Router absichern 2026: Die wichtigsten Einstellungen

Der Router ist das Eingangstor ins Heimnetz - und das schwächste Glied, wenn er nicht richtig konfiguriert ist. Standardpasswort, aktiviertes WPS, veraltete Firmware und offene Ports sind die Einfallstore die Angreifer systematisch ausnutzen. Was nach jeder Router-Einrichtung sofort geändert werden muss.

Die häufigsten Sicherheitslücken

Standard-Passwort auf Router-Aufkleber - haufigste Sicherheitslücke
Das aufgedruckte Standardpasswort ist das größte Einfallstor

Aus eigener Erfahrung mit Kundenprojekten ist die Liste der Schwächstellen kurz und immer dieselbe: Standardpasswort nie geändert, Firmware seit Jahren nicht aktualisiert, offene Ports die niemand mehr braucht. Das ist kein Einzelfall - das ist die Regel.

Das Factsheet des Cybersicherheitszentrums Baden-Wurttemberg bestätigt: Standard-Adminpassworter und schwache WLAN-Schlüssel bleiben eine der größten Schwächstellen. Viele Router werden mit "admin/admin" oder dem aufgedruckten Default-Passwort betrieben - das ist für Angreifer der erste Versuch.

Dazu kommen veraltete Firmware mit ungepatchten Lücken, unsichere WLAN-Verschlüsselung (WEP ist seit Jahren geknackt, WPA/TKIP kaum besser), schlecht implementiertes WPS und unnoetige Dienste wie UPnP, die unbemerkt Ports nach aussen öffnen konnen.

Kurz gefasst: Die funf häufigsten Schwächstellen sind immer dieselben: Standardpasswort, alte Firmware, schwache WLAN-Verschlüsselung, aktives WPS und unkontrolliertes UPnP.

Wie Router angegriffen werden

Beim DNS-Hijacking ändern Angreifer die DNS-Server-Einstellungen im Router. Alle Geräte im Netzwerk fragen dann einen bösartigen DNS-Server an und landen bei Phishing-Seiten oder Malware-Domains, auch wenn sie die richtige URL eintippen. Die geänderten DNS-Einstellungen lassen sich im Router-Menü erkennen, fallen aber den meisten Nutzern nie auf. Fortinet erklärt den Ablauf solcher Angriffe detailliert.

Das KadNap-Botnet hat weltweit mindestens 14.000 Heimrouter kompromittiert - vor allem Asus-Geräte mit veralteter Firmware. Kompromittierte Router werden als "Residential Proxies" für kriminellen Traffic missbraucht: DDoS-Angriffe, Credential-Stuffing, Malware-Verteilung. Der Nutzer merkt davon meist nichts, außer dass die Internetverbindung gelegentlich langsamer wird.

Das FBI hat 2025 explizit vor veralteten WLAN-Routern ohne Sicherheitsupdates gewarnt: Cyberkriminelle greifen gezielt solche Geräte an, um Schadsoftware einzuschleusen und sie in Botnetze einzubinden.

Kurz gefasst: DNS-Hijacking leitet alle Netzwerkgeräte auf Phishing-Seiten um. Botnet-Einbindung missbraucht den Router für kriminellen Traffic. Beides läuft unbemerkt im Hintergrund.

Vier gefährliche Irrtümer

"Mein Router ist sicher, weil er neu ist." Neue Router kommen oft mit Standardpasswörtern, aktiviertem WPS und unnützen Diensten vorkonfiguriert. Ohne Anpassung bleibt die Angriffsfläche groß. Ein neuer Router ist kein sicherer Router.

"NAT schutzt mich ausreichend." NAT und die integrierte Stateful-Firewall blockieren viele eingehende Verbindungen. Sie schutzen aber nicht gegen Schwächstellen in der Router-Firmware selbst, nicht gegen Malware auf internen Geräten die nach aussen kommuniziert, und nicht gegen manipulierte DNS-Einstellungen.

"WPS ist nur eine Komfortfunktion, aber harmlos." Das Security Insider erklärt: Schlecht implementiertes WPS - besonders das PIN-Verfahren - kann Angreifern ermöglichen, den WLAN-Schlüssel im Klartext zu erhalten und WPA2 oder WPA3 damit vollständig auszuhebeln.

"Provider-Router sind automatisch sicher konfiguriert." Auch Provider-Geräte brauchen regelmäßige Firmware-Updates, Passwortänderungen und das Deaktivieren unnützer Funktionen. Viele Haushalte nutzen denselben Router 10 Jahre und länger - ohne eine einzige Einstellung je überprüft zu haben.

Kurz gefasst: Neu ist nicht gleich sicher. NAT ist kein vollständiger Schutz. WPS ist ein Risiko. Provider-Router sind nicht automatisch richtig konfiguriert.

Router absichern: Schritt für Schritt

Router-Adminoberfläche auf Laptop - Einstellungen absichern
Die meisten Einstellungen sind in wenigen Minuten erledigt

Das IT-Daily-Leitfaden und die BSI-nahen Empfehlungen des Cybersicherheitszentrums BW kommen zur gleichen Prioritätenliste:

  1. Admin-Passwort sofort ändern. Um ins Adminmenü zu kommen, geben Sie die IP-Adresse Ihres Routers im Browser ein. FRITZ!Box-Nutzer erreichen es unter fritz.box oder 192.168.178.1, TP-Link und ASUS-Router meist unter 192.168.1.1, Huawei und ZTE unter 192.168.0.1. Langes, einzigartiges Passwort setzen. Zugriff nur aus dem lokalen Netz erlauben.
  2. WLAN-Verschlüsselung prüfen. WPA2-PSK oder WPA3-PSK aktivieren, WEP und WPA/TKIP deaktivieren. SSID umbenennen sodass Hersteller und Modell nicht erkennbar sind. Starkes WLAN-Passwort mit mindestens 20 Zeichen.
  3. WPS deaktivieren. Nach dem Koppeln aller Geräte WPS vollständig deaktivieren. Wenn WPS benotigt wird: nur Push-Button erlauben, PIN-Verfahren deaktivieren.
  4. UPnP und unnoetige Dienste abschalten. UPnP deaktivieren wenn nicht zwingend benotigt. Fernzugriff und Medienserver nur aktivieren wenn wirklich gebraucht.
  5. Firmware aktualisieren. Firmwareversion prüfen, direkt aktualisieren und automatische Updates einschalten.
  6. Gäste-WLAN für IoT-Geräte einrichten. Smart-Home-Geräte, Mähroboter und Kameras in ein getrenntes Netzwerk - nicht ins Hauptnetz mit PCs und NAS-Systemen.
Kurz gefasst: Admin-Passwort ändern, WPA2/WPA3 aktivieren, WPS abschalten, UPnP deaktivieren, Firmware aktualisieren, Gäste-WLAN einrichten. Sechs Maßnahmen, 15 Minuten Aufwand.

FRITZ!Box vs. andere Router

AVM versorgt seine Geräte in der Regel über viele Jahre mit Sicherheitsupdates. Das FRITZ!OS wird regelmäßig gepflegt - ein Unterschied der bei Billigroutern ohne definierten Update-Support nicht selbstverständlich ist.

Aber auch bei FRITZ!Box-Modellen gibt es End-of-Life-Modelle die keine Updates mehr erhalten. Wer eine ältere FRITZ!Box betreibt, sollte prüfen ob das Modell noch mit FRITZ!OS versorgt wird.

Grundsätzlich gilt: Ein Hersteller mit langem Update-Support ist einem No-Name-Router mit unklaren Update-Zeiträumen vorzuziehen - unabhängig vom Preis.

Kurz gefasst: FRITZ!Box hat langen Update-Support - aber auch dort gibt es abgekündigte Modelle. Update-Policy des Herstellers vor dem Kauf prüfen. No-Name-Router ohne klar definierten Support-Zeitraum meiden.

Wann muss der Router ersetzt werden?

Sobald der Hersteller keine Sicherheitsupdates mehr liefert, ist der Router ein Sicherheitsrisiko. Viele Haushalte nutzen denselben Router über 10 Jahre, ohne je einen Patch eingespielt zu bekommen.

Weitere Austausch-Gründe: kein WPA3-Support, kein Gäste-WLAN, keine HTTPS-Adminoberfläche, häufige Abstürze oder unerklärliche Performance-Einbruche. Letztere konnen auf eine Kompromittierung hinweisen - besonders wenn unbekannte DNS-Server im Menü auftauchen oder Portfreigaben erscheinen die niemand eingerichtet hat.

Das FBI hat 2025 explizit vor veralteten Routern gewarnt, die aktiv in Botnetzen missbraucht werden. Wer ein Gerät betreibt das seit Jahren keine Firmware-Updates mehr bekommen hat, sollte einen Austausch ernsthaft in Betracht ziehen.

Kurz gefasst: Kein Sicherheitsupdate mehr = Router ersetzen. Auch fehlende WPA3-Unterstützung, kein Gäste-WLAN und unerklärliche DNS-Einstellungen sind Austauschindikatoren.

Häufige Fragen zur Router-Sicherheit

Was muss ich nach der Router-Einrichtung sofort ändern?

Sechs Punkte haben Priorität: Admin-Passwort ändern, WLAN auf WPA2 oder WPA3 setzen, WPS deaktivieren, UPnP abschalten, Firmware aktualisieren und Gäste-WLAN für IoT-Geräte einrichten. In 15 Minuten erledigt.

Wann sollte ich meinen Router ersetzen?

Sobald der Hersteller keine Sicherheitsupdates mehr liefert. Das FBI warnt explizit vor solchen Geräten die aktiv in Botnetzen missbraucht werden. Auch fehlende WPA3-Unterstützung und kein Gäste-WLAN sind Grunde für einen Wechsel.

Ist mein Router sicher wenn er neu ist?

Nein. Neue Router kommen oft mit Standardpasswörtern, aktiviertem WPS und unnützen Diensten vorkonfiguriert. Die Konfiguration nach der Einrichtung ist genauso wichtig wie die Gerätewahl.

Wie erkenne ich ob mein Router kompromittiert wurde?

Typische Anzeichen: unbekannte DNS-Server-Eintrage im Router-Menü, Portfreigaben die niemand eingerichtet hat, unerklarlich langsame Internetverbindung. Im Zweifel: Router auf Werkseinstellungen zurücksetzen, neu konfigurieren und alle Passwörter im Netzwerk ändern.

Was ist der Unterschied zwischen WLAN-Passwort und Admin-Passwort?

Das WLAN-Passwort verbindet Geräte mit dem WLAN. Das Admin-Passwort schutzt die Konfigurationsoberflache des Routers selbst. Beides muss mit einem eigenen starken Passwort geschutzt werden.

Fazit

Der Router ist das Herzstück des Heimnetzes - und das am häufigsten vernachlassigte Gerät. Standardpasswort, alte Firmware, aktives WPS: Das sind die Schwächstellen die Botnets wie KadNap täglich ausnutzen, um Tausende Heimrouter zu übernehmen.

Fünfzehn Minuten in der Router-Oberfläche reichen aus, um die gröbsten Einfallstore zu schließen. Admin-Passwort ändern, WPA3 aktivieren, WPS abschalten, UPnP deaktivieren, Firmware aktualisieren - und Gäste-WLAN einrichten. Das ist kein Hexenwerk, aber es macht den entscheidenden Unterschied.

Gut gesicherter Router gesucht? Drei Empfehlungen

AVM FRITZ!Box 7530 AX DSL-Router weiss rot

AVM FRITZ!Box 7530 AX - Wi-Fi 6 DSL-Router

AVM liefert mit dem FRITZ!OS eine der verlässlichsten Update-Historien im Heimrouter-Segment - Sicherheitslücken werden konsequent geschlossen, automatische Updates laufen ohne Zutun im Hintergrund. Nutzer berichten seit Jahren von stabiler 5-GHz-Verbindung und problemlosem Betrieb.

Vorteile

  • 5 Jahre Garantie, regelmässige FRITZ!OS-Updates mit transparentem Changelog
  • WPA3, Gäste-WLAN, vollständige Konfiguration ohne App im Browser
  • DECT-Basis für bis zu 6 Schnurlostelefone integriert - kein Extra-Gerät nötig
  • 4.000+ Käufe pro Monat - meistgekaufter DSL-Router in DE

Nachteile

  • Nur für DSL-Anschlüsse - kein Glasfasermodem integriert
  • Kein Wi-Fi 7, keine Multi-Gig-Ports
Aktuellen Preis bei Amazon prüfen →
TP-Link Archer BE550 Wi-Fi 7 Router schwarz

TP-Link Archer BE550 - Wi-Fi 7 Router mit 5x 2,5G-Ports

Wer seinen Router absichert, sollte auch auf regelmässige Firmware-Updates setzen - der BE550 liefert automatische OTA-Updates und WPA3-Verschlüsselung. Die fünf 2,5-Gbit-Ports machen ihn zur soliden Basis für ein segmentiertes Heimnetz mit separatem IoT-Netz und Gastzugang.

Vorteile

  • 5x 2,5-Gbit-Ports - alle LAN-Anschlüsse Multi-Gig, nicht nur einer
  • WPA3, SPI-Firewall, separates IoT-Netzwerk und Gastnetz auf allen drei Bändern
  • VPN-Server und -Client integriert (WireGuard, OpenVPN, L2TP)
  • Wi-Fi 7 mit MLO - zukunftssicher für kommende Endgeräte
  • 3 Jahre Herstellergarantie, automatische Firmware-Updates

Nachteile

  • Nur 2x2 MIMO - auf Distanz schwächer als ältere 4x4-Router
  • Keine garantierte Update-Laufzeit in Jahren zugesichert
  • Erweiterte Sicherheitsfunktionen (HomeShield) kostenpflichtig per Abo
Aktuellen Preis bei Amazon prüfen →
GL.iNet GL-MT3000 Beryl AX Reise-Router grau

GL.iNet GL-MT3000 Beryl AX - Reise-Router mit VPN

Wer den vollen Überblick über seinen Netzwerkverkehr will, kommt am Beryl AX kaum vorbei - WireGuard und OpenVPN sind vorinstalliert, AdGuard Home als Werbeblocker lässt sich per Kippschalter aktivieren, und die OpenWrt-Basis erlaubt Eingriffe die bei Konsumer-Routern schlicht nicht möglich sind. Nutzer berichten von problemlosem Dauerbetrieb und regelmässigen Firmware-Updates.

Vorteile

  • WireGuard und OpenVPN vorinstalliert - kein Einrichten von Grund auf nötig
  • Kill-Switch per physischem Kippschalter - VPN-Ausfall blockiert sofort den Traffic
  • AdGuard Home integriert - DNS-basierter Werbeblocker für alle Geräte im Netz
  • OpenWrt-Basis mit über 5.000 Paketen - für Fortgeschrittene voll anpassbar

Nachteile

  • VPN-Einrichtung erfordert etwas Vorkenntnisse - kein Plug-and-play für Einsteiger
  • Nur für kleine Netze geeignet - kein DSL-Modem, kein Ersatz für den Hauptrouter
Aktuellen Preis bei Amazon prüfen →