
Router mit Schwachstellen. Asus 4G-N16, D-Link DWR-933 und TP-Link Archer MR500 (von links nach rechts) zeigten im Test kritische Lücken. © Stifung Warentest
In WLan-Routern mit Mobilfunkmodem von Asus, D-Link und TP-Link fanden wir kritische Sicherheitslücken. Betroffene sollten schnell handeln.
Router von Asus, D-Link und TP-Link betroffen
Im derzeit laufenden Test von 14 LTE-Routern haben unsere Tester bei drei Modellen kritische WLan-Sicherheitslücken gefunden. Solche Geräte dienen dazu, übers Handynetz eine Internetverbindung herzustellen und sie über ein WLan-Funknetz an mehrere Handys, Tablets oder Notebooks weiterzugeben. Es gibt Geräte mit Akku für unterwegs – etwa auf Dienstreisen oder im Urlaub – und solche mit Netzteil für daheim.
Im aktuellen Test zeigen sich drei Modelle anfällig für Hacker-Angriffe, eins mit Akku von D-Link und zwei mit Netzteil von Asus und TP-Link:
- Asus 4G-N16 Wireless-N300 LTE Modem Router
- D-Link DWR-933 4G/LTE Cat 6 Wi-Fi Hotspot
- TP-Link Archer MR500 4G+ Cat6 AC1200 WLAN Dual Band Gigabit Router
Einfallstor für Hacker-Angriffe
Bei allen drei Geräten fanden unsere Tester im Auslieferzustand Sicherheitslücken in der WPS-Technik (Wi-Fi Protected Setup). Hacker können sich darüber Zugang zum WLan der Geräte verschaffen, sofern sie sich innerhalb der Funknetz-Reichweite befinden. So könnten sie den Netzwerkverkehr abhören, Daten von mit dem WLan verbundenen Geräten abgreifen oder den mobilen Internetzugang des Hotspots für kriminelle Zwecke missbrauchen. WPS soll dazu dienen, Endgeräte leichter mit WLan-Netzwerken zu verbinden, gilt aber schon lange als unsicher.
WPS abschalten hilft nur bei zwei der drei Geräte
Soforthilfe: Bei den Geräten von Asus und TP-Link sollten Nutzer im Einstellmenü die WPS-Funktion abschalten. Beide lassen sich dann sicher betreiben. Sie funktionieren auch ohne WPS. Nutzern des D-Link hilft der Schritt allerdings nicht: Hier besteht die Sicherheitslücke in der geprüften Firmware-Version auch dann, wenn WPS im Menü deaktiviert ist! Bis es für dieses Modell ein Update gibt, das die Lücke schließt, lassen sich Hackerangriffe zumindest erschweren, indem man die voreingestellte, unsichere Standard-WPS-Pin ändert.
Update: Hersteller aktualisieren Firmware
Wir haben die drei Anbieter über die Sicherheitslücken informiert, um ihnen Gelegenheit zu geben, die Probleme zu beheben. Auch das Bundesamt für die Sicherheit in der Informationstechnik (BSI) haben wir benachrichtigt.
TP-Link reagierte schnell mit einer eigenen Warnmeldung und hat bereits eine neue Firmware-Version veröffentlicht, die das Problem beheben soll.
D-Link kündigte uns gegenüber bei Erscheinen dieser Meldung ein Firmware-Update für den 21. April an, das Nutzer dann installieren sollten. Die aktualisierte Firmware ist seit dem 20. April auf der Website des Anbieters verfügbar.
Asus teilte uns bei Erscheinen dieser Meldung mit, man werde „schnellstmöglich“ eine Software-Aktualisierung veröffentlichen, die das Problem behebe. Seit Ende Juni ist diese nun verfügbar. Sie lässt sich auf der Website von Asus herunterladen oder über das Konfigurationsmenü des Routers installieren.
Tipp: Die vollständigen Testergebnisse zu 14 mobilen Hotspots finden Sie im LTE-Router-Test der Stiftung Warentest.
-
- Mesh-WLan-Systeme bringen schnelles WLan in große Wohnungen und Häuser. Einige der Systeme im Test bergen Sicherheitsrisiken oder brauchen viel Strom.
-
- LTE-Router verteilen mobiles Internet per WLan. Doch nicht einmal die Hälfte der Modelle im Test ist gut. Drei haben große Sicherheitslücken.
-
- Kaum jemand kennt sie, doch fast jeder braucht sie: VPN-Dienste schützen vor Datenraub durch Hacker im offenen WLan. Der VPN-Test zeigt die besten Programme.
Diskutieren Sie mit
Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.
Kommentarliste
Nutzerkommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.
Bitte auch erwähnen, dass das Sicherheitsproblem seit 2014 bekannt ist und das Gerät von TP Link bereits End of Life ist nach gerade mal 6 Monaten am Markt und somit kein weiterer Support zu erwarten ist.