Hacker dringen über Portweiterleitungen ins Heimnetz ein

Router sind ein beliebtes Einfallstor für Cyberkriminelle. Dies ist auch der Fall im aktuellen Beispiel des Bundesamts für Cybersicherheit (BACS, ehemals NCSC). Dabei drangen Hacker über den Router in das Netzwerk einer Privatperson ein, wie das BACS berichtet. Dies sei den Kriminellen gelungen, obwohl sich das Gerät im empfohlenen Router-Modus befunden habe.

Über die Portweiterleitung

Schlüssel zum "Erfolg" der Angreifer war laut BACS die Portweiterleitung, die je nach Gerät auch als "Port Forwarding" oder "Network Address Translation" (NAT) bezeichnet wird. Bei der Portweiterleitung werde ein einzelner Dienst, der von einem internen Gerät angeboten werde, gegen aussen verfügbar gemacht. Ein Beispiel dafür sei, wenn auf eine Heizungssteuerung oder Überwachungskamera von aussen zugegriffen werden müsse. Öffne man einen einzelnen Port sei nicht das ganze Netz, sondern nur der einzelne Dienst exponiert. Doch: Ist der Schutz mangelhaft, beispielsweise wegen eines schwachen Passworts oder einer technischen Schwachstelle, sind Hacker in der Lage, von aussen eindringen, wie das BACS schreibt. Wie ein Passwort nicht nur stark, sondern auch sicher ist, erfahren Sie übrigens hier. 

Im aktuellen Fall sei es Cyberkriminellen mit dieser Vorgehensweise den Router zu übernehmen und sich im Heimnetzwerk auszubreiten. So gelang es der Täterschaft Daten, darunter Familienfotos, im Netzwerk verschlüsseln, wie es weiter heisst. Die Cyberkriminellen hätten eine Lösegeldzahlung für die Entschlüsselung der Dateien verlangt, das Opfer sei auf diese Forderung jedoch nicht eingegangen und habe bei der Kantonspolizei Anzeige erstattet. 

Die Modi der Router

Ein Gerät, das sich im Router-Modus befinde, biete nur dann ausreichenden Schutz für das Heimnetz, wenn dieser mit aktuellen Sicherheits-Patches versehen sei und keine Portweiterleitungen konfiguriert seien. Ausserdem dürfe die Router-Administration nicht von aussen sichtbar sein. Die gängigen Geräte unterstützten die Deaktivierung und seien sich in der Regel schon im Auslieferungszustand korrekt konfiguriert. 

Befindet sich ein Router im Bridge-Modus, bedeutet dies laut BACS, dass keine Router-Funktionalität vorhanden ist. So würden sich die Geräte im Heimnetz direkt mit dem Internet verbinden und seien sämtlichen Angriffen aus dem Internet ausgeliefert. 

Tipps zum Schutz des Heimnetzwerks

• Updates und gute Passwörter: Führen Sie Updates durch und gebrauchen Sie keine einfache oder kurze Passwörter. Das BACS empfiehlt für exponierte Dienste mindestens 12-stellige Passwörter.
• Nicht alles im selben Netzwerk: Dienste, die gegen aussen sichtbar sind, sollten idealerweise nicht im selben Teil des Netzwerks (Netzwerksegment) stehen, wie die anderen Heimgeräte. Manche Heimrouter bieten diese Funktion unter dem Namen "Demilitarisierte Zone" (DMZ) an.
• Netzwerkzugriff beschränken: Schränken Sie den Zugriff auf, beispielsweise auf bestimmte Länder. Das nennt sich "Geofencing". Um das Durchprobieren von Passwörtern zu verhindern, ermöglichen einige Router auch, eine maximale Anzahl von Fehlversuchen zu definieren, nach welchen der Zugang gesperrt wird.
• VPN verwenden: Das BACS empfiehlt insbesondere die Verwendung eines VPNs (Virtual Private Network). Damit erhält man einen authentisierten und verschlüsselten Zugang ins heimische Netz, ohne Dienste direkt exponieren zu müssen.

Übrigens: Eine Sicherheitsschwachstelle bedroht Netzwerkgeräte von Cisco. Hacker können über die Lücke die Steuerung der Geräte übernehmen. Mehr dazu können Sie hier lesen.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.