Router gehackt? Erkennen, handeln, absichern!

Schritte zur Wiederherstellung nach einem Hackerangriff auf den Router: WAN-Kabel trennen, Werkseinstellungen wiederherstellen, Zugriff neu sichern.

Geschrieben von

Enno Wendt

Veröffentlicht am

12. Mai 2026

Inhaltsverzeichnis

Ein kompromittierter Router ist mehr als ein WLAN-Problem: Wer die Konfiguration übernimmt, kann DNS-Anfragen umlenken, Zugriffe mitlesen und ganze Geräteflotten im Heim- oder Firmennetz schwächen. Ich ordne hier ein, wie so ein Angriff typischerweise funktioniert, woran du ihn erkennst und was du unmittelbar tun solltest. Danach geht es darum, wie du den Router so absicherst, dass aus einem Vorfall kein Dauerzustand wird.

Die wichtigsten Punkte zu einem Routerangriff auf einen Blick

  • Ein Angriff zielt oft auf die Routerverwaltung, nicht nur auf das WLAN selbst.
  • Besonders gefährlich sind geänderte DNS- und DHCP-Einstellungen, weil sie den gesamten Datenverkehr umlenken können.
  • Typische Warnzeichen sind Weiterleitungen, Zertifikatswarnungen, unbekannte Geräte, neue Portfreigaben und plötzliche Login-Probleme.
  • Im Verdachtsfall zuerst die Verbindung trennen, dann Passwörter von einem sauberen Gerät ändern und die Konfiguration prüfen.
  • WPA3 oder WPA2, starke Admin-Passwörter, deaktivierte Fernwartung und aktuelle Firmware senken das Risiko deutlich.
  • Alte Router ohne Sicherheitsupdates oder mit WEP/WPA sollten ersetzt werden.

Was bei einem Angriff auf den Router technisch passiert

Ich trenne dabei bewusst zwischen einem simplen WLAN-Passwortproblem und einem echten Zugriff auf die Routerverwaltung. Letzteres ist die gefährlichere Variante, weil Angreifer dann nicht nur Geräte aussperren, sondern Netzregeln, DNS und Weiterleitungen verändern können. DNS ordnet Webadressen den richtigen IP-Adressen zu, DHCP verteilt automatisch die Netzwerkinfos an deine Geräte.

Praktisch bedeutet das: Statt nur einen Laptop zu infizieren, setzen Angreifer oft direkt an der Infrastruktur an. Eine aktuelle Microsoft-Analyse aus 2026 beschreibt genau dieses Muster bei kompromittierten SOHO-Routern: Erst wird die Routerkonfiguration verändert, danach landen Anfragen auf kontrollierten Servern, wo Login-Seiten nachgebaut oder Sitzungen abgegriffen werden können. Für Unternehmen ist das besonders unangenehm, weil dadurch auch E-Mail-, Cloud- und VPN-Zugänge betroffen sein können.

Der Router wird damit zum Hebel für drei Ziele: Umleitung, Ausspähung und Persistenz. Je länger die Manipulation unentdeckt bleibt, desto größer ist die Chance, dass zusätzlich Endgeräte oder Konten kompromittiert werden. Deshalb lohnt es sich, die typischen Warnzeichen nicht als Kleinigkeit abzutun.

Ein Router mit WLAN-Symbol, verbunden mit Laptop, Smartphone und Drucker. Schlösser symbolisieren Sicherheit, aber ein Hackerangriff auf den Router könnte alles gefährden.

Woran du eine Kompromittierung erkennst

Ein einzelnes Symptom beweist noch keinen Angriff. Wenn aber mehrere dieser Anzeichen zusammenkommen, würde ich den Router wie einen Verdachtsfall behandeln und nicht nur neu starten.

Anzeichen Was es oft bedeutet Was du sofort prüfst
Webseiten laden plötzlich falsch oder der Browser warnt vor Zertifikaten DNS wurde umgebogen oder der Traffic wird umgeleitet DNS-Server, Proxy-Einstellungen, Router-Logins, Zertifikatswarnungen
Unbekannte Geräte, neue Portfreigaben oder plötzlich aktive Fernwartung Jemand hat Zugriff auf die Verwaltung oder die Konfiguration wurde verändert Geräteliste, Portweiterleitungen, Remote-Management, Admin-Benutzer
WLAN-Name, Passwort oder Admin-Zugang wirken verändert Die Zugangsdaten wurden angepasst oder die Konfiguration ist nicht mehr vertrauenswürdig SSID, WLAN-Passwort, Admin-Passwort, zuletzt geänderte Einstellungen
Verbindung bricht häufiger ab oder das Netz verhält sich unstet Firmwarefehler, Überlastung oder laufende Manipulation Update-Status, Neustart-Historie, Störungsmeldungen des Providers
DNS- oder DHCP-Adressen zeigen auf unbekannte Ziele Der Router verteilt falsche Netzwerkinfos an alle angeschlossenen Geräte DHCP-Konfiguration, DNS-Felder, WAN- und LAN-Einstellungen

Bei Firmen sehe ich zusätzlich auffällige Logins, neue MFA-Abfragen, seltsame Mail-Weiterleitungen oder Beschwerden über „komische“ Anmeldeseiten. Das ist oft der Moment, in dem der Router nur der erste sichtbare Baustein ist und nicht das einzige betroffene System.

Die ersten 30 Minuten nach dem Verdacht

Hier zählt Reihenfolge mehr als Tempo. Ein Neustart allein reicht nicht; wenn die Konfiguration manipuliert wurde, kommt der gleiche Zustand nach dem Hochfahren oft zurück.

  1. Trenne die Internetverbindung des Routers, idealerweise das WAN-Kabel oder die Verbindung zum Modem. Wenn es ein geschäftskritisches Netz ist, dokumentiere vorher kurz den aktuellen Zustand mit Fotos oder Screenshots.
  2. Ändere von einem sauberen Gerät aus zuerst die wichtigsten Konten, vor allem E-Mail, Cloud, Banking und alles, was auf diesem Anschluss genutzt wird. Wenn du DNS-Manipulation vermutest, nutze dafür besser mobiles Netz oder ein anderes vertrauenswürdiges Netz.
  3. Rufe die Router-Oberfläche nur lokal auf, prüfe DNS-, DHCP-, Portweiterleitungs- und Remote-Management-Einstellungen und setze alles zurück, was du nicht bewusst eingerichtet hast.
  4. Aktualisiere die Firmware über den offiziellen Update-Weg des Herstellers oder über den Provider, wenn der Anschlussrouter vom Anbieter verwaltet wird.
  5. Wenn du der Konfiguration nicht mehr traust, setze den Router auf Werkseinstellungen zurück und richte ihn manuell neu ein. Ein altes Backup würde ich nur dann zurückspielen, wenn ich sicher bin, dass es keine manipulierten Werte enthält.
  6. Scanne danach alle Endgeräte im Netz und melde dich in wichtigen Diensten überall ab, damit alte Sitzungen nicht weiterlaufen.

Ich sichere mir in so einer Lage außerdem die aktuellen Routerwerte, weil spätere Rückfragen sonst unnötig schwer werden. Wenn sich zum Beispiel DNS oder Portfreigaben verändert haben, ist das oft der beste Beleg dafür, dass es sich nicht nur um einen simplen Verbindungsfehler handelte.

So härtest du Router und Heimnetz dauerhaft ab

Das BSI empfiehlt im Kern genau die Maßnahmen, die sich in der Praxis am meisten auszahlen: Standardpasswörter ersetzen, Firmware aktuell halten und unnötige Verwaltungswege abschalten. Ich würde das nicht als Einmalprojekt sehen, sondern als Basiskonfiguration, die nach jedem Providerwechsel oder größeren Gerätetausch überprüft wird.

Einstellung Empfehlung Warum das wichtig ist
Admin-Passwort Einzigartig, lang und nicht wiederverwendet Verhindert, dass Standard- oder geleakte Zugangsdaten reichen
WLAN-Verschlüsselung WPA3 Personal, sonst WPA2 Personal Schützt den Funkverkehr vor Mitlesen
Fernwartung Aus, wenn sie nicht wirklich gebraucht wird Reduziert die Angriffsfläche nach außen
WPS Deaktivieren Die bequeme Kopplung ist oft unnötiges Risiko
UPnP Nur aktiv lassen, wenn du es bewusst benötigst Verhindert automatische Freigaben, die du nicht kontrollierst
Gastnetz Für Besucher und fremde Geräte aktivieren Trennt das Hauptnetz von unklar vertrauenswürdigen Geräten
Firmware Automatisch aktualisieren oder fest prüfen Schließt bekannte Sicherheitslücken
Firewall Eingeschaltet lassen Fängt unnötige Zugriffe ab

Für Privathaushalte

  • Trenne das WLAN-Passwort vom Admin-Passwort. Das sind zwei verschiedene Schutzebenen.
  • Nutze ein Gastnetz für Besucher und, wenn möglich, für smarte Geräte mit geringer Vertrauensstufe.
  • Prüfe einmal im Monat die Geräteliste und die Update-Historie.
  • Deaktiviere Funktionen, die du nicht brauchst, statt sie aus Bequemlichkeit offen zu lassen.

Lesen Sie auch: Darknet verstehen - Technik, Risiken & echte Anonymität

Für kleine Unternehmen

  • Trenne Office-, Gast- und IoT-Geräte möglichst über getrennte Netze oder VLANs. Ein VLAN ist ein logisch getrenntes Netzsegment, auch wenn physisch derselbe Router dahintersteht.
  • Erlaube den Administrationszugang nur intern oder über ein VPN, nicht über die offene Weboberfläche im Internet.
  • Halte fest, wer Änderungen an der Netzkonfiguration vornehmen darf und wann zuletzt geprüft wurde.
  • Plane Logs und Backups so, dass du nach einem Vorfall nicht bei null anfängst.

Der größte Fehler ist aus meiner Sicht nicht ein einzelnes falsches Häkchen, sondern ein zu offenes Grunddesign: Fernzugriff an, alte Firmware, gleiche Passwörter überall und kein Blick auf die Geräte, die wirklich im Netz hängen. Genau diese Kombination macht Router attraktiv für Angreifer.

Wann Austausch oder Hilfe die bessere Entscheidung ist

Wenn ein Gerät keine Sicherheitsupdates mehr bekommt, würde ich nicht mehr lange herumkonfigurieren. Sicherheitslücken in alter Firmware sind für Angreifer oft der billigste Einstieg, und ein Router, der nur noch WEP oder WPA anbietet, ist 2026 schlicht nicht mehr zeitgemäß.

Für einen soliden Heimrouter plane ich grob 80 bis 180 Euro ein; Mesh-Systeme liegen meist bei 180 bis 450 Euro, und kleine Business-Router oder Security-Gateways starten häufig bei etwa 250 Euro und gehen deutlich höher. Das sind keine Luxuspreise, wenn man sie gegen einen längeren Ausfall, Mail-Missbrauch oder die komplette Neuabsicherung mehrerer Geräte stellt. Wenn du eine bereits kompromittierte Umgebung sauber neu aufbauen musst, ist die Frage oft nicht, ob du ersetzt, sondern wie schnell.

  • Ersetze den Router, wenn der Hersteller keine Sicherheitsupdates mehr liefert.
  • Tausche das Gerät, wenn nur noch alte WLAN-Standards verfügbar sind oder Fernwartung nicht sauber abschaltbar ist.
  • Ziehe Hilfe hinzu, wenn sich Einstellungen nach einem Reset wieder verändern.
  • Schalte einen Dienstleister ein, wenn am Anschluss Mail, Buchhaltung, VoIP oder ein größeres Smart-Home hängt.
  • Prüfe besonders kritisch, ob ein Provider-Router automatisch aktualisiert wird oder ob du auf Freigaben warten musst.

Ich würde außerdem ab einer Nutzungsdauer von fünf bis sieben Jahren genauer hinschauen, selbst wenn das Gerät noch läuft. Nicht weil es dann automatisch unsicher ist, sondern weil Update-Support, Funktionsumfang und Reparierbarkeit oft sichtbar nachlassen. In der Praxis ist genau das der Moment, an dem ein Austausch mehr Ruhe bringt als das nächste provisorische Patchen.

Die drei Stellschrauben, die ich nie offen lasse

Wenn ich eine Routerkonfiguration auf das Wesentliche reduziere, bleiben für mich drei Punkte übrig: keine offene Fernwartung, aktuelle Firmware, saubere Netztrennung. Genau diese Kombination nimmt Angreifern den schnellsten Weg in die Verwaltung, reduziert die Zahl der bekannten Lücken und verhindert, dass ein einzelnes kompromittiertes Gerät das ganze Netz mitreißt.

  • Fernwartung nur dann aktivieren, wenn sie wirklich gebraucht wird.
  • Firmware-Updates nicht aufschieben, sondern automatisieren oder fest einplanen.
  • Gastgeräte und IoT konsequent vom privaten oder geschäftlichen Hauptnetz trennen.

Wer diese drei Dinge sauber umsetzt, ist nicht unverwundbar, aber in einer deutlich besseren Position als die meisten Haushalte und kleinen Büros. Für mich ist das der Punkt, an dem Routersicherheit von einem Bauchgefühl zu einer belastbaren Baseline wird.

Häufig gestellte Fragen

Typische Anzeichen sind Weiterleitungen zu falschen Webseiten, unbekannte Geräte im Netzwerk, geänderte DNS-Einstellungen, neue Portfreigaben oder plötzliche Schwierigkeiten beim Login. Auch Zertifikatswarnungen oder unerklärliche Verbindungsabbrüche können Hinweise sein.

Trenne zuerst die Internetverbindung des Routers. Ändere dann wichtige Passwörter (E-Mail, Banking) von einem sicheren Gerät aus. Prüfe die Router-Einstellungen (DNS, DHCP, Fernwartung) und setze sie bei Bedarf zurück. Aktualisiere die Firmware oder setze den Router auf Werkseinstellungen zurück.

Verwende starke, einzigartige Admin-Passwörter und WPA3/WPA2-Verschlüsselung. Deaktiviere Fernwartung, WPS und UPnP, wenn nicht unbedingt nötig. Halte die Firmware aktuell und nutze ein Gastnetz für Besucher. Trenne IoT-Geräte vom Hauptnetz.

Ein Angreifer kann DNS-Anfragen umleiten, deinen Datenverkehr mitlesen, auf andere Geräte im Netzwerk zugreifen und sogar deine Online-Konten gefährden. Der Router wird zum Einfallstor für das gesamte Heim- oder Firmennetzwerk.

Artikel bewerten

Bewertung: 0.00 Stimmenanzahl: 0

Tags:

hackerangriff router router sicherheit erhöhen wlan router absichern

Beitrag teilen

Enno Wendt

Enno Wendt

Mein Name ist Enno Wendt und ich arbeite seit 7 Jahren im Bereich IT-Infrastruktur, Web-Technologien und Sicherheit. Mein Interesse an diesen Themen begann früh, als ich die Möglichkeiten erkannte, die Technologie bietet, um Probleme zu lösen und Prozesse zu optimieren. Ich finde es spannend, komplexe technische Zusammenhänge verständlich zu erklären und dabei aktuelle Trends und Entwicklungen im Blick zu behalten. In meinen Beiträgen konzentriere ich mich darauf, nützliche und präzise Informationen bereitzustellen, die sowohl für Fachleute als auch für Einsteiger zugänglich sind. Ich lege großen Wert darauf, meine Quellen sorgfältig zu überprüfen und Informationen zu vergleichen, um sicherzustellen, dass ich meinen Lesern eine klare und fundierte Sichtweise präsentiere. Mein Ziel ist es, Wissen so zu organisieren, dass es leicht verständlich ist und dabei hilft, die Herausforderungen der digitalen Welt zu meistern.

Kommentar schreiben