchwahlmöglichkeit vorhanden? Die DISA-Funktion dient der Anbindung von Heimarbeitsplätzen oder als Einwahlmöglichkeit für TK-Servicetechniker. Sie ist aber gerade deshalb auch ein beliebtes Einfallstor für ungebetene Besucher. Diese Nebenstellen müssen sie ebenfalls mit individuellen Passwörtern schützen, wie auch die Administratorenzugänge selber. Wenn ein Zugang für Fernwartung vorgesehen ist, sollten Sie zusätzlich klare Regelungen über die sichere Nutzung mit der supportgebenden Fachkraft oder Fachfirma treffen.

Einrichten von Sperrlisten

Unterbinden Sie die Erreichbarkeit von nicht benötigten Zielrufnummern und Rufnummerngruppen – wie zum Beispiel die Vorwahlen bestimmter Länder oder Mehrwertdienste – durch Eintrag in eine Sperrliste in Ihrrer Telefonanlage! Rufnummernsperren können auch direkt beim Netzbetreiber beauftragt werden. Die Sperrliste muss auf die individuellen Erfordernisse des Unternehmens ausgerichtet und laufend angepasst werden. Sie bieten aber nur einen zusätzlichen Schutz – Sperrlisten sind als alleinige Schutzmassnahme nicht ausreichend!

Nicht benötigte Nebenstellen und Voicemail-Boxen deaktivieren

Besonders beliebt für Angriffe sind nicht benötigte Nebenstellen, denn hier bleibt der Missbrauch meist über längene Zeit unbemerkt. Nicht benötigte Nebenstellen sollten daher grundsätzlich abgeschaltet werden – auch wenn diese nur für kurze Zeit geschieht. Das Gleiche gilt auch für nicht benötigte Sprach-Boxen (Voicemail) von aktiven Nebenstellen.

Pflege der IT-Software zwingend

Verbesserte Softwareversionen (Patches) für Ihre Telefonanlage sollten Sie unverzüglich nach Herstellerfreigabe einspielen – häufig werden erkannte Sicherheitslücken dadurch bereits geschlossen. Beachten Sie zusätzlich die Sicherheitshinweise des Herstellers der Telefonanlage. Und noch lange nicht jede Firewall erkennt VoIP-Daten. Achten Sie daher auch unbedingt auf den Einsatz einer „VoIP-fähigen“ Firewall. Wenn die Telefonanlage über eine direkte oder indirekte Verbindung zum Internet verfügt, müssen Sie zusätzlich spezifische IT-Sicherheitsmechanismen berücksichtigten. Diese sind von der jeweiligen Telefonanlage, ihrer Funktionalität und weiteren Faktoren abhängig. Fragen Sie dazu den Hersteller, Händler oder geeignetes Fachpersonal nach einer Lösung für Ihre spezifische VoIP-Anlage.


10 Tipps für den Schutz von VoIP-Telefonanlagen

VoIP-Telefone müssen gegen Hackerangriffe abgesichert werden. Mit diesen 10 Tipps sorgen Sie für den Schutz ihrer VoIP-Anlage.

1. Prüfen Sie das Verbindungsaufkommen – in möglichst kleinen Zeitintervallen

Überprüfen Sie das Verbindungsaufkommen regelmäßig auf Auffälligkeiten – im Idealfall wöchentlich, kurz nach dem Wochenende. Die meisten TK-Anlagen verfügen über eine Reportfunktion per Mail. Diese kann an die individuellen Bedürfnisse angepasst werden.

2. Voreingestellte PIN für die Sprachboxen ändern

Ändern Sie auf jeden Fall die werksseitigen Voreinstellungen (oft die „0000“ oder „1234“) für die Passwörter. Nutzen Sie immer für jedes Endgerät individuelle Passwörter. Leicht zu erratende Varianten - wie beispielsweise Zahlenfolgen - sollten auf alle Fälle vermieden werden.

3. Nicht benötigte Sprachboxen deaktivieren

Nicht benötigte Sprachboxen (Voicemail) von aktiven Nebenstellen sollten Sie deaktivieren. Hacker suchen systematisch nach solchen Schwachstellen.

4. Nicht benötigte Nebenstellen deaktivieren

Nicht benötigte Nebenstellen sollten Sie sofort deaktivieren, auch wenn Sie diese nur zeitweise nicht benötigen. Hacker suchen systematisch nach solchen Schwachstellen.

5. Den berechtigten Zugang von außen schützen und reglementieren

Schützen Sie insbesondere die sogenannten DISA-Nebenstellen mit Durchwahlmöglichkeit sowie auch die Administratorenzugänge und die Zugänge für Fernwartung durch individuelle und nicht zu einfache Passwörter. Treffen Sie zusätzlich klare Regelungen über die sichere Nutzung mit der supportgebenden Fachkraft oder Fachfirma. Diese kann beispielsweise über ein Wartungsfenster erfolgen, das speziell für diesen Zweck und Nutzer temporär eingerichtet werden kann.

6. Richten Sie eine Rufnummer-Sperre ein

Wenn Sie bestimmte Zielrufnummern (also Vorwahlen für bestimmte Länder oder Dienste) nicht benötigen, sollten Sie für diese eine möglichst umfangreiche Rufnummernsperre einrichten. Das geht im System selber. Im Idealfall beauftragen Sie die Sperre aber direkt beim Netzbetreiber.

7. Die Rufnummern-Sperrliste laufend anpassen

Die Rufnummern-Sperrliste muss laufend angepasst werden. Solche sogenannte „Blacklists“ bieten aber nur einen zusätzlichen Schutz – als alleinige Maßnahme sind sie nicht ausreichend!

8. Halten Sie die Software auf dem neuesten Stand

Sie sollten neue Softwareversionen (Patches) der Hersteller unverzüglich in die Telefonanlage eingespielen. Beachten Sie zusätzlich bitte die Sicherheitshinweise des Herstellers.

9. Nutzen Sie eine VoIP-fähige Firewall

Nicht jede Firewall erkennt VoIP-Daten. Achten Sie daher unbedingt auf den Einsatz einer „VoIP-fähigen“ Firewall. Informationen dazu erhalten Sie auf den Produktseiten der jeweiligen Software-Hersteller.

10. Zusätzliche Maßnahmen bei der Internet-Verbindung der Telefonanlage treffen

Wenn Ihr TK-System über direkte oder indirekte Verbindung zum Internet verfügt, müssen Sie weitere, spezifische IT-Sicherheitsmechanismen berücksichtigten. Fragen Sie dazu den Hersteller, Händler oder geeignetes Fachpersonal.


Heimnetzwerk schützen mit sicheren Router-Einstellungen

In der Betriebsanleitung Ihres Routers finden Sie eine Anleitung zur Verkabelung. Befolgen Sie die dort beschriebenen Schritte genau und gehen Sie nicht leichtfertig mit den Anschlüssen um. Wenn die Verkabelung nicht stimmt, kann ein Angreifer auf die Benutzeroberfläche Ihres Routers zugreifen – selbst wenn die Fernkonfiguration deaktiviert ist. Telekom-Kunden erfahren in diesem Video, was sie bei der Verkabelung beachten sollten.

Weitere Informationen: Erste-Hilfe-Checkliste – Anleitung zur Prüfung der Verkabelung Ihres Telekom-Routers

Wählen Sie ein sicheres Passwort für den Router-Zugriff

Schützen Sie den Zugriff auf die Benutzeroberfläche Ihres Routers durch ein Passwort. Achten Sie nach Inbetriebnahme des Geräts darauf, das von Werksseite voreingestellte Passwort durch ein eigenes Passwort zu ersetzen. Auf diese Weise minimieren Sie das Risiko, dass Fremde Zugang zur Konfiguration Ihres Routers erhalten.

Um das Kennwort zu ändern, öffnen Sie die Systemeinstellungen des Routers. Falls Sie den entsprechenden Menüpunkt nicht auf Anhieb finden, schauen Sie in die Bedienungsanleitung Ihres Routers. Wenn Sie beispielsweise den Speedport-Router W724V nutzen, rufen Sie in Ihrem Internet-Browser die Seite http://www.telekom.de/geraete-manager auf. Geben Sie dort Ihre Zugangsdaten ein. Daraufhin öffnet sich der „EasySupport Geräte-Manager“. Klicken Sie auf „Einstellungen und Details“ und dann auf „Gerätepasswort“, um das Kennwort für den Router-Zugriff zu ändern. Wenn Sie den Speedport-Router W921V nutzen, navigieren Sie über den Menüpunkt „Einstellungen“ zum Eintrag „Gerätepasswort ändern“.

Bei Routern des Herstellers AVM heißt der entsprechende Menüpunkt „System“. Klicken Sie dort auf die Schaltfläche „Fritz!Box-Kennwort“ und danach auf „Kennwort ändern“.

Erstellen Sie ein sicheres Passwort in zehn Sekunden, das Sie sich leicht merken können. Beachten Sie, dass einige Router keine Sonderzeichen bei der Vergabe für Passwörter erlauben. Um Sie zu schützen, blockieren Router-Hersteller triviale Passwörter wie „0000“, „1234“, „admin“ oder „root“. Neben dem Passwort für die Benutzeroberfläche des Routers sollten Sie unbedingt auch den voreingestellten WLAN-Schlüssel ändern.

Nutzen Sie das automatische Update der Firmware

Um den Datenaustausch in Ihrem Netzwerk zu steuern, verfügen Router über eine eigene, fest in die Geräte eingebettete Software – die Firmware. Hersteller entwickeln diese Software in der Regel kontinuierlich weiter, um sie vor allem an neue Bedrohungen anzupassen. Stellen Sie sicher, dass Ihr Router stets über die aktuellste Version der Firmware verfügt. Moderne Router bieten die Möglichkeit, die entsprechenden Updates automatisch herunterzuladen und zu installieren. Wie Sie den automatischen Update-Dienst aktivieren, erfahren Sie in der Bedienungsanleitung Ihres Routers.

Falls Sie Telekom-Kunde sind und einen Speedport-Router nutzen, sorgt der Dienst „EasySupport“ dafür, dass Firmware-Updates unverzüglich über das Internet aufgespielt werden. Der automatische Update-Service ist bei der Auslieferung aktueller Router-Modelle voreingestellt. Um die Voreinstellung zu überprüfen oder zu ändern, klicken Sie auf der Benutzeroberfläche Ihres Speedports auf den Menübereich „Verwaltung“. Klicken Sie anschließend auf „Hilfsmittel“ und danach auf „Automatische Konfiguration“. Hier sollte der Menüpunkt „EasySupport“ aktiviert sein.

Hinweise zum manuellen Update-Management

Wenn Sie die automatische Update-Funktion nicht nutzen wollen, sollten Sie regelmäßig auf den Internetseiten des Herstellers bzw. Ihres Internet-Providers nach Updates suchen. Firmware-Updates für Speedport-Router stehen unter www.telekom.de/speedportdownloads zum Download bereit. Bitte beachten Sie, dass neue Versionen der Firmware in unregelmäßigen Abständen erscheinen. Achten Sie daher darauf, regelmäßig nach Aktualisierungen zu schauen. Wie Sie ein heruntergeladenes Update manuell aufspielen, erfahren Sie in der Bedienungsanleitung Ihres Routers. Als Telekom-Kunde erhalten Sie eine entsprechende Schritt-für-Schritt-Anleitung.

Die kostenlose DSL-Hilfe-App für Android OS und Apple iOS führt Telekom-Kunden Schritt für Schritt durch die Konfiguration ihres Speedport-Routers.

Router-Reset: So erlangen Sie die Kontrolle zurück

Sollten Sie nach einem Schadsoftwarebefall die Kontrolle über Ihren Router verloren haben, hilft nur ein Reset. Ihr Router wird dabei auf die Werkseinstellungen zurückgesetzt, sodass Sie wieder auf ihn zugreifen können. Je nach Hersteller unterscheiden sich die Reset-Optionen (manchmal auch als „Recovery“ bezeichnet). Konsultieren Sie das Handbuch Ihres Routers. In der Regel ist am Gehäuse ein Knopf eingelassen, den Sie mit einer Büroklammer für einige Sekunden gedrückt halten müssen. Unmittelbar nach dem Reset sollten Sie das Passwort neu setzen.


Video: Daten im Netzwerk sicher austauschen

Wir zeigen Ihnen im Video, wie Sie Daten in ihrem Netzwerk sicher austauschen. Geben Sie Dateien und Ordner frei und richten Sie Computer-zu-Computer-Netzwerke ein.


WLAN schützen und Haftungsrisiken vermeiden

Störerhaftung: So bleiben WLAN-Betreiber auf der sicheren Seite

Wer sein WLAN ungeschützt und somit für jedermann zugänglich lässt, kann für Gesetzesverstöße mithaftbar gemacht werden, die andere über seinen Anschluss begehen. Juristisch gesehen greift dann die sogenannte Störerhaftung (Stand: 02.03.2016). Beispielsweise können Anschlussinhaber abgemahnt werden, wenn Familienmitglieder, WG-Mitbewohner, Gäste oder auch völlig Fremde urheberrechtlich geschützte Dateien illegal herunterladen. Dies gilt jedoch nicht, wenn Sie Ihr WLAN ausreichend schützen. So ein immer noch maßgebliches Urteil des Bundesgerichtshofs (BGH) aus dem Jahr 2010. Sowohl technisch als auch juristisch gesehen sind Sie auf der sicheren Seite, wenn Sie eine sichere Verschlüsselungsmethode in Ihrem Router aktivieren und ein starkes WLAN-Kennwort vergeben.

Als Anschlussinhaber sollten sie nachweislich alle Mitbenutzer darauf hinweisen, den Anschluss nur rechtmäßig nutzen zu dürfen. Sie dürfen nicht gegen das Urheberrecht verstoßen, nicht ohne Erlaubnis Fotos von Bekannten hochladen, kein unzulässiges Filesharing aktivieren, keine Beleidigungen in Foren posten, oder andere schädigen.

Aktivieren Sie Ihre WLAN-Verschlüsselung

Die Konfiguration moderner Router läuft weitgehend automatisch ab, so auch bei den Speedport-Geräten der Telekom. Dennoch gibt es eine Aufgabe, die Sie in vielen Fällen noch selbst erledigen müssen: Aktivieren Sie die WLAN-Verschlüsselung, beziehungsweise überprüfen Sie, ob Ihr Router ein sicheres Verschlüsselungsverfahren korrekt voreingestellt hat. Tun Sie dies unmittelbar nach dem Ende der Konfiguration. Auf diese Weise stellen Sie von Anfang sicher, dass Unbefugte nicht auf die im Netzwerk übertragenen Daten zugreifen können.

Zur Verschlüsselung bieten fast alle Router-Modelle folgende drei Verfahren an: WEP, WPA und WPA2. Dabei bietet nur die Verschlüsselungsmethode WPA2 ausreichende Sicherheit. Für WPA und WPA2 gibt es zwei Arten von Protokollen: TKIP (Temporal Key Integrity Protocol) und CCMP (Cipher Block Chaining Message Authentication Code Protocol). Wählen Sie nach Möglichkeit das WPA2-Verfahren mit CCMP, das Ihnen mit Abstand den besten Schutz bietet.

Bei den aktuellen Speedport-Routern der Telekom ist WPA2 bereis voreingestellt. Wenn Sie die Voreinstellung ändern wollen oder ein älteres Modell besitzen, öffnen Sie über die Benutzeroberfläche Ihres Speedports den Menüpunkt „Heimnetzwerk“ und anschließend die „WLAN-Grundeinstellungen“. Klicken Sie dann auf „Name und Verschlüsselung“ und wählen Sie unter dem Menüpunkt „Verschlüsselungsart“ das gewünschte Verfahren. Weitere Informationen zur Verschlüsselung von Speedport-Routern finden Sie in den Handbüchern der Geräte:

Falls Sie eine Fritzbox als Router nutzen, können Sie die Einstellung auf der Benutzeroberfläche unter dem Menüpunkt WLAN / Sicherheit / WPA-Verschlüsselung vornehmen.

Wichtiger Hinweis: Achten Sie bei der Wahl der Verschlüsselungsmethode darauf, dass sich die Zugangsgeräte in Ihrem WLAN ebenfalls auf diese Methode verstehen. Sollte eines Ihrer Zugangs­geräte den WPA2-Standard nicht unterstützen, prüfen Sie am besten, ob Sie das Gerät über ein Netzwerkkabel direkt an den Router anschließen können. Falls auch das nicht geht, wechseln Sie in den gemischten Modus WPA2/WPA. So können einige Geräte weiterhin WPA2 verwenden. Vermeiden Sie es jedoch, den WEP-Standard zu nutzen, da dieses Verschlüsselungsverfahren zu leicht auszuhebeln ist.

Ändern Sie den voreingestellten WLAN-Schlüssel

Router erhalten ab Werk einen voreingestellten WLAN-Schlüssel, auch Pre-Shared Key (PSK) genannt. Bei den aktuellen Speedport-Modellen und in der Regel auch bei anderen Routern neuester Bauart kann dieser Schlüssel nicht geknackt werden. Um ganz sicher zu gehen, sollten Sie die Voreinstellung dennoch durch einen eigenen WLAN-Schlüssel ersetzen:

Öffnen Sie Ihren Internet-Browser und geben Sie die IP-Adresse Ihres Routers in die Adresszeile ein. (Tipp: Unter folgenden Links finden Sie Anleitungen, um die IP-Adresse Ihres Routers zu ermitteln: Windows 7/8/10 und Mac OS X) Alternativ bieten Ihnen viele Hersteller die Möglichkeit, dort eine sprechende Adresse einzugeben.

Für die Speedport-Router der Deutschen Telekom gehen Sie folgendermaßen vor: Geben Sie „speedport.ip“ in die Adresszeile Ihres Browsers ein und bestätigen Sie mit der Eingabetaste (bei Geräten des Herstellers AVM lautet die Eingabe „fritz.box“). Jetzt öffnet sich die Benutzeroberfläche Ihres Routers. Die Sicherheitseinstellungen finden Sie unter dem Menüpunkt „Heimnetzwerk / WLAN-Grundeinstellungen / Name und Verschlüsselung.“ Tragen Sie dort einen neuen WLAN-Schlüssel Ihrer Wahl ein. Beachten Sie dabei, dass sichere WLAN-Schlüssel idealerweise aus bis zu 63 Zeichen bestehen. Das Minimum liegt bei 18 Zeichen. Verwenden Sie eine nur Ihnen bekannte Abfolge von Ziffern, Groß-und Kleinbuchstaben sowie Sonderzeichen. Klicken Sie anschließend auf die Schaltfläche „Speichern“, um den geänderten Schlüssel zu aktivieren.

Wichtiger Hinweis: Führen Sie die Änderung auch bei allen Zugangsgeräten Ihres WLAN durch. Nur dann erhalten die Geräte auch weiterhin Zugriff auf den Router.

So richten Sie ein getrenntes WLAN für Ihre Gäste ein

Viele Gäste fragen immer selbstverständlicher nach den Zugangsdaten Ihrer Internetverbindung. Wenn Sie daraufhin Ihre eigenen Daten herausgeben, gelangen Ihre Gäste nicht nur ins Internet, sondern erhalten möglicherweise auch Zugriff auf die Geräte Ihres Heimnetzwerks. Einige Router-Modelle unterstützen deshalb spezielle Gastzugänge. Damit erhalten Ihre Gäste einen geschützten eigenen Bereich, der von Ihrem eigenen Heimnetzwerk vollständig getrennt ist. Auch hier gilt die Störerhaftung. Geben Sie die Zugangsdaten zu Ihrem WLAN grundsätzlich nur an vertrauenswürdige Personen weiter.

Gehen Sie folgendermaßen vor, um einen Gastzugang einzurichten: Öffnen Sie zunächst die Benutzerober­fläche Ihres Routers, etwa Ihrer Fritzbox, und melden Sie sich mit Ihren Benutzerdaten an. Klicken Sie anschließend auf den Menüpunkt „WLAN“ und danach auf „Gastzugang“. Jetzt aktivieren Sie den Gastzugang und geben ihm einen eigenen Namen. Wählen Sie zusätzlich im Menüpunkt „Sicherheit“ die Verschlüsselungsmethode „WPA+WPA2“ und verändern Sie den voreingestellten WLAN-Schlüssel.


Video: Gastzugang und Störerhaftung

Schützen Sie Ihr WLAN vor unbefugtem Zugriff und richten Sie einen Gastzugang für Besucher ein, um die Störerhaftung zu vermeiden.


Server absichern und Dienste für den Fernzugriff konfigurieren

In Privathaushalten wie mittelständischen Unternehmen sind NAS-Systeme besonders beliebt. Sie bündeln Dienste wie FTP (File Transfer Protocol)- und Druckserver und bieten Speicherplatz für gemeinsam genutzte Daten. Häufig laufen die Server 24 Stunden am Tag und sind dadurch gefährdeter für Angriffe als Endgeräte mit temporärem Netzzugang. Prüfen Sie zunächst, welche Dienste Ihr NAS bereitstellt. Deaktivieren Sie Dienste, die Sie nicht benötigen.

Zur Administration bieten NAS-Systeme eine Web-Oberfläche – erreichbar unter einer vom Hersteller angegebenen IP-Adresse, die Sie im Browser eingeben. Ersetzen Sie das Default-Passwort Ihres NAS unbedingt durch ein sicheres Passwort. Mit den richtigen Einstellungen sorgen Sie weiterhin dafür, dass nur die gewünschten Dienste aktiviert sind. Überprüfen Sie in regelmäßigen Abständen, ob die Firmware Ihres NAS aktuell ist. Beachten Sie außerdem die Sicherheitsempfehlungen des Herstellers.

Schalten Sie für den Fernzugriff so wenige Ports frei wie möglich

Um auch außerhalb Ihres Heimnetzes die Dienste Ihres Servers zu nutzen, müssen Sie im Router die Portfreischaltung konfigurieren (in manchen Routern auch als „Portfreigabe“, „Portforwarding“ oder „Portmapping“ bezeichnet). Der Port ist ein Teil der Netzwerk-Adresse, der auf einen bestimmten Dienst verweist. Der Standard-Port für die verschlüsselte Dateiübertragung via SFTP (Secure File Transfer Protocol) ist zum Beispiel 22 (Liste der Standard-Ports).

In den Standardeinstellungen sind alle Ports geschlossen. So schützt Sie der Router vor unerwünschten eingehenden Verbindungen aus dem Internet. Beachten Sie, dass jeder offene Port eine Luke ist, über die Angreifer potenziell in Ihr Heimnetz eindringen können. Wenn Sie in Ihrem Router Ports freigeschaltet haben, prüfen Sie in regelmäßigen Abständen, ob Sie den betroffenen Dienst noch nutzen. Öffnen Sie grundsätzlich keine Portbereiche, sondern nur punktuell die benötigten Einzelports. Schließen Sie ungenutzte Ports. Je weniger Ports geöffnet sind, desto geringer ist die Angriffsfläche Ihres Heimnetzes.

Hilfreich hierbei ist ein Crashkurs zur Portfreischaltung.

Weitere Informationen zur Portfreischaltung von Speedport-Routern finden Sie in den Handbüchern der Geräte:

Nutzen Sie verschlüsselte Netzwerkdienste

Wenn Ihr Server verschlüsselte und unverschlüsselte Netzwerkdienste anbietet, wählen Sie stets die verschlüsselte Variante. So stellen Sie sicher, dass Ihre Zugangsdaten nicht im Klartext übertragen werden. Ansonsten besteht die Gefahr, dass sensible Daten von Angreifern abgegriffen werden – zum Beispiel wenn Sie über ein öffentliches WLAN auf Ihr Heimnetz zugreifen.

Um zum Beispiel die FTP-Kommunikation zu verschlüsseln, stehen zwei Alternativen bereit. Das Protokoll FTPS (eine Kombination von FTP und Transport Layer Security, TLS) nutzt SSL bzw. TLS-Verschlüsselung, um für einen sicheren Datenaustausch (Standardports: 989/990). Vergleichbare Sicherheit bietet das SSH File Transfer Protocol (SFTP) auf Standardport 22.

Aktivieren Sie die IP-Blockade auf dem Server

Ein weit verbreiteter Sicherheitsmechanismus von NAS-Systemen ist die IP-Blockade. Hier können Sie für die genutzten Dienste fehlgeschlagene Verbindungsversuche von einer IP-Adresse für einen bestimmten Zeitraum verwehren. Das ist besonders effektiv gegen sogenannte Brute-Force-Attacken. Der Angreifer testet dabei systematisch verschiedene Benutzernamen und Passwörter, um Zugang zu Ihrem System zu erlangen. Aktivieren Sie die IP-Blockade gezielt für Server-Dienste, die Sie nutzen.

Alternativer Fernzugriff: VPN statt Port-Freigabe

Wenn Sie über ein Virtual Private Network (VPN) unterwegs auf Dokumente, Bilder oder Musik in Ihrem Heimnetz zugreifen, können Ports für Protokolle wie FTP geschlossen bleiben. Ihr Endgerät wird dabei über eine verschlüsselte Verbindung in Ihr Heimnetz eingebunden. Zugangsinformationen und vertrauliche Daten sind so auch in öffentlichen Netzen sicher abgeschottet.

Einige Router wie die Fritzbox unterstützen den VPN-Fernzugang direkt. Doch auch wenn Ihr Router keine VPN-Unterstützung bietet, kann ein Rechner in Ihrem Heimnetz als VPN-Server agieren.


Datenaustausch und Freigaben im Heimnetzwerk

Moderne Betriebssysteme halten unterschiedliche Methoden bereit, um Computer in Ihrem Heimnetzwerk zu verbinden. Für Mehrpersonenhaushalte eignen sich vor allem die seit Windows 7 eingeführten Heimnetzgruppen. Richten Sie eine Heimnetzgruppe ein, wenn Sie Geräte vernetzen wollen, die sich dauerhaft in Ihrem Haushalt befinden. Über die Vergabe spezieller Kennwörter und Rechte entscheiden die lokalen Benutzer, welche anderen Benutzer auf ihre Festplatteninhalte zugreifen dürfen. Dabei lässt sich präzise einstellen, wer welche Dateien und Ordner lesen und wer sie gegebenenfalls auch verändern darf.

Beachten Sie, dass sich Schadsoftware potenziell über Freigaben verbreiten kann. Berücksichtigen Sie die Tipps rund um den Basisschutz für Laptop und PC.

Weiterführende Informationen: Bundesamt für Sicherheit in der Informationstechnik (BSI): Verwendung der Heimnetzgruppen-Funktion unter Windows 7.

Dateifreigaben einschränken

Achten Sie darauf, keine unnötigen Zugriffsrechte auf Ihre Freigaben zu vergeben. Es muss nicht immer der Vollzugriff sein. Sicher befinden sich unter Ihren Freigaben auch Daten, die andere Benutzer zwar anschauen dürfen, aber nicht verändern sollten. Beschränken Sie die Berechtigung auf „Lesen“. So stellen Sie sicher, dass Ihre freigegebenen Daten nur von Ihnen veränderbar sind und kein anderer Benutzer sie versehentlich löscht.

Wählen Sie sichere Passwörter für Ihre Freigaben. Beachten Sie die Tipps zur Passwort-Sicherheit.

Ungenutzte Freigaben aufheben

Überprüfen Sie regelmäßig Ihre Freigabeliste und deaktivieren Sie ungenutzte Freigaben. So rufen Sie in Windows 7/8/10 eine Übersicht aller Freigaben auf:

  1. Öffnen Sie das Startmenü
  2. Klicken Sie mit der rechten Maustaste auf „Computer“ (Windows 7) bzw. „Dieser PC“ (Windows 8, WIndows 10).
  3. Klicken Sie mit der linken Maustaste auf „Verwalten“ im Kontextmenü
  4. In der Kategorie „System“ finden Sie den Punkt „Freigegebene Ordner“, der alle aktuellen Freigaben auflistet
  5. Klicken Sie mit der rechten Maustaste auf eine Freigabe und im Kontextmenü auf „Freigabe aufheben“, um eine Freigabe zu deaktivieren.

Wie Sie die Freigabeliste auf Ihrem Mac erreichen, zeigt der Beitrag Mac-Grundlagen: Dateifreigabe.

Daten über Computer-zu-Computer-Netzwerke teilen

Falls Sie Ihren Computer für einen kurzen Zeitraum mit anderen Rechnern verbinden wollen, können Sie dies über sogenannte Computer-zu-Computer-Netzwerke tun (auch bezeichnet als Ad-hoc-Netzwerke). Auf diesem Weg können Sie sich zum Beispiel auf einer Party mit den Laptops oder Smartphones Ihrer Gäste verbinden, um Fotos oder Videos zu tauschen. Computer-zu-Computer-Netzwerke sind direkte Verbindungen zwischen zwei oder mehreren Endgeräten. Um Computer-zu-Computer-Netzwerke nutzen zu können, müssen die Endgeräte über funktionierende WLAN-Karten verfügen. Somit ist kein zusätzlichen Router erforderlich. Da Computer-zu-Computer-Netzwerke kaum Einstellungsmöglichkeiten für den Datenschutz bieten, sollten Sie ein solches Netzwerk nur für klar festgelegte, relativ kurze Zeiträume einrichten.


Diese Seite benutzt Cookies. Weitere Informationen dazu finden Sie in unserer Datenschutzerklärung sowie in diesem Artikel.