Sicheres WLAN: So geht Router-Schutz 2025

Zugangsdaten jetzt ändern 

Bei den WLAN-Routern ist eine Verschlüsselung bereits voreingestellt. Das ist zwar bequem, doch die Zugangsdaten stehen zum einen auf der Unterseite des Geräts und zum anderen im Handbuch. Jeder, der sich in Deiner Wohnung befindet, kann die Zugangsdaten also leicht herausfinden. Daher ist es besser, das Passwort so schnell wie möglich zu ändern. 

Häufig verwenden Nachbarn ein ähnliches Routermodell oder sogar das gleiche. So ist zum Beispiel die Fritzbox sehr beliebt und weit verbreitet. Wenn Du das Passwort änderst, solltest Du bei dieser Gelegenheit daher auch den WLAN-Namen bzw. die SSID Deines Routers abändern. Damit sollte es unwahrscheinlicher sein, dass sich jemand versehentlich am falschen Router anmeldet. Unter „WLAN“, „Sicherheit“ und dann „Verschlüsselung“ findest Du zum Beispiel im Menü der Fritzbox die entsprechenden Einstellungen. Das Passwort trägst Du unter „WLAN-Netzwerkschlüssel“ ein. Dieses muss mindestens 20 Stellen aufweisen ebenso wie Klein- und Großbuchstaben sowie Ziffern. Umlaute sind nicht möglich ebenso wie einige Sonderzeichen wie etwa das Euro-Symbol. Achte zudem darauf, dass Dein Passwort nicht mit einem Leerzeichen beginnen darf. Das gilt auch für das Dollar-Sonderzeichen. 

Die optimale Verschlüsselung wählen 

Ein WLAN-Passwort ist erforderlich, damit der Router die Datenübertragung verschlüsseln kann. Wie diese Verschlüsselung genau erfolgt, richtet sich nach dem eingestellten Sicherheitsstandard. Mit WPA3 steht aktuell das sicherste Verfahren zur Verfügung. Besitzt Du einen Router mit Wi-Fi-6, hast Du Glück. Diese Geräte unterstützen WPA3. Auch ältere Wi-Fi-4/5-Router bieten WPA3 an, wenn der Hersteller eine entsprechende Aktualisierung anbietet. Doch die Clients müssen mit diesem Standard ebenfalls umgehen können. Und hier sind in den Heimnetzwerken noch viele ältere Geräte unterwegs, die mit WPA3 nichts anfangen können. Stellst Du in Deinem Router WPA3 ein, schlägt die Anmeldung mit solchen älteren Clients fehl. Du kommst damit nicht mehr ins Netzwerk. Du kannst aber neben WPA3 auch WPA2 aktivieren, um die Abwärtskompatibilität sicherzustellen. Das bieten alle Router an. Der Router befindet sich dann im sogenannten Transition Mode. 

Wenn Du die WLAN-Verschlüsselung ändern möchtest, begibst Du Dich in der Fritzbox in die Einstellungen für „WLAN“, „Sicherheit“ und dann „Verschlüsselung“. Hier kannst Du „WPA2 + WPA3“ auswählen, wobei es sich um die Transition-Option handelt. Ein exklusives WPA3 bietet AVM gar nicht an. Häufig musst Du hier aber nichts ändern, weil es sich dabei um die Werkseinstellung handelt. 

WPA2 ist anfällig für Attacken, die per Brute Force oder mithilfe von Wörterbüchern durchgeführt werden. Wenn Du Dich für den Mischmodus aus WPA2 und WPA3 entscheidest, solltest Du daher unbedingt ein sicheres Passwort vergeben. Bei WPA3 hingegen ist es unwahrscheinlich, dass Hacker per Brute Force durchdringen, weil hier erweiterte Schutzmechanismen vorhanden sind. 

Zu den älteren Optionen für die Verschlüsselung gehört WPAPSK (TKIP). Dieses Verfahren ist auf keinen Fall mehr ausreichend. Das Sicherheitsniveau ist viel zu gering. Hier stellt ein LAN-Kabel für die Verbindung die bessere Alternative dar, wenn das Gerät keinen besseren Standard unterstützt. Ins WLAN solltest Du solche Heimnetzgeräte nicht mehr integrieren. 

Worum handelt es sich bei WPA3/WPA2-Enterprise? Diese Option ist speziell für Unternehmen vorgesehen, bei denen der WLAN-Zugriff ein Benutzerkonto erfordert. Die richtige Wahl für Privatanwender ist hingegen WPA3/WPA2-PSK. Hier genügt ein Passwort. Und das ist im Heimnetzwerk einfacher umzusetzen und für die Nutzer komfortabler. Es reicht dann aber aus, Kenntnis von diesem Passwort zu haben, um sich im Heimnetz anmelden zu können. Wenn Du das vermeiden möchtest, kannst Du wie in Schritt 4 beschrieben einen Gastzugang für das WLAN einrichten. 

Menü-Passwort ändern 

Neben dem WLAN kannst Du mit den richtigen Einstellungen im Router Dein komplettes Heimnetz absichern. Dazu musst Du nur die passende Konfiguration kennen. Sorge dafür, dass keine Unbefugten Zugriff auf Dein Netzwerk erhalten. Denn das ist nicht nur in Hinblick auf Hacker relevant. Kinder könnten auch daran interessiert sein, wen sie zum Beispiel zeitlich unbegrenzt Zugang zum Internet haben möchten. Das solltest Du unterbinden und die entsprechenden Vorkehrungen treffen. 

Es ist also wichtig, für das Menü ein Passwort einzurichten, das sich nicht so leicht erraten lässt. Auf keinen Fall solltest Du das Passwort weiterverwenden, das der Hersteller vergeben hat. Dieses findest Du aufgedruckt auf der Unterseite des Routergehäuses. Wie oben erwähnt, ist es zu leicht, an diesen Aufkleber mit dem Passwort zu gelangen. Weiterhin ist für den Zugang zum Menü ein Benutzername erforderlich. Ein Benutzername wie „admin“ bietet hier keine ausreichende Sicherheit. Häufig ist aber genau dieser Benutzername voreingestellt. Viele Hersteller wie Asus oder AVM ermöglichen es, auch diesen Benutzernamen zu ändern. 

Gastzugang für WLAN einrichten 

Wenn Du zu Hause Besucher hast und diesen den Zugang zum Internet ermöglichen möchtest, benötigst Du unbedingt einen Gastzugang für das WLAN. Denn sonst müsstest Du Deine Gäste in das Heimnetz lassen. Das ist wegen der hier gespeicherten persönlichen Daten zum Beispiel auf einem NAS keine gute Idee. Zum Glück ermöglichen es heute praktisch alle Router, einen Zugang speziell für Besucher einzurichten. Die Gäste bewegen sich dann in diesem eigens aufgebauten Besucher-WLAN und gelangen gar nicht mehr ins Heimnetz. Das ist prinzipiell sehr sicher. 

Für das Besucher-WLAN legst Du eine eigene SSID bzw. einen Netzwerknamen fest, der von Deinem Heimnetz abweicht. Die Verschlüsselung sollte per WPA2/WPA3 erfolgen. Es versteht sich von selbst, dass Du hier ein neues Passwort festlegst. Besonders praktisch: Einige Router ermöglichen das Ausdrucken der Zugangsdaten als QR-Code. Das ist bequem, weil sich Deine Besucher über ihr Smartphone einwählen können. 

Mit einem solchen Gast-WLAN sind die Netzwerke für Besucher und die Heimanwendungen logisch voneinander getrennt. Trotzdem sind Übertragungen zwischen den Netzen möglich. Viele Router ermöglichen es, die Trennung vorübergehend abzuschalten, damit Dein Gast zum Beispiel Fotos von seinem Mobilgerät auf deinen Fernseher spielen kann. Solche Nutzungen sind also weiterhin möglich. 

Du bist Dir nicht sicher, ob die logische Trennung der Netzwerke wirklich funktioniert? Melde Dich einfach mit deinem Smartphone im Besucher-WLAN an und versuche, ins Routermenü zu gelangen. Alternativ kannst Du auch ausprobieren, auf ein NAS zuzugreifen. Wenn das nicht gelingt, ist alles korrekt eingerichtet. Solltest Du das Gast-WLAN nicht mehr benötigen, schaltest Du es einfach ab. 

WLAN-Sicherheit: Wi-Fi 7 bringt einige Änderungen mit sich 

Die gute Nachricht vorweg: Auch Wi-Fi 7 ist als neuer WLAN-Standard wieder abwärtskompatibel. Das bedeutet, dass sich auch ältere Clients verbinden können, die lediglich Wi-Fi 4/5/6 unterstützen. Eine Kommunikation mit dem neuen Wi-Fi-7-Router ist also möglich. 

Ähnliches gilt für den WLAN-Schutz. Wi-Fi 7 unterstützt WPA2 in Verbindung mit WPA3, das bereits seit Wi-Fi 6 verfügbar ist. Allerdings funktioniert das nur, wenn Du eine Verbindung mit 2,4 oder 5 GHz verwendest. Anders sieht es bei einer Frequenz von 6 GHz aus. In diesem Fall ist WPA3 zwingend vorausgesetzt. Eine entsprechende Standardisierung wurde mit Wi-Fi 6E eingeführt und ist damit bereits schon etwas älter. Seitdem ist nämlich eine Frequenz von 6 GHz erstmals wählbar. 

Probleme sollten sich dadurch in der Praxis allerdings nicht ergeben. Denn ältere Clients mit Wi-Fi 4/5 unterstützen 6 GHz ohnehin nicht und können daher auch nicht auf dieser Frequenz kommunizieren. Umgekehrt gilt, dass alle Clients, die das können, auch WPA3 unterstützen. 

Kompatibilitätsprobleme sind bei älteren WLAN-Geräten aber dennoch nicht auszuschließen. So hat zum Beispiel AVM aus Sicherheitsgründen das alte Verschlüsselungsverfahren WPA-PSK(TKIP) aus seinen Routern mit Wi-Fi 6/7 verbannt. Diese Methode gilt endgültig als veraltet. Das bedeutet aber, dass sich sehr alte Clients nicht mehr an einer neuen Fritzbox anmelden können. Das solltest Du vor einer Neuanschaffung des Routers prüfen. Ohnehin ist es besser, auf veraltete WLAN-Geräte zu verzichten. Sie stellen eine Gefahr für die Sicherheit deines Netzwerks dar. Eventuell musst Du also auch die Clients austauschen. 

Aktivierung der Benachrichtigungen 
Für den Nutzer ist es nicht immer direkt ersichtlich, welche Clients mit dem WLAN verbunden sind. Diese Information ist allerdings im Router selbst jederzeit vorhanden und Du kannst sie bei Bedarf abfragen. So kannst Du in vielen Routern zum Beispiel eine E-Mail-Benachrichtigung aktivieren. Meldet sich ein unbekanntes Gerät zum ersten Mal bei Deinem WLAN an, erhältst Du eine entsprechende Mitteilung. Auf diese Weise bleibt Dir keine Aktivität verborgen. Es ist also sinnvoll, diese Funktion zu aktivieren. 

Die Benachrichtigungen aktivierst Du in der Fritzbox unter „System“, „Push“ und dann „Service“. Hier findest Du den Punkt „Absender“, wo Du ein E-Mail-Konto mit Zugangsdaten eintragen kannst. An diese Adresse verschickt der Router dann die Push-Nachrichten. Unter „Push Services“ solltest Du auch noch die „Änderungsnotiz“ aktivieren. Denn erhältst Du eine Meldung, wenn sich ein neuer Client anmeldet. 

Menü erfordert auch eine Verschlüsselung 

Rufe das Menü des Routers sicherheitshalber nur über eine mit SSL verschlüsselte Adresse auf. Hierbei handelt es sich dann entsprechend um eine HTTPS-Adresse. Statt http://fritz.box solltest Du also zum Beispiel bei einer Fritzbox https://fritz.box eingeben. Das Problem bei normalen HTTP-Adressen besteht in der unverschlüsselten Übertragung der Anmeldedaten. Dieses Risiko solltest Du nicht eingehen. 

Im Browser musst Du eine Sicherheitsausnahme hinzufügen, wenn Du zum ersten Mal eine HTTPS-Seite aufrufst. Der Browser kennt nämlich das SSL-Zertifikat Deines Routers noch nicht. Sollte der HTTPS-Zugriff nicht funktionieren, musst Du diesen eventuell im Menü des Routers erst noch aktivieren. 

WPS besser deaktivieren 

Bei WPS handelt es sich vor allem um eine Komfort-Funktion. Damit lässt sich jedes Gerät per Knopfdruck mit dem Router verbinden und das sogar verschlüsselt. Zeitaufwendiger hingegen ist es, wenn Du das Passwort per Hand eintragen musst. Auf WPS zu verzichten, kostet also Zeit und ist auch anfällig für Tippfehler. 

Das Problem besteht jedoch darin, dass im Prinzip jeder WPS nutzen kann, um heimlich Zugang zum WLAN zu erhalten. Dafür steht WPS sogar dann zur Verfügung, wenn Du das Passwort für Dein WLAN geändert haben solltest. Wenn Du hier kein Risiko eingehen möchtest, solltest Du WPS besser umgehend deaktivieren. Das nimmst du in der Fritzbox unter „WLAN“, „Sicherheit“ und „WPS-Schnellverbindung“ vor. Hier entfernst Du den Haken vor „Push-Button-Methode aktiv“. Aktiviere die Funktion bei Bedarf temporär wieder, um einen Client per WPS zu verbinden. 

WLAN-Reichweite verringern 

Die Sicherheit des WLANs hängt auch von dessen Reichweite ab. Ein Hacker kann nur dann einen Angriff starten, wenn ihn die Funkwellen auch erreichen. Es lohnt sich daher, die WLAN-Reichweite zu betrachten und diese eventuell zu verringern. Den optimalen Punkt hast Du getroffen, wenn das WLAN gerade noch bis zur Grenze der Wohnung reicht und sich außerhalb nicht mehr empfangen lässt. Auf der anderen Seite möchtest Du natürlich eine möglichst hohe Verbindungsqualität im WLAN genießen. Zu weit solltest Du die Reichweite also nicht reduzieren. Da jedes WLAN andere Funkbedingungen aufweist, hilft nur zu experimentieren. 

Die Option „Funkkanal-Einstellungen anpassen“ findest Du im Menü der Fritzbox unter „WLAN“ und dann „Funkkanal“. Du kannst hier zum Beispiel mit einem Wert von 50 Prozent für die Sendeleistung starten. Ergeben sich in der Wohnung an keiner Stelle Verbindungsprobleme, kannst Du diesen Wert beibehalten. Sollten die Angreifer professionelle Ausrüstung wie etwa Richtfunkantennen nutzen, hilft allerdings selbst die Reduktion der Sendeleistung nichts. 

Fritzbox: Vorkonfiguriertes Benutzerkonto abschalten 

AVM stellt seine Router ab Werk so ein, dass hier ein Standardbenutzerkonto bereits aktiviert ist. Das dazugehörige Passwort findest Du auf einem Sticker auf der Unterseite des Routergehäuses. Sicher ist die Verwendung dieses Kontos aber nicht, weshalb Du es lieber abschalten solltest. Die Anmeldung mit Benutzername und Kennwort ist der bessere Weg. 

Unter „System“, „Fritbox-Benutzer“ und dann „Benutzer“ kannst Du ein neues Benutzerkonto einrichten. Dazu klickst du auf „Benutzer hinzufügen“. Du kannst dann den gewünschten Benutzernamen festlegen und ein Kennwort vergeben. Letzteres muss mindestens zehnstellig sein und Klein- und Großbuchstaben sowie Ziffern aufweisen. Die Fritzbox zeigt Dir direkt die Kennwortqualität an. Schreibe Dir die Zugangsdaten am besten auf. Das Standardkonto, das sich aus dem Namen „fritz“ gefolgt von vier Ziffern zusammensetzt, solltest Du in jedem Fall abschalten. 

Abgesehen von „VPN“ und „Zugang aus dem Internet erlaubt“ solltest Du vor allen Berichtigungen für dieses Konto einen Haken setzen. Den Lese- und Schreibzugriff für den „Zugang zu den NAS-Inhalten“ kannst Du auf „alle an der Fritzbox verfügbaren Speicher“ belassen. 

Den neuen Benutzer speicherst Du, indem Du auf „Übernehmen“ klickst. In der Liste mit allen Fritzbox-Benutzern solltest Du jetzt den neuen Eintrag sehen können. Vor „Liste der Benutzernamen bei Anmeldung im Heimnetz anzeigen“ solltest Du noch den Haken entfernen. Diesen Eintrag findest Du ganz unten. Danach kannst Du durch einen Klick auf „Übernehmen“ die Änderungen bestätigen. 

Oben rechts im Fenster siehst Du eine Schaltfläche mit drei Punkten. Darüber kannst Du Dich aus dem Menü der Fritzbox abmelden. Eventuell kann es erforderlich sein, dass Du die Seite durch einen Klick auf die Taste „F5“ neu laden musst. Jetzt kannst Du Dich mit Deinem neu eingerichteten Benutzernamen und dem dazugehörigen Passwort noch einmal anmelden. 

Unter „System“, „Fritzbox-Benutzer“ und „Benutzer“ solltest Du neben dem Eintrag für den werksseitig eingerichteten Benutzer noch einmal auf „Bearbeiten“ gehen. Hier kannst Du den Haken vor „Benutzerkonto aktiv“ entfernen. Auch diesen Vorgang musst Du mit einem Klick auf „Übernehmen“ bestätigen. Mit dieser Maßnahme schaltest Du das Standardkonto ab und leistest viel für die Verbesserung der Sicherheit Deines WLANs. Jetzt kann niemand mehr auf Dein Heimnetz zugreifen, nur weil er das Kennwort auf der Unterseite des Routers ausgelesen hat. Melde Dich von nun an nur noch mit dem neu eingerichteten Benutzer an. 

SSID verstecken 

Wenn Du den Namen deines WLANs einfach verstecken möchtest, gibt es auch dafür eine Möglichkeit. Fast alle Router bieten eine passende Einstellung an. Verstecken bedeutet in diesem Zusammenhang, dass der Router seine SSID nicht mehr aussendet. Dadurch fällt es einem Client schwer, sich an diesem WLAN anzumelden. 

Über „WLAN“ und dann „Funknetz“ kannst Du eine solche Einstellung zum Beispiel in der Fritzbox vornehmen. Scrolle ganz nach unten. Auf der rechten Seite findest Du die Option „Name des WLAN-Funknetzes verstecken“, die Du jetzt aktivieren solltest. 

Sollte sich ein bestimmter Windows-Rechner bisher noch nicht mit deinem WLAN verbunden haben, zeigt dieser die WLAN-SSID unter „Verfügbare Netzwerke“ nicht an. Stattdessen erscheint hier nur „Ausgeblendetes Netzwerk“. Neben dem Passwort muss der Client also auch Kenntnis von der SSID haben, was die Anmeldung deutlich erschwert. Das Verstecken der SSID ist daher eine einfache aber effektive Sicherheitsmaßnahme. Leider existiert mit „aircrack-ng“ eine Tool-Suite, mit der sich eine verborgene SSID trotzdem herausfinden lässt. Perfekt ist dieser Schutz also auf keinen Fall. 

MAC-Filter schützt den Zugang 

Der Router verfügt über einen MAC-Filter, über den sich die Zugangsberichtigung für verschiedene Clients steuern lässt. Nur wenn der Router den Client kennt, lässt er ihn ins Netzwerk. Die Identifikation der Clients erfolgt anhand der MAC-Adresse. Deren Speicherung erfolgt bei der ersten Anmeldung, die MAC-Adresse ist eindeutig. 

Was bedeutet es also, einen solchen MAC-Filter zu aktivieren? Es können sich dann nur noch bekannte Geräte anmelden. Die Anmeldung verweigert der Router selbst dann, wenn ein unbekanntes Gerät sich mit den korrekten Zugangsdaten anmelden möchte. Trotzdem solltest Du die Schutzwirkung dieser Maßnahmen nicht überschätzen. Denn per MAC-Spoofing-Attacke können sich Hacker eventuell trotzdem Zugang verschaffen. Möchtest Du ein neues Gerät in Dein WLAN aufnehmen, musst Du den Filter ausschalten und danach wieder einschalten. Das verursacht zusätzlichen Aufwand. Erschwerend kommt hinzu, dass Geräte wie etwa das iPhone ihre MAC-Adresse häufig wechseln. Das erfolgt aus Datenschutzgründen. Der MAC-Filter bietet also eher einen mäßigen Schutz und verringert den Komfort. Du musst daher überlegen, ob Du diesen optionalen Schutz nutzen möchtest oder die übrigen Maßnahmen ausreichend für dich sind.