Netzwerksicherheit Homeoffice

Netzwerksicherheit im Homeoffice¶

Das Hauptkapitel hat den Internetzugang als Grundvoraussetzung behandelt – Zugangsdaten, Router-Backup, Fallback-Lösungen. Dieser Deep Dive geht einen Schritt weiter: Was passiert auf deinem Heimnetz? Wer hat Zugang? Welche Angriffsflächen entstehen durch schlecht konfigurierte Router, unsichere WLAN-Einstellungen oder ungeschützte Geräte – und wie schließt du sie?

Der Router: Das Tor zu allem¶

Der Router ist das wichtigste Sicherheitsgerät in deinem Netz – und gleichzeitig das am häufigsten vernachlässigte. Er ist rund um die Uhr eingeschaltet, direkt mit dem Internet verbunden und kontrolliert den gesamten Datenverkehr zwischen deinen Geräten und der Außenwelt.

Ein schlecht konfigurierter Router ist ein offenes Tor. Die häufigsten Schwachstellen:

Standard-Zugangsdaten für das Router-Interface Viele Router werden mit voreingestellten Passwörtern für die Administrationsoberfläche ausgeliefert – oder mit einem Passwort, das auf dem Gerät aufgedruckt ist und das jeder kennt, der das Gerät in der Hand hatte. Wer Zugang zum Router-Interface hat, kann das gesamte Heimnetz kontrollieren: WLAN-Passwörter auslesen, Portweiterleitungen einrichten, den DNS-Server umleiten. Ändere das Admin-Passwort des Routers – auf ein starkes, einzigartiges Passwort, das du im Passwort-Manager speicherst.

Fernzugriff von außen deaktivieren Viele Router bieten die Möglichkeit, das Admin-Interface aus dem Internet erreichbar zu machen. Das ist eine erhebliche Angriffsfläche. Deaktiviere den Fernzugriff auf das Router-Interface vollständig, sofern du ihn nicht aktiv benötigst. Bei einer Fritz!Box: fritz.box → System → Fritz!Box-Benutzer → Zugang aus dem Internet erlauben → deaktivieren.

Firmware-Updates Router-Firmware enthält wie jede Software Sicherheitslücken. Hersteller wie AVM (Fritz!Box) liefern regelmäßig Updates, die bekannte Lücken schließen. Aktiviere automatische Firmware-Updates oder prüfe regelmäßig manuell auf neue Versionen. Ein Router, der seit Jahren nicht aktualisiert wurde, ist ein bekanntes Angriffsziel.

UPnP deaktivieren Universal Plug and Play (UPnP) erlaubt Geräten in deinem Netz, automatisch Portweiterleitungen im Router einzurichten – ohne dass du das bestätigst. Das klingt praktisch, ist aber ein Sicherheitsrisiko: Schadsoftware kann UPnP nutzen, um sich selbst nach außen erreichbar zu machen. Deaktiviere UPnP, sofern du keine spezifische Anwendung kennst, die es benötigt.

WLAN-Sicherheit: WPA3, Passwörter und versteckte Netzwerke¶

Verschlüsselungsstandard Das WLAN sollte mit WPA3 verschlüsselt sein – dem aktuellen Standard, der erheblich sicherer ist als das veraltete WPA2. WPA2 ist noch weit verbreitet und für die meisten Heimanwendungen ausreichend, wenn das Passwort stark ist – aber WPA3 ist vorzuziehen, wenn Router und Endgeräte es unterstützen. WEP und WPA (ohne Versionsnummer) sind veraltet und unsicher; kein modernes Netz sollte sie noch verwenden.

WLAN-Passwort Das WLAN-Passwort sollte lang und zufällig sein – mindestens 16 Zeichen. Da es in der Regel nur einmalig pro Gerät eingegeben wird, spielt Merkbarkeit keine Rolle; nutze einen Passwort-Generator. Das Passwort gehört in den Passwort-Manager.

Versteckte SSIDs sind kein Schutz Ein verbreiteter Irrtum: Wer den WLAN-Namen (SSID) versteckt, glaubt damit unsichtbar zu sein. In der Praxis ist ein verstecktes WLAN für Tools, die den Funkverkehr abhören, leicht sichtbar – und verursacht zusätzliche Verbindungsprobleme auf Endgeräten. Versteckte SSIDs sind kein Sicherheitsmerkmal, sondern eine Illusion.

Netzwerksegmentierung: Gäste-WLAN und IoT-Netz¶

Eines der wirkungsvollsten Sicherheitsprinzipien im Heimnetz ist die Trennung: Nicht alle Geräte sollen miteinander kommunizieren können. Die meisten modernen Router – auch einfache Fritz!Box-Modelle – unterstützen die Einrichtung mehrerer WLAN-Netzwerke.

Gäste-WLAN Richte ein separates WLAN für Gäste ein. Wer sich ins Gäste-WLAN einloggt, hat Internetzugang – aber keinen Zugriff auf deine Arbeitsgeräte, deinen NAS oder deine Drucker. Das schützt dich vor versehentlicher oder absichtlicher Kompromittierung durch ein Gerät, das ein Gast mitbringt. Die Einrichtung dauert wenige Minuten.

IoT-Netz (Internet of Things) Smart-Home-Geräte, Netzwerkkameras, smarte Lautsprecher, Fernseher mit Internetanschluss – all das sind potenzielle Schwachstellen. Viele IoT-Geräte werden jahrelang nicht mit Firmware-Updates versorgt, haben schwache Standardpasswörter und kommunizieren mit externen Servern, über die du keine Kontrolle hast. Isoliere diese Geräte in einem eigenen WLAN-Segment, das keinen Zugriff auf dein Arbeitsnetz hat.

Bei einer Fritz!Box lässt sich das über ein zweites WLAN-Gastnetz oder – für technisch Versiertere – über VLANs umsetzen. Das Prinzip ist einfach: Was nicht kommunizieren muss, soll nicht kommunizieren können.

Merksatz: Dein smarter Kühlschrank muss kein Zugang zu deinen Kundendaten haben. Trenne Arbeitsgeräte von allem anderen.

DNS-Sicherheit: Wer beantwortet deine Anfragen?¶

Jedes Mal, wenn du eine Website aufrufst, stellt dein Gerät eine DNS-Anfrage: „Welche IP-Adresse hat diese Domain?" Die Antwort kommt in der Regel vom DNS-Server deines Internetproviders.

Das hat zwei Schwachstellen: Erstens sind herkömmliche DNS-Anfragen unverschlüsselt – ein Angreifer im Netz kann mitlesen, welche Domains du aufrufst. Zweitens kann ein kompromittierter oder manipulierter DNS-Server dich auf eine gefälschte Website umleiten – auch wenn die URL in deinem Browser korrekt ist (DNS-Spoofing).

DNS-over-HTTPS (DoH) und DNS-over-TLS (DoT) Diese Protokolle verschlüsseln DNS-Anfragen, sodass sie für Dritte nicht lesbar sind. Viele moderne Browser (Firefox, Chrome) unterstützen DoH nativ. Alternativ kannst du auf Router-Ebene einen verschlüsselten DNS-Dienst eintragen:

Cloudflare (1.1.1.1): Schnell, datenschutzfreundliche Richtlinien, keine Protokollierung von Nutzer-IPs nach kurzer Zeit.
Quad9 (9.9.9.9): Gemeinnütziger Betreiber, Sitz in der Schweiz, blockt bekannte Schadsoftware-Domains automatisch.

DNS-Filtering als kostenloser Schutz Quad9 und ähnliche Dienste blocken automatisch DNS-Anfragen an bekannte Malware- und Phishing-Domains. Das ist ein einfacher, wartungsfreier Schutzlayer, der auf Router-Ebene für das gesamte Netz gilt – ohne Software auf jedem Gerät installieren zu müssen.

VPN: Schutz im fremden Netz¶

Ein VPN (Virtual Private Network) verschlüsselt den gesamten Internetverkehr deines Geräts und leitet ihn über einen Zwischenserver. Das schützt dich vor Abhören im lokalen Netz – besonders wichtig in öffentlichen WLANs (Cafés, Hotels, Coworking-Spaces).

Wann ein VPN sinnvoll ist: - Bei Arbeit in öffentlichen WLAN-Netzen - Beim Zugriff auf sensible Systeme oder Kundendaten außerhalb des eigenen Netzes - Bei Nutzung von Hotspot-Verbindungen über fremde Netzwerke

Wann ein VPN im Homeoffice weniger relevant ist: Im eigenen, gut gesicherten Heimnetz bringt ein kommerzieller VPN-Dienst wenig zusätzliche Sicherheit – der Verkehr ist bereits durch HTTPS verschlüsselt, und der VPN-Anbieter selbst ist eine neue Vertrauensstelle. Im Heimnetz ist die direkte Verbindung zum Provider in der Regel vertrauenswürdiger als die Weiterleitung über einen VPN-Anbieter.

VPN für den Zugriff auf das eigene Netz Eine andere VPN-Nutzung ist der verschlüsselte Fernzugriff auf das eigene Heimnetz – zum Beispiel auf den NAS oder interne Systeme. Hier betreibst du deinen eigenen VPN-Server auf dem Router oder NAS (Fritz!Box unterstützt WireGuard, viele NAS-Systeme ebenfalls). Das ist sicherer als der Direktzugriff über offene Ports.

Kommerzielle VPN-Anbieter Wer einen kommerziellen VPN-Dienst nutzen möchte, sollte auf Anbieter mit nachgewiesener No-Log-Politik, transparenten Eigentümerstrukturen und unabhängigen Audits achten. Mullvad VPN (schwedischer Betreiber) und ProtonVPN (Schweiz, Betreiber von ProtonMail) gehören zu den in der Datenschutz-Community angesehenen Optionen. Viele günstige oder kostenlose VPN-Anbieter finanzieren sich durch den Verkauf von Nutzerdaten – das ist das Gegenteil von Schutz.

Portfreigaben und Angriffsfläche reduzieren¶

Jede offene Portweiterleitung im Router ist ein potenzieller Eintrittspunkt für Angreifer. Prüfe regelmäßig, welche Portweiterleitungen in deinem Router eingerichtet sind, und entferne alle, die du nicht aktiv benötigst.

Bei einer Fritz!Box: fritz.box → Internet → Freigaben → Portfreigaben. Jeder Eintrag dort bedeutet: Anfragen aus dem Internet an diesem Port werden an ein Gerät in deinem Heimnetz weitergeleitet. Wenn du nicht weißt, wozu eine Freigabe dient, ist das ein Zeichen, dass sie möglicherweise nicht mehr benötigt wird.

Besonders kritisch: Direkter RDP-Zugriff (Windows Remote Desktop) über das Internet ist eine der meistmissbrauchten Angriffsflächen. Wenn du Remote-Zugriff auf deinen Windows-Rechner benötigst, nutze stattdessen einen VPN-Tunnel – und stelle RDP nur innerhalb des VPN zur Verfügung, nicht direkt aus dem Internet.

Netzwerk-Inventar: Weißt du, was in deinem Netz ist?¶

Ein unterschätztes Sicherheitsproblem: Geräte, die im Netz aktiv sind, obwohl niemand mehr weiß, dass sie dort sind. Ein alter Drucker mit veralteter Firmware, ein Smart-TV, der seit Jahren keine Updates mehr bekommt, eine vergessene NAS-Box.

Die meisten Router zeigen eine Liste aller verbundenen Geräte – bei der Fritz!Box unter fritz.box → Heimnetz → Netzwerk. Schau dir diese Liste einmal an: Erkennst du alle Geräte? Geräte, die du nicht kennst oder nicht mehr benötigst, sollten vom Netz genommen oder zumindest in das isolierte IoT-Segment verschoben werden.