Ist dein Router gehackt? Finde es heraus!

Was nützen der optimal geschützte PC, das verriegelte Smartphone und das gerootete sowie Google-befreite Tablet, wenn dein Router mit einem Drei-Zahlen-Passwort längst zum Opfer von Cyberkriminellen geworden ist? Richtig, nicht allzu viel, denn dein Router ist das Gerät in deinem Haushalt, das alle deine Daten transportiert, auch die sensibelsten und intimsten. Und woher weißt du, ob dein Router gehackt wurde? Du weißt es in der Regel überhaupt nicht – aber du kannst es leicht herausfinden … 

Router sind ein lohnendes Angriffsziel für Kriminelle und Geheimdienste (ist euch schon einmal aufgefallen, dass Kriminelle und Geheimdienste zusehends öfter in einem Atemzug ausgesprochen werden?), da diese Geräte gleich mehrere Vorteile auf einmal in sich bergen: 1) Sie sind das Nadelöhr, durch das alle Daten aller Geräte fließen, die ins Internet senden. 2) Sie sind für sehr viele Anwender nicht mehr als ominöse Plastikboxen, die man nur wahrnimmt, weil sie über ein paar leuchtende Dioden verfügen. Und 3): Sie werden flächendeckend unterschätzt hinsichtlich ihrer Bedeutung für die Sicherheit eines Netzwerks …

Dein DNS bestimmt, wo’s hingeht

… und die ist hoch. Ist ein Router einmal kompromittiert, ist es für Cyberkriminelle ein Leichtes, beispielsweise durch DNS-Hijacking an Daten aller Art zu kommen. Hierbei wird der regulär genutzte DNS-Server durch einen eigenen ersetzt. DNS-Server sind für die Navigation im Internet verantwortlich und sorgen dafür, dass du, wenn du ‚www.postbank.de‘ eingibst, auch tatsächlich dort landest – es sei denn, der Server ist ersetzt worden. Dann landest du dort, wo der Betreiber will, dass du landest, zum Beispiel auf einer identisch aussehenden Phishingseite, die dir in aller Ruhe deine Bankdaten, E-Mailadressen und Passwörter aus der Tasche zieht.

Router-Check mit F-Secure

Genug Unruhe gesät? Dann ab zu den Sicherheitsexperten bei F-Secure, denn diese haben einen Router Checker konzipiert, mit dem du deinen Router auf DNS-Unregelmäßigkeiten testen kannst, und online gestellt. Rufe hierzu die Seite https://campaigns.f-secure.com/router-checker/ mit deinem PC, Tablet oder Smartphone auf und klicke auf die lila Schaltfläche ‚Start now‘.

routercheck01

Das Tool legt sofort los und überprüft, ob deine Router-DNS gekapert wurde. Ein Download ist nicht notwendig; unterstützt werden alle wichtigen Browser wie Internet Explorer, Firefox, Chrome, Safari und Opera.

NO ISSUES WERE FOUND‘ bedeutet, dass alles im grünen Bereich und dein Router nicht kompromittiert ist. In den Details zum Resultat findest du jetzt die IP-Adresse des DNS-Servers und den Namen deines Providers (dies muss nicht zwingend die IP-Adresse sein, die in deinem Router eingegeben ist, sondern kann auch jene sein, die der Server nutzt, um verschiedene DNS-Anfragen rekursiv aufzulösen).

routercheck02

Gibt das Tool die Benachrichtigung‚ ‘EVERYTHING APPEARS TO BE FINE, BUT THE CHECK WAS INCOMPLETE’ bedeutet dies aller Wahrscheinlichkeit nach, dass du während des Tests bei CyberGhost eingeloggt warst, was du ganz leicht in den Details erkennen kannst, weil dort der Name ‚CyberGhost‘ auftaucht. Dann ist in der Regel ebenso alles gut, weil CyberGhost zur Sicherheit seiner Anwender beim Start des Clients automatisch auf die zensurfreien eigene DNS-Server zugreift. Um aber trotzdem zu überprüfen, wie es um deinen Router bestellt ist, logge dich kurz aus, schließe den Browser und wiederhole den Test.

routercheck03

Roter Alarm bedeutet … na ja, du kannst es dir denken: Dein Router ist kompromittiert. In den Details wird dann sehr wahrscheinlich auch ein anderes Land oder ein anderer Staat auftauchen.

Was tun im Ernstfall?

Was kannst du tun? Als Erstes solltest du die Einstellungen deines Routers öffnen und dort die DNS-Einträge ändern. Wie genau du dieses tun kannst, steht in der Beschreibung zu deinem Gerät. In aller Regel reicht aber auch eine einfache Websuche mit Gerätenamen und den Begriff ‚DNS ändern‘. Auch dein Provider wird dir sicherlich gerne unter die Arme greifen, wenn du nicht weißt, wie du die Einstellungsoberfläche deines Routers aufrufst und die notwendigen Änderungen vornimmst.

In der Fritz!Box bspw. findest du die Einstellungen bspw. unter ‚Internet > Zugangsdaten > DNS-Server‘. Ist dort bereits ein DNS-Server eingetragen, ist es aller Wahrscheinlichkeit nach der Hijacker-DNS-Server. Aktiviere deshalb ‚Vom Internetanbieter zugewiesene DNSv4-Server verwenden‘ oder trage eigene Serveradressen ein, bspw. die von CyberGhost: 95.169.183.219 für den ersten und 89.41.60.38 für den zweiten Server (als Fallback zum ersten). Danach solltest du deinen Router vom Netz trennen, 30 Sekunden warten und neu starten.

UPDATE! In der Zeit zwischen Artikelerstellung und heute (17.07.2016) wurden die Adressdaten der CyberGhost-DN-Server geändert zu ‚85.10.247.210‘ und ‚89.40.219.202‘. Beachtet bitte ferner, dass sich die Daten auch zukünftig erneut ändern können!

Wiederhole nun den Router-Check auf der F-Secure-Website (vergiss nicht, den Browser-Cache vorher mit ‚F5‘ zu leeren). Erhältst du immer noch eine Warnung, kann es sein, dass auch die DNS deines Rechners gekapert wurde. Unter Windows gehst du folgendermaßen vor, um dies rückgängig zu machen:

  • Öffne die Systemsteuerung
  • Öffne das Netzwerk- und Freigabecenter
  • Klicke auf ‚Adaptereinstellungen ändern‘
  • Klicke mit der rechten Maustaste auf den Adapter deines Ethernets oder WiFis und wähle ‚Eigenschaften‘ aus dem Kontextmenü
  • Markiere ‚IPv4‘ und klicke erneut auf ‚Eigenschaften‘.
  • Aktiviere die automatische Zuweisung der DNS-Adressen oder trage, wie beim Router, eigene (wie jene von CyberGhost) ein

Ändert auch das nichts am Ergebnis des Router-Tests (hast du den Browser-Cache geleert und idealerweise das System neu gestartet?), befindet sich möglicherweise Malware auf dem Rechner. Mache einen Malware- und Virenscan. Erhältst du immer noch die rote Karte, probiere den Test zunächst auf einem anderen Gerät aus. Gleiches Ergebnis? Dann ist dein Router möglicherweise direkt infiziert worden und muss entweder mit einem Backup (kann bereits schon befallen sein) oder einer frischen Firmware neu geflasht werden.

About the author

CyberGhost VPN - Uli
CyberGhost VPN - Uli

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

© 2017 CyberGhost