Sichere WLAN-Einstellungen anhand einer Fritz!Box

Die Fritz!Box ist ein sehr weitverbreiteter Router mit Modem und WLAN-Zugang im Anwendungsbereich. Dieser Artikel beschreibt ausgewählte Sicherheitsfunktionen und wie Sie diese einstellen können.

Grundlegende Sicherheitseinstellungen für Router, die vom jeweiligen Internetanbieter eingesetzt werden, sollten Sie ausreichend schützen. Viele Anwenderinnen und Anwender setzen jedoch die Fritz!Box ein. Diese hat weitreichendere Einstellungsoptionen. Im Dschungel möglicher Sicherheitseinstellungen lässt sich schnell der Überblick verlieren. Daher finden Sie hier relevante Sicherheitseinstellungen für die Einrichtung einer Fritz!Box:

Erstmalige Einstellung der Fritz!Box

Fritz!Box mit LAN-Kabel konfigurieren. Binden Sie einen PC oder Mac mittels LAN-Kabel an, um den WLAN-fähigen Router mit Internetzugang einzustellen. Erreichbar ist die Fritz!Box im Browser Ihrer Wahl (z.B.: Chrome, Edge, Firefox) nachdem Sie diese mittels LAN-Kabel angeschlossen haben über fritz.box/.

Ändern der Standard-Zugangsdaten für den Router und das WLAN. Die auf dem Boden der Fritz!Box aufgedruckten Zugangsdaten – WLAN Funknetz SSID, WLAN-Netzwerkschlüssel (WPA2, update:oder seit Fritz!OS 7.20 WPA3 bzw. den WPA2+WPA3 Transition Mode) Fritz!Box Kennwort sollten Sie zeitnah durch ausreichend sichere Zugangsdaten ersetzen. Definieren Sie dazu einen Benutzer sowie ein ausreichend starkes Passwort für den Router-Zugang und legen auch ein sicheres Passwort als WLAN-Schlüssel an.

Zugangsbeschränkung mittels Hinzufügen eines Benutzers. Unter „System“ und dann im Bereich „Fritz!Box-Benutzer“ können Sie im Reiter „Benutzer“ einen solchen anlegen, damit der Zugang zum WLAN-Router in weiterer Folge nur mittels Zugang und Passwort aus dem eigenen Netzwerk durchführbar ist. Anschließend können Sie für das erstellte Benutzerkonto ein ausreichend sicheres Passwort definieren.

Zugang mit Benutzername und Passwort aktivieren. Im gleichen Bereich (s.o.) jedoch im Reiter „Anmeldung im Heimnetz“ können Sie „Anmeldung mit FRITZ!Box-Benutzernamen und Kennwort“ einstellen. Damit hat nur ein autorisierter und von Ihnen im Vorfeld festgelegter Benutzer Zugriff auf den Router.

Sichere Passwörter verwenden. Stellen Sie ausreichend sichere Passwörter ein. Richtlinien oder mögliche Orientierung finden Sie auf dem IKT-Sicherheitsportal oder im Österreichischen Informationssicherheitshandbuch.

Zugriff für Benutzer aus dem Internet deaktivieren. Es ist auch empfehlenswert die Funktion „Zugang auch aus dem Internet erlaubt“ (siehe Abschnitt zuvor) zu deaktivieren. Passen Sie die zugeordneten Berechtigungen für die Zugriffsmöglichkeiten nach dem Prinzip „minimale Rechte“ an.

Erweiterte Ansicht aktivieren. Rechts oben, beim Benutzernamen. Erst damit sind einige in diesem Artikel beschriebenen Sicherheitsfunktionen überhaupt erst nutzbar.

Anpassen der Netzwerkeigenschaften

Ändern der IP-Adresse. Im Bereich „Heimnetz“, „Netzwerk“ und danach im Reiter „Netzwerkeinstellungen“ haben Sie die Möglichkeit die IP-Adresse des Routers zu ändern, damit nicht jede Fritz!Box die gleiche IP-Adresse zugewiesen bekommt. Orientieren Sie sich an RFC 1918 zum Beispiel: 172.16.0.0 bis 172.31.255.255 oder 192.168.0.0 bis 192.168.255.255. Üblicherweise ist es empfehlenswert eine „ungewöhnliche IP-Adresse zu wählen“ wie z.B. 192.168.14.36.

UPnP deaktivieren. Dies können Sie im gleichen Reiter „Netzwerkeinstellungen“ unter den sogenannten „Heimnetzfreigaben“.

Zugangsdaten für Internetanbieter eingeben. Im Bereich „Internet“ > „Zugangsdaten“ können Sie Ihren Internetanbieter auswählen und die dafür erforderlichen Zugangsdaten (Benutzername und Passwort) eingeben. Diese erhalten Sie von Ihrem Internet Service Provider (ISP).

Internetsicherheit durch Filterung. Sie können „Globale Filtereinstellungen“ aktivieren, indem Sie die Firewall im Stealth-Modus einstellen, den NETBIOS-Filter aktivieren bzw. den Teredo-Filter sowie den WPAD-Filter aktivieren.

Einstellen der WLAN-Sicherheit

WLAN-Sicherheit einstellen und bestmögliche Verschlüsselung aktivieren. Sie können im Abschnitt „WLAN“ > „Sicherheit“ im Reiter „Verschlüsselung“ ein ausreichend sicheres WLAN-Passwort definieren und das WLAN mittels WPA2 (CCMP) schützen. Auch ist es empfehlenswert die PMF-Funktion zur „Unterstützung für geschützte Anmeldungen von WLAN-Geräten (PMF) aktivieren“. Schränken Sie weitere Einstellungen soweit wie möglich ein (z.B. folgendes deaktivieren: „Die unten angezeigten aktiven WLAN-Geräte dürfen untereinander kommunizieren“).

WLAN-Zugriff beschränken. Im gleichen Abschnitt zur WLAN-Sicherheit haben Sie die Möglichkeit den Zugriff auf Ihr WLAN mittels MAC-Adressfilterung einzuschränken. Zu diesem Zweck benötigen Sie alle Geräte, die in das WLAN integriert werden dürfen und tragen deren MAC-Adressen mittels „WLAN-Gerät hinzufügen“ ein.

WPS deaktivieren. Wenn Sie beispielsweise ein sogenanntes Mesh-Netzwerk aufbauen wollen, indem Sie einen WLAN-Repeater mit Ihrer Fritz!Box verbinden, können Sie dies mittels WPS durchführen. Dieses Verfahren ist zwar sehr zeitsparend und einfach, birgt jedoch auch ein erhöhtes Sicherheitsrisiko während es aktiv ist. Deaktivieren Sie daher die WPS-Funktion sofort nachdem alle notwendigen WLAN-Repeater in Ihr Mesh-Netzwerk eingebunden sind, um diese Sicherheitslücke ohne Verzögerung zu schließen.

Feste IP-Adresse für Geräte vergeben. Sie können im Bereich „Heimnetz“ > „Netzwerk“ im Reiter „Netzwerkverbindungen“ die Funktion „Diesem Netzwerkgerät immer die gleiche IPv4-Adresse zuweisen“ auswählen. Möglich ist das, indem Sie beim jeweiligen Gerät (z.B.: PC, Mac, Smartphone, Tablet) mittels „Bearbeiten“ unter dem Gerätenamen die IPv4-Adresse manuell eintragen und die zuvor erwähnte Funktion markieren sowie dies mit „OK“ bestätigen.

Primäres WLAN selbst nützen sonst Gastzugang. Verwenden Sie Ihr primäres WLAN nur für sich selbst und die Menschen, denen Sie vertrauen (z.B.: eigene Familie, Partner bzw. Partnerin oder die Personen, welche auf die internen Netzwerkbestandteile Zugriff haben sollen). Darüber hinaus können Sie einen „Gastzugang“ aktivieren („WLAN“ >„Gastzugang“). Angemeldete Geräte haben in diesem Gastnetzwerk ausschließlich Internetzugang und sind von Ihrem primären Netzwerk isoliert. Achtung: Dabei ist es nicht zu empfehlen, einen öffentlichen Hotspot zu aktivieren. Achten Sie auch darauf, dass Ihr Gastzugang ein vergleichbares Sicherheitsniveau hat, wie Ihr primäres Netzwerk. Berücksichtigen Sie daher die hier beschriebenen Einstellungen für beide Netzwerksegmente.

Zeitschaltung aktivieren. Im Abschnitt „WLAN“ und „Zeitschaltung“ können Sie die Angriffsfläche zusätzlich reduzieren, indem Sie den Router nur dann aktivieren, wenn Sie Ihn benötigen. Üblicherweise benötigen Sie den Router nicht, wenn Sie schlafen oder wenn Sie bei der Arbeit bzw. etwa beim Sport sind. Die automatische Zeitschaltung hilft Ihnen dabei das „WLAN-Funknetz täglich abschalten“ zu können.

Generelle Sicherheitsvorkehrungen

Aktualisieren Sie die Firmware des Routers. Im Bereich „System“ > „Update“ können Sie den Reiter „Fritz!OS-Version“ auswählen und anschließend die Funktion „Neues FRITZ!OS suchen“. Darüber hinaus sind automatische Firmware-Aktualisierungen einstellbar. Dazu wählen Sie im gleichen Bereich den Reiter „Auto-Update“ aus und stellen die gewünschte Stufe aus. Unterschieden wird zwischen drei Stufen; Stufe III sorgt beispielsweise für automatische Updates der Firmware.

Sicherung der Einstellungen erstellen. Führen Sie eine Sicherung also ein „Backup“ der Einstellungen Ihres Routers durch und hinterlegen dieses an einem geeignet geschützten Ort. Mittels eines Kennworts lässt sich diese Datei schützen. Zu finden ist dies im Bereich „System“ > „Sicherung“ im Reiter „Sichern“.

Tastensperre aktivieren. Üblicherweise benötigen Sie die Tasten des Routers im Normalbetrieb quasi nie. Mit der Tastensperre verhindern Sie unzulässiges bedienen der Tasten und eventuell ein unerlaubtes Hinzufügen eines neuen Geräts (z.B.: wenn Sie vergessen WPS zu deaktivieren). Für eine spätere Ergänzung zusätzlicher Bausteine wie etwa Fritz!-Repeater können Sie die Tastensperre temporär wieder ausschlaten und nach erfolgter Einrichtung erneut wieder aktivieren. 

Infoblatt nicht weitergeben. Aus Komfortgründen können Sie die aktuellen WLAN-Einstellungen mittels eines Infoblatts sowie einem darauf aufgedruckten QR-Code beispielsweise durch Aufnahme eines Fotos direkt auf Ihr Smartphone oder ein anderes taugliches Gerät übernehmen. Das ist zweifelsfrei sehr komfortabel, aber ein Sicherheitsrisiko. Insbesondere wenn Sie dieses Infoblatt weitergeben handelt es sich um ein Sicherheitsrisiko. 

Tipp

WLAN-Schlüssel nur mit vertrauenswürdigen Personen teilen. Manche Smartphones ermöglichen das Teilen des WLAN-Schlüssels für die Fritz!Box (oder für andere Geräte) mit Kontakten, die sich in der Nähe befinden (z.B. via iOS oder Android). Einerseits ist dies über direkte Funkverbindungen wie beispielsweise Airdrop (z.B. iOS oder iPadOS) möglich. 

Zusammenfassung

Festhalten lässt sich, dass die Fritz!Box eine Mannigfaltigkeit an Sicherheitseinstellungen ermöglicht. Diese Einstellungen sind einfach durchzuführen und verbessern das Sicherheitsniveau schrittweise. Die Kombination aller angegebenen Sicherheitsmaßnahmen ermöglicht im Anwendungsbereich ein adäquates Sicherheitsniveau für die meisten Anwendungsfälle.

Letzte Aktualisierung: 22. Dezember 2022

Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria