Ein kompromittierter Router ist mehr als ein WLAN-Problem: Wer die Konfiguration übernimmt, kann DNS-Anfragen umlenken, Zugriffe mitlesen und ganze Geräteflotten im Heim- oder Firmennetz schwächen. Ich ordne hier ein, wie so ein Angriff typischerweise funktioniert, woran du ihn erkennst und was du unmittelbar tun solltest. Danach geht es darum, wie du den Router so absicherst, dass aus einem Vorfall kein Dauerzustand wird.
Die wichtigsten Punkte zu einem Routerangriff auf einen Blick
- Ein Angriff zielt oft auf die Routerverwaltung, nicht nur auf das WLAN selbst.
- Besonders gefährlich sind geänderte DNS- und DHCP-Einstellungen, weil sie den gesamten Datenverkehr umlenken können.
- Typische Warnzeichen sind Weiterleitungen, Zertifikatswarnungen, unbekannte Geräte, neue Portfreigaben und plötzliche Login-Probleme.
- Im Verdachtsfall zuerst die Verbindung trennen, dann Passwörter von einem sauberen Gerät ändern und die Konfiguration prüfen.
- WPA3 oder WPA2, starke Admin-Passwörter, deaktivierte Fernwartung und aktuelle Firmware senken das Risiko deutlich.
- Alte Router ohne Sicherheitsupdates oder mit WEP/WPA sollten ersetzt werden.
Was bei einem Angriff auf den Router technisch passiert
Ich trenne dabei bewusst zwischen einem simplen WLAN-Passwortproblem und einem echten Zugriff auf die Routerverwaltung. Letzteres ist die gefährlichere Variante, weil Angreifer dann nicht nur Geräte aussperren, sondern Netzregeln, DNS und Weiterleitungen verändern können. DNS ordnet Webadressen den richtigen IP-Adressen zu, DHCP verteilt automatisch die Netzwerkinfos an deine Geräte.
Praktisch bedeutet das: Statt nur einen Laptop zu infizieren, setzen Angreifer oft direkt an der Infrastruktur an. Eine aktuelle Microsoft-Analyse aus 2026 beschreibt genau dieses Muster bei kompromittierten SOHO-Routern: Erst wird die Routerkonfiguration verändert, danach landen Anfragen auf kontrollierten Servern, wo Login-Seiten nachgebaut oder Sitzungen abgegriffen werden können. Für Unternehmen ist das besonders unangenehm, weil dadurch auch E-Mail-, Cloud- und VPN-Zugänge betroffen sein können.
Der Router wird damit zum Hebel für drei Ziele: Umleitung, Ausspähung und Persistenz. Je länger die Manipulation unentdeckt bleibt, desto größer ist die Chance, dass zusätzlich Endgeräte oder Konten kompromittiert werden. Deshalb lohnt es sich, die typischen Warnzeichen nicht als Kleinigkeit abzutun.

Woran du eine Kompromittierung erkennst
Ein einzelnes Symptom beweist noch keinen Angriff. Wenn aber mehrere dieser Anzeichen zusammenkommen, würde ich den Router wie einen Verdachtsfall behandeln und nicht nur neu starten.
| Anzeichen | Was es oft bedeutet | Was du sofort prüfst |
|---|---|---|
| Webseiten laden plötzlich falsch oder der Browser warnt vor Zertifikaten | DNS wurde umgebogen oder der Traffic wird umgeleitet | DNS-Server, Proxy-Einstellungen, Router-Logins, Zertifikatswarnungen |
| Unbekannte Geräte, neue Portfreigaben oder plötzlich aktive Fernwartung | Jemand hat Zugriff auf die Verwaltung oder die Konfiguration wurde verändert | Geräteliste, Portweiterleitungen, Remote-Management, Admin-Benutzer |
| WLAN-Name, Passwort oder Admin-Zugang wirken verändert | Die Zugangsdaten wurden angepasst oder die Konfiguration ist nicht mehr vertrauenswürdig | SSID, WLAN-Passwort, Admin-Passwort, zuletzt geänderte Einstellungen |
| Verbindung bricht häufiger ab oder das Netz verhält sich unstet | Firmwarefehler, Überlastung oder laufende Manipulation | Update-Status, Neustart-Historie, Störungsmeldungen des Providers |
| DNS- oder DHCP-Adressen zeigen auf unbekannte Ziele | Der Router verteilt falsche Netzwerkinfos an alle angeschlossenen Geräte | DHCP-Konfiguration, DNS-Felder, WAN- und LAN-Einstellungen |
Bei Firmen sehe ich zusätzlich auffällige Logins, neue MFA-Abfragen, seltsame Mail-Weiterleitungen oder Beschwerden über „komische“ Anmeldeseiten. Das ist oft der Moment, in dem der Router nur der erste sichtbare Baustein ist und nicht das einzige betroffene System.
Die ersten 30 Minuten nach dem Verdacht
Hier zählt Reihenfolge mehr als Tempo. Ein Neustart allein reicht nicht; wenn die Konfiguration manipuliert wurde, kommt der gleiche Zustand nach dem Hochfahren oft zurück.
- Trenne die Internetverbindung des Routers, idealerweise das WAN-Kabel oder die Verbindung zum Modem. Wenn es ein geschäftskritisches Netz ist, dokumentiere vorher kurz den aktuellen Zustand mit Fotos oder Screenshots.
- Ändere von einem sauberen Gerät aus zuerst die wichtigsten Konten, vor allem E-Mail, Cloud, Banking und alles, was auf diesem Anschluss genutzt wird. Wenn du DNS-Manipulation vermutest, nutze dafür besser mobiles Netz oder ein anderes vertrauenswürdiges Netz.
- Rufe die Router-Oberfläche nur lokal auf, prüfe DNS-, DHCP-, Portweiterleitungs- und Remote-Management-Einstellungen und setze alles zurück, was du nicht bewusst eingerichtet hast.
- Aktualisiere die Firmware über den offiziellen Update-Weg des Herstellers oder über den Provider, wenn der Anschlussrouter vom Anbieter verwaltet wird.
- Wenn du der Konfiguration nicht mehr traust, setze den Router auf Werkseinstellungen zurück und richte ihn manuell neu ein. Ein altes Backup würde ich nur dann zurückspielen, wenn ich sicher bin, dass es keine manipulierten Werte enthält.
- Scanne danach alle Endgeräte im Netz und melde dich in wichtigen Diensten überall ab, damit alte Sitzungen nicht weiterlaufen.
Ich sichere mir in so einer Lage außerdem die aktuellen Routerwerte, weil spätere Rückfragen sonst unnötig schwer werden. Wenn sich zum Beispiel DNS oder Portfreigaben verändert haben, ist das oft der beste Beleg dafür, dass es sich nicht nur um einen simplen Verbindungsfehler handelte.
So härtest du Router und Heimnetz dauerhaft ab
Das BSI empfiehlt im Kern genau die Maßnahmen, die sich in der Praxis am meisten auszahlen: Standardpasswörter ersetzen, Firmware aktuell halten und unnötige Verwaltungswege abschalten. Ich würde das nicht als Einmalprojekt sehen, sondern als Basiskonfiguration, die nach jedem Providerwechsel oder größeren Gerätetausch überprüft wird.
| Einstellung | Empfehlung | Warum das wichtig ist |
|---|---|---|
| Admin-Passwort | Einzigartig, lang und nicht wiederverwendet | Verhindert, dass Standard- oder geleakte Zugangsdaten reichen |
| WLAN-Verschlüsselung | WPA3 Personal, sonst WPA2 Personal | Schützt den Funkverkehr vor Mitlesen |
| Fernwartung | Aus, wenn sie nicht wirklich gebraucht wird | Reduziert die Angriffsfläche nach außen |
| WPS | Deaktivieren | Die bequeme Kopplung ist oft unnötiges Risiko |
| UPnP | Nur aktiv lassen, wenn du es bewusst benötigst | Verhindert automatische Freigaben, die du nicht kontrollierst |
| Gastnetz | Für Besucher und fremde Geräte aktivieren | Trennt das Hauptnetz von unklar vertrauenswürdigen Geräten |
| Firmware | Automatisch aktualisieren oder fest prüfen | Schließt bekannte Sicherheitslücken |
| Firewall | Eingeschaltet lassen | Fängt unnötige Zugriffe ab |
Für Privathaushalte
- Trenne das WLAN-Passwort vom Admin-Passwort. Das sind zwei verschiedene Schutzebenen.
- Nutze ein Gastnetz für Besucher und, wenn möglich, für smarte Geräte mit geringer Vertrauensstufe.
- Prüfe einmal im Monat die Geräteliste und die Update-Historie.
- Deaktiviere Funktionen, die du nicht brauchst, statt sie aus Bequemlichkeit offen zu lassen.
Lesen Sie auch: Darknet verstehen - Technik, Risiken & echte Anonymität
Für kleine Unternehmen
- Trenne Office-, Gast- und IoT-Geräte möglichst über getrennte Netze oder VLANs. Ein VLAN ist ein logisch getrenntes Netzsegment, auch wenn physisch derselbe Router dahintersteht.
- Erlaube den Administrationszugang nur intern oder über ein VPN, nicht über die offene Weboberfläche im Internet.
- Halte fest, wer Änderungen an der Netzkonfiguration vornehmen darf und wann zuletzt geprüft wurde.
- Plane Logs und Backups so, dass du nach einem Vorfall nicht bei null anfängst.
Der größte Fehler ist aus meiner Sicht nicht ein einzelnes falsches Häkchen, sondern ein zu offenes Grunddesign: Fernzugriff an, alte Firmware, gleiche Passwörter überall und kein Blick auf die Geräte, die wirklich im Netz hängen. Genau diese Kombination macht Router attraktiv für Angreifer.
Wann Austausch oder Hilfe die bessere Entscheidung ist
Wenn ein Gerät keine Sicherheitsupdates mehr bekommt, würde ich nicht mehr lange herumkonfigurieren. Sicherheitslücken in alter Firmware sind für Angreifer oft der billigste Einstieg, und ein Router, der nur noch WEP oder WPA anbietet, ist 2026 schlicht nicht mehr zeitgemäß.
Für einen soliden Heimrouter plane ich grob 80 bis 180 Euro ein; Mesh-Systeme liegen meist bei 180 bis 450 Euro, und kleine Business-Router oder Security-Gateways starten häufig bei etwa 250 Euro und gehen deutlich höher. Das sind keine Luxuspreise, wenn man sie gegen einen längeren Ausfall, Mail-Missbrauch oder die komplette Neuabsicherung mehrerer Geräte stellt. Wenn du eine bereits kompromittierte Umgebung sauber neu aufbauen musst, ist die Frage oft nicht, ob du ersetzt, sondern wie schnell.
- Ersetze den Router, wenn der Hersteller keine Sicherheitsupdates mehr liefert.
- Tausche das Gerät, wenn nur noch alte WLAN-Standards verfügbar sind oder Fernwartung nicht sauber abschaltbar ist.
- Ziehe Hilfe hinzu, wenn sich Einstellungen nach einem Reset wieder verändern.
- Schalte einen Dienstleister ein, wenn am Anschluss Mail, Buchhaltung, VoIP oder ein größeres Smart-Home hängt.
- Prüfe besonders kritisch, ob ein Provider-Router automatisch aktualisiert wird oder ob du auf Freigaben warten musst.
Ich würde außerdem ab einer Nutzungsdauer von fünf bis sieben Jahren genauer hinschauen, selbst wenn das Gerät noch läuft. Nicht weil es dann automatisch unsicher ist, sondern weil Update-Support, Funktionsumfang und Reparierbarkeit oft sichtbar nachlassen. In der Praxis ist genau das der Moment, an dem ein Austausch mehr Ruhe bringt als das nächste provisorische Patchen.
Die drei Stellschrauben, die ich nie offen lasse
Wenn ich eine Routerkonfiguration auf das Wesentliche reduziere, bleiben für mich drei Punkte übrig: keine offene Fernwartung, aktuelle Firmware, saubere Netztrennung. Genau diese Kombination nimmt Angreifern den schnellsten Weg in die Verwaltung, reduziert die Zahl der bekannten Lücken und verhindert, dass ein einzelnes kompromittiertes Gerät das ganze Netz mitreißt.
- Fernwartung nur dann aktivieren, wenn sie wirklich gebraucht wird.
- Firmware-Updates nicht aufschieben, sondern automatisieren oder fest einplanen.
- Gastgeräte und IoT konsequent vom privaten oder geschäftlichen Hauptnetz trennen.
Wer diese drei Dinge sauber umsetzt, ist nicht unverwundbar, aber in einer deutlich besseren Position als die meisten Haushalte und kleinen Büros. Für mich ist das der Punkt, an dem Routersicherheit von einem Bauchgefühl zu einer belastbaren Baseline wird.