© Jakub Zerdzicki / Pexels

Netzpolitik

Russischer Router-Hack: Was Experten empfehlen

Jana Unterrainer

In Österreich ist die Situation noch unklar. Ein Experte erklärt, wie man erkennen kann, wenn der eigene Router gehackt wurde.

(Update, 10.04. 16:10: Stellungnahme von der Direktion Staatsschutz und Nachrichtendienst ergänzt.)

Am Dienstag wurde bekannt, dass die Hackergruppe APT28  („Fancy Bear“) im Auftrag des russischen Geheimdienstes GRU weltweit Router infiltrierte. Darunter waren auch Geräte von Zehntausenden Privatpersonen und Betrieben. Die Angriffe zielten darauf ab, Passwörter zu stehlen. 

Ziel der Angreifer waren Router vom chinesischen Hersteller TP-Link. Die Hacker manipulierten die Router und leiteten den darüber abgewickelten Datenverkehr dann auf Fake-Websiten um, wo die Hacker Zugangsdaten und Tokens abfingen. So erschlichen sich die Hacker Zugriff zu Online-Konten ihrer Opfer, sogar dann, wenn diese Zwei-Faktor-Authentifizierung aktiviert hatten.

Die Kampagne lief über mehrere Jahre und soll eine große Bandbreite an Zielen umfasst haben. 18.000 Systeme in 120 Ländern sollen vom Hack betroffen sein. In Deutschland waren laut dem deutschen Verfassungsschutz bisher 300 Geräte betroffen. 

Ob und wie viele Geräte in Österreich betroffen sind, ist derzeit noch nicht bekannt. Der österreichische Betreiber Magenta teilte der futurezone mit, dass er keine Router von TP-Link einsetze und Magenta-Kunden daher nicht betroffen seien. A1 teilte mit, dass das Thema derzeit noch genauer zu prüfen, nach derzeitigem Stand aber keine Fälle bekannt seien. 

➤ Mehr lesen: USA verbieten alle ausländischen Router

Kann man einen Angriff erkennen?

Im Guardian sagte ein britischer Sicherheitsforscher, dass man derzeit ein wachsames Auge auf ungewöhnliche Netzwerk-Aktivitäten haben sollte. Die futurezone fragte beim IT-Sicherheitforscher Sebastian Schrittwieser nach (SBA Research und an der Uni Wien). In dem Fall hätten die Angreifer eine spezielle Schwachstelle in den TP-Link-Routern ausgenutzt, die den DNS-Server betrifft. Normalerweise sei diese Schnittstelle durch ein Passwort geschützt, bei den TP-Link-Routern allerdings nicht. Das sei das Einfallstor für die Hacker. 

„Wenn ich in meinem Webbrowser auf futurezone.at gehe, wird beim DNS-Server angefragt, welche IP-Adresse dahintersteht und eine Anfrage an diese IP-Adresse gestellt. Alle Geräte, die mit dem Router verbunden sind, kriegen automatisch diesen DNS-Server zugewiesen“, erklärt Schrittwieser. „Durch die Schwachstelle konnten die Angreifer einfach einen anderen DNS-Server eintragen, den sie kontrolliert haben.“ Sie haben die Nutzer dann einfach auf Fake-Seiten umgeleitet. „Gebe ich dort mein Passwort ein, dann landet es beim Angreifer. Das ist gemacht worden für Outlook.com und für Office365.com, also für die ganzen Microsoft-Office-Dienste“, meint Schrittwieser. 

Für die Opfer sei es schwierig, die Fake-Seiten zu erkennen. „Wenn ich jetzt auf ein falsches Outlook.com weitergeleitet werde, dann stimmt das Zertifikat nicht mehr. Und dann bekomme ich im Browser auf jeden Fall eine Zertifikatswarnung“, so Schrittwieser. Darauf könne man achten. Optisch seien die Seiten nämlich kaum von den echten Seiten zu unterscheiden. 

Wenn einem etwas komisch vorkommt, könne man außerdem in den Netzwerkeinstellungen bei der DNS-Server-Verbindung nachschauen, was dort drinnen steht. „Router haben eine Administrationsoberfläche, die man vom Webbrowser aus aufrufen kann.“ Hier sei es im aktuellen Fall auch ratsam, ein Update durchzuführen. 

➤ Mehr lesen: Mit diesen Apps bekommst du dein Netzwerk zu Hause in den Griff

Behörden entfernen Einfallstore

In Deutschland arbeitet der Verfassungsschutz seit Mitte März zusammen mit den Betreibern daran, betroffene Router zu finden und Schwachstellen zu beseitigen, wobei einige TP-Link-Router ausgetauscht wurden. Auch in den USA und in anderen Staaten leiteten Sicherheitsbehörden solche Schritte zur Beseitigung in die Wege.

Auch in Österreich gebe es immer wieder Fälle, in denen gehackte Router entfernt würden, teilt die Direktion Staatsschutz und Nachrichtendienst (DSN) der futurezone mit. „Unzureichend gesicherte Router werden in Österreich in unregelmäßigen Abständen von staatlichen sowie kriminellen Cyberakteuren infiltriert und missbraucht. Diese Geräte werden für Verschleierungszwecke im Rahmen von Cyberoperationen verwendet“, informiert die DSN. „In den vergangenen Jahren nahm die DSN mehrmals Kontakt mit Besitzerinnen und Besitzern kompromittierter Geräte auf – mit dem Ziel der Systembereinigung.“ 

Den Sicherheitsempfehlungen der Experten schließt sich die DSN an: „Über das Internet direkt anzusprechende Geräte benötigen eine erhöhte Aufmerksamkeit, für welche die Besitzerinnen und Besitzer verantwortlich sind. Des Weiteren ist es erforderlich Geräte auszutauschen, die aufgrund fehlender Wartung durch den Hersteller keine Updates mehr bekommen (End-of-Life-Geräte),“ heißt es vom DSN.

Router sind ein Sicherheitsrisiko – die USA verbot kürzlich alle freiverkäuflichen Internetrouter, die nicht im eigenen Land hergestellt wurden. Derzeit gelten China und Taiwan als die weltweit größten Hersteller. „Bösartige Akteure haben Sicherheitslücken in ausländischen Routern ausgenutzt, um amerikanische Haushalte anzugreifen, Netzwerke zu stören, Spionage zu ermöglichen und den Diebstahl geistigen Eigentums zu erleichtern“, sagte die US-Telekommunikationsaufsicht FCC dazu. 

Klicken Sie hier für die Newsletteranmeldung

Hat dir der Artikel gefallen? Jetzt teilen!

(futurezone) | Stand: 10.04.2026, 16:31 Uhr

Jana Unterrainer

Interessiert sich nicht nur dafür, was Technologie kann, sondern auch was sie mit uns macht. Sie schreibt am liebsten über KI, Digitale Trends und Wissenschaft.

mehr lesen

Mehr zum Thema

Digital Life

Cyberkriminelle nutzen Regierungstool, um iPhones zu hacken

Digital Life

Diese Cybercrime-Fallen können jeden treffen

Digital Life

So sabotieren Hacker Russlands Versuche an Starlink zu kommen