Titelbild: FRITZ!Box Sicherheits 1x1

Wenn Sie Ihre heimische FRITZ!Box ohne Zugriff aus dem Internet benutzen, dann gibt es in diesem Artikel nur wenige Tipps. So wären die Punkte WLAN-Verschlüsselung, WPS und so weiter für Sie interessant. Nutzen Sie ihre Box aber vollumfänglich wie in dem Artikel „So verbindet Ihr die iOS Dateien-App mit der Fritz!Box (NAS)!“, so gibt es noch etwas wissenswertes oben drauf.

Gescheiterte Anmeldeversuche am Webinterface der Fritzbox zeigen, dass Cyber-Schurken massenhaft versuchen, die Kon- trolle über schlecht gesicherte AVM-Router zu übernehmen. Mit wenigen Handgriffen schützen Sie sich vor diesen und weiteren Angriffen. Von der theoretischen Gefahr zur realen Gefahr! Was ist damit gemeint? Der fremde Zugriff auf die eigene Fritz!Box aus dem Internet. Wenn Sie ohnehin nicht von unterwegs auf Ihren Router oder dessen Dienste zugreifen, dann besteht kein Grund, ihn aus dem Internet erreichbar zu machen. Und wenn doch, befolgen Sie einfach die paar Tipps von weiter unten und benutzen Sie sowieso ein starkes, langes Passwort um ihre Fritz!Box zu schützen. Wenn Ihr Fritz!Box-Modell nicht länger mit Firmware-Updates versorgt wird, dann ist diese schon recht alt. Denken Sie in diesem Fall über eine Neuanschaffung über Ihren Provider oder generell über einen Neukaufen nach. Selbst habe ich eine FRITZ!Box 7490 im Einsatz, diese wird zum Beispiel immer noch mit Updates versorgt. Bei der Erstellung dieses Artikels war die Fritz!OS Version 7.29 verfügbar und installiert.


Kommen wir nun zu den einzelnen Punkten, um Ihre FRITZ!Box abzusichern. Oder einfach nur, um die einzelnen Abschnitte und Einstellungen abzugleichen.

Der sichere Zugang zur Fritz!Box über den Browser oder aus dem Internet nur mit Sicherheitsschloss!

Jeder Router sollte nur mit einem Passwort zugänglich sein! Sowohl beim Benutzernamen als auch beim Kennwort können Sie Ihrer Kreativität freien Lauf lassen – je länger und stärker, desto besser. Wichtig ist nur, dass Sie sich beim späteren Zugriff über den Browser mit „http://fritz.box“ oder per Fernzugriff auf die Fritz!Box noch daran erinnern können. Der Einsatz einer Gedächtnisstütze ist ratsam, etwa in Form eines Passwort-Managers. Sinnvoll ist auch, mit mehreren Konten für verschiedene Zwecke zu arbeiten. So muss etwa der Nutzereintrag, mit dem Sie auf den Netzwerkspeicher „NAS“ der Fritz!Box zugreifen, nicht gleichzeitig die Router-Einstellungen ändern dürfen. Im besten Fall haben Sie dann so zwei Benutzer Accounts mit unterschiedlichen Voraussetzungen.

System → FRITZ!Box-Benutzer → Benutzer

Stellen Sie auf der Untermenü-Seite „Zusätzliche Bestätigung“ sicher, dass die Option „Ausführung bestimmter Einstellungen und Funktionen zusätzlich bestätigen (Empfohlen)“ eingeschaltet ist. Dies ist dann ein zusätzlicher Schutz. So müsste der Angreifer physisch in der Nähe Ihrer FRITZ!Box sein und eine Taste zur Bestätigung an Ihrer Box Drücken oder das angeschlossenen Festnetz-Telefon nutzen, um mit einer Tastenkombination alles bedienen zu können.

System → FRITZ!Box-Benutzer → Zusätzliche Bestätigung

Die FRITZ!Box immer auf den neusten stand halten per Update!

Das FRITZ!OS ist die Software Ihrer FRITZ!Box und diese sollte immer auf den neusten stand sein. Nutzen Sie die Update-Funktion, um die neueste FRITZ!OS-Version auf dem einfachsten Weg auf Ihre FRITZ!Box zu installieren. Rufen Sie die Benutzeroberfläche des Gerätes auf. Geben Sie dazu in Ihrem Internetbrowser “fritz.box” ein und melden Sie sich mit Ihrem Benutzernamen und Kennwort an.

System → Update

Wenn Sie sich um die sogenannten FRITZ!OS Firmware-Updates nicht kümmern möchten, sollten Sie die Auto-Update Option „Stufe III“ aktivieren. Des Weiteren ist das Häkchen der Option „Zeitraum für Updates“ interessant. So können Sie eine Startzeit für das automatische Update einstellen, um sicherzustellen, dass Sie von den Aktualisierungen nicht tagsüber aus dem Videotelefonat mit dem Chef gerissen werden und können dieses so in die Nachtstunden verlegen.

System → Update → Auto-Update → „Stufe III“ ☑︎ und bei Bedarf „Zeitraum für Updates“ ☑︎

Die volle Kontrolle über Ereignisse an der FRITZ!Box!

Angriffe kommen oft von dubiosen IP-Adressen wie zum Beispiel von der Adresse 185.232.52.55, diese soll ein SSH-Server aus Amsterdam sein laut AbuseIPDB.com. Wenn Sie den Ereignis-Log kontrollieren, setzen Sie den Filter oben auf „System“, um Anmeldeversuche an den Fritzbox-Diensten zu inspizieren und mit dem Filter „Alle“ bekommen Sie unter anderem auch WLAN-Anmeldeversuche mit.

System → Ereignisse

Benutzen Sie auch die FRITZ!Box eigene Firewall!

Was ist eine Firewall? Bei einer Firewall handelt es sich um ein System, dass in der Lage ist, Datenverkehr zu analysieren. Sie schützt IT-Systeme vor Angriffen oder unbefugten Zugriffen. Wörtlich übersetzt bedeutet Firewall “Brandmauer”. Der Begriff bezeichnet ein System, dass Datenverkehr analysieren, weiterleiten oder blockieren kann. Aktivieren Sie auch die sogenannte Firewall im Stealth Mode „Schutz gegen Port-Scanner aus dem Internet!“ im Untermenü „Globale Filtereinstellungen“.

Internet → Filter → Listen → Globale Filtereinstellungen → Firewall im Stealth Mode ☑︎

So schützen Sie die Ports für eigene Zugriffe aus dem Internet!

Wer die AVM Apps wie die iPhone „Fritz!App“ benutzt, seine Box als NAS benutzt oder einfach nur einen Fernzugriff benötigt, der sollte die folgenden Schritte beachten und seine Ports ändern. Warum? Angreifer benutzen gerne die Standard-Ports 442 & 21 der FRITZ!Box! Und genau deshalb sollten Sie die Port-Zahlen für die TCP-HTTPS sowie TCP-FTP hier in eine fünfstellige ändern. Nur wenn es jemand wirklich auf Sie abgesehen hat, wird er sich die Mühe machen, andere Ports zu scannen, etwa solche im fünfstelligen Bereich. Wer das alles nicht nutzt, sollte hier die Optionen deaktivieren. ☐

HTTPS: Internet → Freigaben → Fritz!Box-Dienste → TCP-Port für HTTPS von 443 in (eine Zahl zwischen 1 bis 65535) ändern.

FTP: Internet → Freigaben → Fritz!Box-Dienste → TCP-Port für FTP/FTPS von 21 in (eine Zahl zwischen 1 bis 65535) ändern.

Noch mehr Schutz durch Benachrichtigungen!

Über die Push-Service Funktion kann die Fritz!Box per Mail über diverse Ereignisse informieren. Sie müssen zunächst unter „Absender“ ein Mailkonto konfigurieren, dass die Fritz!Box zum Versand nutzen soll. Legen Sie für diesen Zweck besser ein separates Mail-Konto an, damit Sie nicht das Kennwort Ihres primär genutzten Mailzugangs in der Fritz!Box hinterlegen müssen.

System → Push-Service → Absender

Ist dies geschehen, schalten Sie dann den Punkt unter Push-Service „Änderungsnotiz“ ein und abonnieren Sie zusätzlich per Häkchen „Über Anmeldungen an der Benutzeroberfläche informieren“, um keine erfolgreiche Anmeldung zu verpassen. Stöbern Sie nach weiteren Ereignissen, die Sie interessieren – Ihre Fritz!Box kann Sie per Mail zum Beispiel auch über die Verfügbarkeit neuer Firmware-Versionen benachrichtigen.

System → Push-Service → Änderungsnotiz „Stift“ → Über Anmeldungen an der Benutzeroberfläche informieren ☑︎

Auch das eigene WLAN-Netz sollte abgesichert sein!

Ungebetene Besucher aus dem Internet sind nicht nur eine Gefahr, vor der Sie Ihren Router schützen müssen. Auch die Funkstrecke muss abgesichert werden, damit sich Ihre Nachbarn oder andere unerwünschte Personen nicht in Ihrem Heimnetz umschauen oder ungefragt über Ihren Anschluss surfen. Die gute Nachricht ist, dass Sie damit nur wenig Arbeit haben. Wichtigste Grundeinstellung ist hier natürlich das Häkchen bei „WPA-Verschlüsselung (größte Sicherheit)“, aber das sollte selbst einen Anfänger bekannt sein sowie die Vergabe eines langen und starken WLAN-Netzwerkschlüssels. Im besten Fall nicht das Passwort, was unten auf der FRITZ!Box abgedruckt ist, sondern ein eigenes was mehr als 16 Zeichen hat.

WLAN → Sicherheit

Stellen Sie unter „WPA-Verschlüsselung“ am besten „WPA 2 + WPA 3“ (WPA3-Mixed-Mode) ein, damit moderne Geräte, die bereits WPA3 unterstützen, die bestmögliche Verschlüsselung einsetzen. Ältere Geräte wählen dann automatisch die WPA2-Verschlüsselung, die weiterhin ausreichend sicher ist. Sollten Sie doch noch einen größeren Gerätepark an Altgeräten haben wie zum Beispiel das iPhone 5s des Nachwuchses, dann stellen Sie die WPA-Verschlüsselung auf „WPA2 CCMP“. Der Standard „WPA2 CCMP“ bedeutet, dass das Protokoll CCMP genutzt wird, um die WLAN-Funksignale wie bei WPA3 zu verschlüsseln, damit Unbefugte nicht auf die Daten zugreifen können. Dieser Standard wird aber in absehbarer Zukunft komplett ersetzt durch WPA3. Natürlich könnte man das oben genannte iPhone 5s des Nachwuchses auch in das Gast-WLAN-Netz verbannen, um das eigene Haupt-WLAN-Netz auf den neusten WPA3 Stand zu haben.

WLAN → Sicherheit → WPA-Verschlüsselung → WPA2+WPA3

Wenn Sie den Modus WPA2+WPA3 wählen, sollte unter „Weitere Sicherheitseinstellungen“ die Option „Unterstützung für geschützte Anmeldungen von WLAN-Geräten (PMF) aktivieren“ aktiv sein. Was bedeutet PMF? PMF (Protected Management Frames) verschlüsselt die Steuerungsinformationen für den Aufbau und Betrieb von WLAN-Verbindungen und sorgt damit für mehr Sicherheit. PMF ist bei WPA3-Verschlüsselung immer aktiv und bei WPA2-Verschlüsselung optional.

WLAN → Sicherheit → Weitere Sicherheitseinstellungen → … PMF … ☑︎

Des Weiteren sollte die Option „WPS aktiv“ im Untermenü „WPS-Schnellverbindung“ deaktiviert werden. Warum? Weil sich Ihre Gäste ansonsten einfach per Knopfdruck am Router mit Ihrem Hauptnetz verbinden und sogar dessen WLAN-Passwort einsehen könnten.

WLAN → Sicherheit → WPS-Schnellverbindung

Auch die UPnP-Protokoll Hintertüren absichern!

Damit Ihr mühsam errichteter Schutzwall nicht gleich wieder eingerissen wird, sollten Sie abschließend noch einen Blick auf das UPnP werfen. Über das UPnP-Protokoll können Geräte wie Überwachungskameras in Ihrem Heimnetz Ihre Fritz!Box nicht nur gefunden werden, sondern auch umkonfiguriert werden. Das kann gefährlich werden, wenn es ganz schlecht läuft, dann ist die neue WLAN-Kamera von Discounter nicht nur unsicher vorkonfiguriert, sie richtet sich über UPnP auch noch eine Portweiterleitung im Router ein. Dann ist sie fortan für die ganze Welt erreichbar und mit Pech auch noch als DDoS-Server und andere Angriffe dienstbar – ganz ohne Ihr Zutun. Im Untermenü „Netzwerkverbindungen“ spüren Sie Geräte auf, die via UPnP an der Fritzbox-Konfiguration schrauben dürfen. Klicken Sie bei Ihren Geräten auf das Stift-Symbol, um die jeweiligen Einstellungen zu öffnen. Hier sollte die Funktion „Selbstständige Portfreigaben für dieses Gerät erlaubenausgeschaltet sein, damit die Geräte nicht eigenmächtig Port-Weiterleitungen im Router einrichten dürfen. Unter „Internet Freigaben Portfreigaben“ können Sie ganz unten über den Deaktivieren-Knopf die selbstständige Portfreigabe zudem für alle Geräte deaktivieren, die bisher keine Freigaben angelegt haben.

Heimnetz → Netzwerk → Netzwerkverbindungen → „Gerät XYZ“ Stift-Symbol → Selbstständige Portfreigaben für dieses Gerät erlauben

… oder …

Internet → Freigaben → Portfreigaben

Was für FRITZ!Box DSL-Modelle sind aktuell empfehlenswert und bekommen aktuelle Firmware-Updates wie v7.29?

  • FRITZ!Box 7590 AX ab 270€ → Das neuste Flaggschiff mit allem was das Herz begehrt.
  • FRITZ!Box 7590 ab 215€ →Die kleine Schwester des neusten Flaggschiffes, hier fehlt z.B. der wifi6 Standard AX sowie ein interner Speicher.
  • FRITZ!Box 7530 AX ab 155€ → Der relativ günstige Einsteiger, hier fehlt z.B. ein interner Speicher sowie ein USB3 Support.
  • FRITZ!Box 7490 gebraucht ab 100€ →Der immer noch hochgeschätzte Oldie. Ihm fehlt natürlich der neuste wifi6 AX Standard, aber dafür dürfte er bestimmt noch die nächsten 5-6 Jahre UpToDate sein.


Ich bin ein „Ein-Personen-Betrieb“, arbeite hauptberuflich im Gesundheitswesen und betreibe diese Seite als Hobbyprojekt in meiner Freizeit. Wenn Ihnen meine Arbeit gefällt (die Beiträge, die Hintergrundbilder, mein allgemeines Auftreten … einfach alles), so dürfen Sie gerne in Erwägung ziehen, über die Kommentar-Funktion einen Kommentar zu hinterlassen oder mir eine kleine Spende per PayPal.com zukommen zu lassen! Ihre Beteiligung ist unglaublich wertvoll und trägt viel zur Unterstützung und Erhalt dieser werbefreien Seite bei!

Kommentare geschlossen.