Fremde Zugriffe auf dein WLAN können unbemerkt bleiben und deiner Sicherheit schaden. Oftmals sind die Anzeichen für einen gehackten Router subtil, doch es gibt klare Indikatoren, die du überprüfen kannst, um ungebetene Gäste zu identifizieren.
Erste Schritte zur Diagnose
Der erste Schritt zur Überprüfung deines Routers ist, dich im Admin-Bereich anzumelden. Dazu gib die IP-Adresse deines Routers in die Adresszeile deines Browsers ein. Diese ist häufig 192.168.1.1 oder 192.168.0.1, kann aber je nach Hersteller variieren. Hast du Zugriff? Gut, dann geht’s weiter.
Überprüfe die angeschlossenen Geräte. Viele Router zeigen dir in ihrem Admin-Bereich eine Liste der aktuell verbundenen Geräte an. Wenn du unbekannte Geräte siehst, solltest du das weiter untersuchen.
Mulitiplikation der Anzeichen
Neben unbekannten Geräten gibt es weitere Indikatoren, die auf einen gehackten Router hindeuten können:
- Ungewöhnliches Netzwerkverhalten: Hast du einen plötzlichen Rückgang der Internetgeschwindigkeit bemerkt? Das kann auf hohe Datenverbindungen durch fremde Geräte hindeuten.
- Regelmäßige Trennung deiner Geräte: Wenn deine Geräte immer wieder aus dem Netzwerk geworfen werden, könnte ein Hacker im Spiel sein.
- Änderungen deiner Einstellungen: Hast du Einstellungen in deinem Router, wie das Passwort oder die SSID, festgestellt, die du nicht verändert hast? Das ist ein sicheres Anzeichen.
Wie man ungebetene Gäste ausschließt
Um sich vor unautorisierten Zugriffen zu schützen, solltest du einige Maßnahmen ergreifen. Zuerst ist es wichtig, das Standardpasswort deines Routers zu ändern. Nutze ein sicheres, einzigartiges Passwort, das nicht leicht zu erraten ist.
Aktualisiere regelmäßig die Firmware deines Routers. Hersteller veröffentlichen Updates, um Sicherheitslücken zu schließen. Die meisten Router bieten die Möglichkeit, Updates automatisch durchzuführen.
Monitoring der Netzwerkaktivitäten
Möchtest du herausfinden, wer auf dein Netzwerk zugreift? Es gibt verschiedene Tools, wie z. B. Netzwerk-Scanner, die dir bei der Überwachung deiner Netzwerkaktivitäten helfen können. Programme wie Fing oder Angry IP Scanner können nützliche Einblicke bieten.
Handlungsanweisungen zur Sicherung des Routers
Um deinen Router abzusichern, befolge unbedingt die folgenden Schritte:
- Ändere das Standard-Passwort deines WLANs und des Routers.
- Aktiviere WPA3 oder WPA2-Verschlüsselung.
- Deaktiviere die WPS-Funktion, wenn du sie nicht benötigst.
- Überwache regelmäßig die Liste der verbundenen Geräte.
Praktische Beispiele für beobachtbare Anzeichen
Zeichen eines gehackten Routers
1. Ein Nutzer bemerkt, dass seine WLAN-Verbindung sporadisch abbricht. Nach einer Überprüfung erkennt er mehrere unbekannte Geräte im Netzwerk.
2. Ein Nutzer stellt fest, dass sein Internet langsamer geworden ist. Der Router zeigt eine hohe Bandbreitenauslastung, die auf unbekannte Geräten zurückzuführen ist.
3. Ein Nutzer findet, dass seine Router-Einstellungen zurückgesetzt wurden, ohne dass er dies selbst getan hat.
Gezielt prüfen, ob DNS- und Router-Einstellungen manipuliert wurden
Ein typischer Angriff setzt nicht bei den sichtbaren WLAN-Einstellungen an, sondern bei den Netzwerkparametern, die den Datenverkehr steuern. Besonders gefährdet sind die DNS-Optionen, weil sich damit Anfragen auf gefälschte Webseiten umleiten lassen, ohne dass es sofort auffällt. Wer den Verdacht auf eine Kompromittierung hat, sollte daher systematisch kontrollieren, ob sich Einträge im Router verändert haben.
Im Routermenü findet sich der relevante Bereich meist unter Einstellungen wie Netzwerk, Internet, Zugangsdaten oder WAN. Dort werden der Verbindungsmodus und die DNS-Server angegeben, die entweder automatisch vom Provider zugewiesen oder manuell eingetragen werden.
- Stimmen die DNS-Server mit den Angaben des Internetanbieters überein?
- Sind unbekannte IP-Adressen als primärer oder sekundärer DNS-Server eingetragen?
- Ist statt Automatik plötzlich eine manuelle DNS-Konfiguration aktiv?
Bei ungewöhnlichen Einträgen ist es sinnvoll, zunächst alle Werte zu notieren und anschließend zurückzusetzen. Viele Geräte bieten eine Option wie Werkseinstellungen laden oder Router auf Auslieferungszustand zurücksetzen, die sich unter System, Verwaltung oder Sicherung findet. Danach werden Zugangsdaten des Providers neu hinterlegt und die DNS-Konfiguration wieder auf automatisch gestellt oder auf vertrauenswürdige Server gesetzt.
Zusätzlich lohnt ein Blick in die Routing-Tabellen und statischen Routen, falls der Router diese anzeigt. Unerwartete Einträge, die unbekannte Netze oder Zieladressen enthalten, können ein Hinweis auf eine Manipulation sein, mit der ein Teil des Datenverkehrs umgeleitet wird. Wer diese Werte nicht einordnen kann, sollte sie deaktivieren oder nach Rücksprache mit dem Provider entfernen.
Nach einer Bereinigung empfiehlt sich ein Neustart des Geräts und ein weiterer Funktionstest: Webseiten von Banken, E-Mail-Anbietern und bekannten Diensten aufrufen und prüfen, ob Zertifikatswarnungen erscheinen oder Adressen in der Browserzeile anders aussehen als gewohnt. Treten solche Auffälligkeiten weiterhin auf, sollte zusätzlich die DNS-Konfiguration an den Endgeräten kontrolliert werden, um auszuschließen, dass dort feste Server eingetragen wurden.
Erweiterte Router-Protokolle auswerten und Angriffe eingrenzen
Viele Modelle bieten deutlich umfangreichere Protokolle, als die Benutzeroberfläche standardmäßig zeigt. Wer prüfen möchte, ob ein Router gehackt wurde, kann mit diesen Logfunktionen zeitliche Abläufe nachvollziehen und verdächtige Muster erkennen. Die Protokolle finden sich häufig in Bereichen wie System, Ereignisse, Diagnose oder Logbuch. Dort lassen sie sich meist filtern oder exportieren.
Typische Hinweise auf unbefugte Zugriffe in den Protokollen sind ungewöhnlich häufige Anmeldeversuche, wiederholte Fehlermeldungen beim Login oder Konfigurationsänderungen zu Zeiten, in denen niemand im Haushalt am Router gearbeitet hat. Wichtig ist, die Zeitstempel der Einträge mit dem eigenen Nutzungsverhalten zu vergleichen.
- Systemereignisprotokoll öffnen und nach Einträgen mit Login, Anmeldung oder Konfiguration suchen.
- Markieren, wann Zugangsdaten akzeptiert oder abgewiesen wurden.
- Besonders auf Anmeldungen von außen achten, die über Fernwartung, Remotezugang oder VPN erfolgen.
Bei vielen Routern lassen sich zusätzliche Protokollquellen aktivieren, etwa Firewall-Logs oder detaillierte WLAN-Ereignisse. Zu finden sind diese Optionen meist unter Sicherheit, Firewall oder Diagnose. Nach dem Aktivieren zeichnet das Gerät über einen längeren Zeitraum auf, ob ungewöhnlich viele Verbindungsversuche aus dem Internet eingehen oder ob sich einzelne Endgeräte ständig an- und abmelden.
Wer tiefer einsteigen möchte, kann Syslog nutzen. Einige Modelle erlauben das Weiterleiten der Logeinträge an einen Syslog-Server im eigenen Netzwerk. Auf einem Computer oder NAS läuft dann ein entsprechender Dienst, der diese Daten sammelt und komfortabel durchsuchen lässt. Auf diese Weise werden auch ältere Einträge erhalten, die im Router selbst schon gelöscht wurden.
Findet sich in den Protokollen ein Zeitraum, in dem Konfigurationen ohne eigenes Zutun geändert wurden, empfiehlt sich eine zweistufige Reaktion. Zuerst wird das Passwort für die Router-Verwaltung neu gesetzt und, falls vorhanden, die Zwei-Faktor-Authentifizierung aktiviert. Anschließend wird geprüft, welche Einstellungen betroffen sind: WLAN-Schlüssel, Portfreigaben, Fernzugriff oder DNS. Nur wenn die Änderungen vollständig bekannt und rückgängig gemacht wurden, besteht wieder ein verlässlicher Zustand.
Remotezugriffe, Portfreigaben und UPnP sicher gestalten
Neben dem WLAN-Schlüssel selbst sind es oft Zusatzfunktionen, die Angreifern Türen öffnen. Dazu gehören Fernwartungszugänge, freigegebene Ports und automatische Weiterleitungen per UPnP. Wer ausschließen möchte, dass der Router missbraucht wird, sollte diese Bereiche genauer prüfen und nur das aktiv lassen, was wirklich gebraucht wird.
Fernzugriffsfunktionen verstecken sich meist unter Bezeichnungen wie Remote Management, Fernwartung, Webzugriff aus dem Internet oder WAN-Administration. Ist so ein Zugang aktiv, lässt sich die Bedienoberfläche des Routers von außen erreichen. Das kann praktisch sein, wenn man unterwegs Einstellungen ändern möchte, vergrößert aber auch die Angriffsfläche erheblich.
- Im Menü für Verwaltung oder System nach Fernzugriff suchen.
- Optionen zum Webzugriff von außen deaktivieren, falls sie nicht zwingend benötigt werden.
- Falls ein Zugriff erhalten bleiben soll, einen ungewöhnlichen Port wählen und unbedingt ein starkes Kennwort verwenden.
Portfreigaben befinden sich je nach Gerät in Bereichen wie NAT, Port Forwarding, Freigaben oder Spiele und Anwendungen. Jede dieser Regeln leitet Daten aus dem Internet direkt an ein Gerät im Heimnetz weiter. Für einen sicheren Betrieb sollten nur die Ports freigegeben sein, die eine Anwendung wirklich braucht. Alte Einträge für nicht mehr genutzte Programme sollten möglichst gelöscht werden.
UPnP kann diese Freigaben automatisch anlegen, ohne dass der Benutzer jede Regel manuell einträgt. Das ist bequem, birgt aber Risiken, weil auch unsichere oder manipulierte Software auf dem Heimnetzgerät selbstständig Ports nach außen öffnen kann. Viele Sicherheitsexperten empfehlen deshalb, UPnP im Router zu deaktivieren und nur gezielte Portfreigaben zu nutzen.
Der Weg zu dieser Einstellung führt in der Regel über Menüs mit Namen wie Netzwerk, Erweiterte Einstellungen oder Sicherheit. Dort gibt es einen Schalter für UPnP. Ist dieser ausgeschaltet, müssen Anwendungen, die auf eingehende Verbindungen angewiesen sind, über feste Freigaben versorgt werden. Für Onlinespiele, Remote-Desktop-Lösungen oder Serverdienste im Heimnetz lohnt sich ein Blick in die jeweiligen Anleitungen, welche Ports tatsächlich erforderlich sind.
Wer nach dem Deaktivieren von UPnP und dem Bereinigen der Freigabeliste plötzlich wieder normale Verbindungen und weniger Auffälligkeiten beobachtet, hatte möglicherweise eine Hintertür geschlossen, die ein Angreifer ausnutzen konnte. In diesem Fall ist es zusätzlich sinnvoll, die betroffenen Endgeräte mit aktueller Sicherheitssoftware zu prüfen, weil die Portöffnungen in vielen Fällen von dort aus eingerichtet wurden.
Netzwerk gezielt härten und künftige Angriffe erschweren
Nachdem ein Angriff vermutet oder bereits nachgewiesen wurde, sollte das Netzwerk so eingerichtet werden, dass ähnliche Vorfälle deutlich schwerer gelingen. Dazu gehört nicht nur ein neuer WLAN-Schlüssel, sondern eine durchdachte Kombination aus Verschlüsselung, getrennten Netzen und restriktiven Zugriffsrechten.
Moderne Router beherrschen meist mehrere Sicherheitsstandards wie WPA2 und WPA3. In den WLAN-Einstellungen sollten ältere Varianten wie WEP und ungesicherte Gastnetze deaktiviert werden. Wo WPA3 verfügbar ist, bietet sich ein Mischmodus aus WPA2/WPA3 an, damit auch ältere Geräte weiterhin funktionieren, neue aber den höheren Schutz nutzen.
- Im Menü für Funknetz oder WLAN-Sicherheit nach der Verschlüsselungsart suchen.
- Nur noch WPA2 oder WPA2/WPA3 aktiv lassen.
- Einen langen, zufälligen Netzwerkschlüssel verwenden, der nicht mehrfach genutzt wird.
Viele Haushalte profitieren von getrennten Netzen. Ein Gast-WLAN eignet sich nicht nur für Besucher, sondern auch für smarte Geräte wie Steckdosen, Kameras oder Sprachassistenten. Werden diese in ein eigenes Netz verschoben, haben sie keinen direkten Zugriff mehr auf Computer, NAS oder sensible Daten. Die Option dafür findet sich meist unter Gastzugang, Gast-WLAN oder Zusatznetzwerk.
Darüber hinaus lohnt es sich, die Verwaltung des Routers selbst zu härten. Dazu zählt neben einem robusten Kennwort die Einschränkung, von welchen Schnittstellen die Konfiguration erreichbar ist. Bei vielen Geräten lässt sich einstellen, dass die Bedienoberfläche nur über LAN und nicht über WLAN oder nur aus bestimmten IP-Bereichen aufrufbar ist. Auch die Aktivierung von Anmeldebenachrichtigungen, sofern vorhanden, erhöht die Transparenz, weil bei jedem neuen Login ein Hinweis erscheint.
Zum Abschluss empfiehlt sich eine Dokumentation des neuen Sicherheitsniveaus. Die wichtigsten Punkte werden schriftlich festgehalten: Router-Modell und Firmwarestand, verwendete Verschlüsselungsart, vergebene WLAN-Namen, Gastnetz-Einstellungen, aktive Portfreigaben und besondere Regeln der Firewall. Diese Übersicht hilft später dabei, Änderungen besser zu beurteilen und Manipulationen schneller zu erkennen.
FAQ: Häufige Fragen zu gehackten Routern
Woran erkenne ich sicher, dass mein Router gehackt wurde?
Typische Hinweise sind geänderte WLAN-Namen, ein verändertes Routerpasswort, neue unbekannte Geräte in der Übersicht und Einstellungen, die Sie selbst nie gesetzt haben. Wenn zusätzlich Websites auf falsche Seiten umleiten oder der Router trotz Neustart ungewöhnlich langsam bleibt, liegt der Verdacht nahe, dass jemand die Kontrolle übernommen hat.
Wie prüfe ich, ob fremde Geräte in meinem WLAN sind?
Öffnen Sie das Routermenü, meist über Adressen wie 192.168.0.1 oder 192.168.178.1, und melden Sie sich mit Ihrem Kennwort an. Unter Punkten wie WLAN, Netzwerk, Heimnetz oder Geräteübersicht sehen Sie alle verbundenen Teilnehmer und können unbekannte Einträge identifizieren und sperren.
Was muss ich sofort tun, wenn ich einen Angriff vermute?
Trennen Sie den Router zuerst kurz vom Strom und bauen Sie anschließend die komplette Sicherungskette neu auf. Ändern Sie das Router-Admin-Passwort, setzen Sie neue WLAN-Schlüssel, prüfen Sie die Firmware-Version und deaktivieren Sie riskante Fernzugriffe oder Portfreigaben.
Reicht es, den Router auf Werkseinstellungen zurückzusetzen?
Ein Werksreset ist ein wichtiger Schritt, entfernt aber nur dann alle Manipulationen, wenn Sie danach nicht blind alte Konfigurations-Backups einspielen. Bauen Sie die Konfiguration besser frisch auf, vergeben Sie neue Zugangsdaten und aktivieren Sie die aktuell empfohlene Verschlüsselung wie WPA2 oder WPA3.
Wie kann ich verhindern, dass mein Router erneut gehackt wird?
Nutzen Sie ein starkes, einzigartiges Router-Admin-Passwort und einen hochwertigen WLAN-Schlüssel, der nicht mehrfach im Haushalt verwendet wird. Halten Sie die Firmware aktuell, deaktivieren Sie unnötige Fernzugänge und beschränken Sie WPS, Gastnetz und Portfreigaben auf wirklich notwendige Fälle.
Ist WPS ein Sicherheitsrisiko für mein WLAN?
Die WPS-Taste vereinfacht die Anmeldung, eröffnet aber auch eine zusätzliche Angriffsfläche, vor allem bei älteren Geräten. Deaktivieren Sie WPS im Routermenü, wenn Sie es nicht zwingend brauchen, und melden Sie Geräte lieber über den regulären WLAN-Schlüssel an.
Wie wichtig sind Firmware-Updates des Routers?
Updates schließen bekannte Sicherheitslücken und verbessern im Idealfall die Stabilität des Geräts. Prüfen Sie im Menü unter System, Update oder Firmware regelmäßig, ob eine neue Version bereitsteht, und aktivieren Sie automatische Aktualisierungen, wenn der Hersteller dies anbietet.
Sollte ich den Standard-Adminnamen des Routers ändern?
Viele Router nutzen voreingestellte Namen wie admin, die in Angriffsskripten bereits hinterlegt sind. Wenn Ihr Gerät es erlaubt, erhöhen Sie die Sicherheit, indem Sie den Admin-Benutzernamen anpassen und mit einem starken Passwort kombinieren.
Wie schütze ich besonders sensible Geräte im Heimnetz?
Trennen Sie wichtige Geräte wie NAS-Systeme, Smart-Home-Zentralen oder Arbeitsrechner über ein eigenes VLAN oder ein Gäste- beziehungsweise Zusatznetz vom restlichen WLAN, sofern Ihr Router dies beherrscht. Alternativ können Sie diese Geräte kabelgebunden anbinden und in den Freigaben strenge Zugriffsrechte setzen.
Kann ein gehackter Router auch meine Passwörter auslesen?
Ein Angreifer kann den Datenverkehr über manipulierte DNS-Einträge oder Weiterleitungen umlenken und so versuchen, an Zugangsdaten zu gelangen. Nutzen Sie daher, wo möglich, verschlüsselte Verbindungen mit HTTPS, aktivieren Sie Zwei-Faktor-Authentifizierung bei wichtigen Diensten und ändern Sie nach einem Angriff alle kritischen Online-Passwörter.
Wann sollte ich meinen Internetanbieter oder den Hersteller kontaktieren?
Wenn sich der Router trotz Werksreset und neuer Zugangsdaten weiterhin auffällig verhält oder Sie Einstellungsoptionen nicht verstehen, ist der Support eine sinnvolle Anlaufstelle. Der Anbieter kann Leitungswerte prüfen, Geräte austauschen und Ihnen beim sicheren Einrichten helfen.
Macht ein Austausch des Routers Sinn?
Ein Tausch lohnt sich, wenn das aktuelle Gerät keine Sicherheitsupdates mehr erhält, nur veraltete Verschlüsselung unterstützt oder wichtige Funktionen wie VLANs und aktuelle Protokolle fehlen. Mit einem modernen Router gewinnen Sie nicht nur Sicherheit, sondern meist auch Leistungsreserven für zukünftige Anforderungen.
Fazit
Ein kompromittierter Router gefährdet das gesamte Heimnetz, lässt sich mit einem strukturierten Vorgehen aber in den meisten Fällen zuverlässig absichern. Wer unklare Anzeichen ernst nimmt, systematisch prüft, Passwörter und Firmware erneuert und riskante Funktionen reduziert, entzieht Angreifern wirksam die Grundlage. Mit einem regelmäßigen Blick in die Geräteübersicht und klaren Sicherheitsregeln bleibt das eigene WLAN dauerhaft unter Kontrolle.
