Akute Angriffswelle auf Fritzbox-Nutzer, jetzt handeln!

Fritz Box-Router sind derzeit offenbar einer massiven Angriffswelle ausgesetzt, deren Ziel die Übernahme der Geräte ist. Die Angriffe gehen stets von der IP-Adresse 185.232.52.55 aus, die schon mehrfach auffällig geworden ist. Wer einen AVM-Router betreibt, sollte sicherstellen, dass ein sicherer Betrieb gewährleistet ist.

Zahlreiche Leser berichteten uns von beunruhigenden Aktivitäten im Ereignis-Log Ihrer Fritz Boxen: Etliche Anmeldeversuche auf der FRITZ!Box-Benutzeroberfläche belegen, dass jemand mit Nachdruck versucht, die Kontrolle über den Router zu gewinnen. Die Häufung der Hinweise deutet darauf hin, dass es sich um einen groß angelegten Angriff handeln könnte und die Täter bereits über einen längeren Zeitraum große IP-Adressbereiche attackieren.

Die Angreifer wählen Ihre Ziele offenbar zufällig aus: Aus den Log-Einträgen geht hervor, dass wahllos zahlreiche Mail-Adressen als Benutzernamen durchprobiert werden. Die Mail-Adressen stammen vor allem von Nutzern aus Deutschland, wie an der Domainendung .de erkennbar ist. Woher die durchprobierten Login Daten stammen, ist bislang unklar.

Betroffen sind FRITZ!Box-Nutzer, deren Router-Oberfläche über das Internet erreichbar ist. Dies ist der Fall, wenn in den FRITZ!Box-Einstellungen (http://fritz.box) unter "Internet / Freigaben / FRITZ!Box-Dienste" die Option "Internetzugriff auf die FRITZ!Box über HTTPS aktiviert" eingeschaltet ist. Oft ist der Fernzugriff in Kombination mit dem AVM-Dienste MyFRITZ! aktiv.

Wer hinter der Angriffswelle steckt, ist derzeit noch unklar. Im Netz finden sich zahlreiche Berichte besorgter Nutzer, die ebenfalls Zugriffsversuche von der IP-Adresse 185.232.52.55 bemerkt haben.

Die ersten Berichte stammen bereits aus dem Sommer 2020, was darauf hindeutet, dass die Angriffe bereits seit Monaten laufen. Bei dem IP-Abuse-Verzeichnis AbuseIPDB verzeichnet inzwischen fast 300 Beschwerden über die IP, zumeist handelt es sich um Zugriffsversuche auf Fritz Boxen.

Um vor solchen und weiteren Attacken geschützt zu sein, sollten Sie Ihre FRITZ!Box so sicher wie möglich konfigurieren. Elementar wichtig ist, dass auf der FRITZ!Box die aktuelle Firmware (FRITZ!OS) installiert ist. Sie können den aktuellen Stand der Dinge unter "System / Update" in Erfahrung bringen und dort auch ein Update anstoßen, sofern Ihr Router noch nicht mit der aktuellen Firmware ausgestattet ist. Stellen Sie auf der Unterseite "Auto-Update" mindestens die "Stufe II" ein, damit die FRITZ!Box automatisch sicherheitsrelevante Update einspielt.

Einen Überblick über die aus dem Internet erreichbaren Dienste liefert Ihnen die Router-Oberfläche über den Sicherheitscheck, den Sie über "Diagnose / Sicherheit" erreichen. Unter "FRITZ!Box-Dienste" listet der AVM-Router dort alle Dienste auf, die für Zugriffe von außen freigegeben sind. Kontrollieren Sie bei dieser Gelegenheit hier auch die "Portfreigaben auf Heimnetzgeräte", da auch andere Geräte in Ihrem Netzwerk, die von außen erreichbar sind, problematisch sein können. Im besten Fall sind keine Dienste direkt aus dem Internet erreichbar, da jeder Dienst ein potenzielles Sicherheitsrisiko darstellt. Schalten Sie also alle Freigaben ab, auf die Sie verzichten können.

Wer auf den Fernzugriff nicht verzichten kann oder möchte, sollte sicherstellen, dass der FRITZ!Box-Benutzeraccount mit einem möglichst langen Passwort geschützt ist, das nur für diesen Zweck eingesetzt wird.

Sie können das Passwort unter

• "System / FRITZ!Box-Benutzer" ändern.

Weiterhin kann es helfen, einen individuellen Nutzernamen einzusetzen und die FRITZ!Box-Oberfläche über einen alternativen Port erreichbar zu machen.

Ist der HTTPS-Standard Port 443 gesetzt, dann ist das Webinterface für Angreifer sehr leicht auffindbar. Ein abweichender Port kann unbefugte Zugriffsversuche zwar nicht verhindern, aber zumindest erschweren.

Sinnvoll sind auch die Schutzfunktionen unter "Zusätzliche Bestätigung":

• Die Option "Ausführung bestimmter Einstellungen und Funktionen zusätzlich bestätigen" bewirkt, dass kritische Änderungen der Router-Einstellungen extra bestätigt werden müssen, zum Beispiel, indem Sie eine Taste der Fritz Box drücken oder eine Tastenkombination in ein an die Fritz Box angeschlossenen Telefone tippen. Über "Bestätigung über Google Authenticator App aktivieren" können Sie zudem Ihren Fritz Box-Account durch einen zweiten Faktor schützen, sofern Ihr Fritz Box-Modell dies unterstützt.

Unter "System / Ereignisse" können Sie überprüfen, ob es bei Ihrer Fritz Box ebenfalls zu auffälligen Anmeldeversuchen kam.

Wählen Sie oben am besten "Alle" aus, um sämtliche Ereignisarten anzeigen zu lassen. Dann erfahren Sie beispielweise auch, ob jemand versucht hat, sich mit einem falschen Passwort mit Ihrem WLAN zu verbinden.

Wir haben AVM am Montagvormittag um eine Stellungnahme zu der aktuellen Angriffswelle gebeten und werden diesen Artikel aktualisieren, wenn der Hersteller ergänzende Informationen bereitstellt.

• "Es handelt sich nicht um eine Angriffswelle, es sind erfolglose Anmeldeversuche, also Rateversuche."

Aus Ereignisprotokollen, die Kunden mit dem Unternehmen geteilt haben, geht hervor, "dass die probierten Zugangsdaten nicht auf der FRITZ!Box des Kunden passen und keinen Bezug zum Gerät des Kunden haben." AVM verweist auf seinen Servicebereich, in dem sich eine Reihe von Schutz-Tipps finden.