· Rexoma Team · IT-Sicherheit · 6 min read
Router-Sicherheit für KMU: Warum veraltete Firmware Ihr Netzwerk gefährdet
74.000 kompromittierte Firewalls in einer Aktion – Router und Netzwerkgeräte sind das am häufigsten vergessene Einfallstor in KMU-Netzwerke. Was Sie jetzt tun müssen.
74.000 Fortinet-Firewalls wurden im Juni 2026 in einer einzigen koordinierten Aktion kompromittiert – auf Geräten, für die seit Monaten Sicherheitspatches verfügbar waren. Was für große Konzerne spektakulär klingt, trifft KMU in der Praxis noch härter: Router und Netzwerkgeräte laufen in kleinen und mittleren Unternehmen oft jahrelang ohne Updates, mit Standardpasswörtern und offenen Verwaltungsoberflächen. Dabei sind sie das Erste, was ein Angreifer sieht, wenn er Ihr Unternehmen ins Visier nimmt.
Warum Router das vergessene Einfallstor in KMU-Netzwerken sind
Server werden gepatcht, Clients bekommen ihre Windows-Updates – aber der Router im Serverraum läuft seit drei Jahren unverändert. Die Gesellschaft für Informatik hat zuletzt die Router-Sicherheitslage in Deutschland untersucht und kommt zu einem ernüchternden Befund: Netzwerkgeräte werden von KMU systematisch vernachlässigt.
Die Gründe sind immer ähnlich:
- “Set and forget”-Mentalität: Das Gerät läuft, also stimmt alles.
- Fehlende Sichtbarkeit: Niemand meldet sich an, niemand sieht Probleme.
- Unklare Zuständigkeit: Ist es Aufgabe des IT-Dienstleisters, des Unternehmens oder des Herstellers?
- Kein Patchday-Prozess: Bei Servern gibt es einen – bei Netzwerkgeräten oft nicht.
Das Ergebnis: Geräte mit bekannten, längst behobenen Schwachstellen bleiben jahrelang im Einsatz und öffnen Angreifern das Netzwerk.
Die drei häufigsten Schwachstellen in KMU-Netzwerkgeräten
1. Bekannte, ungepatchte CVEs
Hersteller veröffentlichen regelmäßig Sicherheitspatches. Wer diese nicht einspielt, bleibt dauerhaft verwundbar – auch wenn die Lücken öffentlich bekannt und aktiv ausgenutzt werden. Angreifer scannen automatisiert das gesamte Internet nach Geräten mit bekannten Schwachstellen. Das dauert keine Stunden, sondern Minuten.
2. Standard-Zugangsdaten
admin/admin, admin/password oder die aufgedruckte Seriennummer als Passwort: Millionen von Netzwerkgeräten sind weltweit mit Default-Credentials erreichbar. Botnetze wie Mirai scannen automatisch nach solchen Geräten – wer hier nicht handelt, stellt sein Netzwerk buchstäblich offen.
3. Offene Verwaltungsoberflächen aus dem Internet
Das Web-GUI auf Port 443, SSH auf Port 22, Telnet – wenn Verwaltungszugänge direkt aus dem Internet erreichbar sind, ist es nur eine Frage der Zeit bis jemand einen Login-Versuch startet. In ostdeutschen KMU beobachten wir dies regelmäßig bei Erstaudits.
Router-Härtung Schritt für Schritt
Die gute Nachricht: Die wichtigsten Maßnahmen erfordern kein Spezialwissen, nur Konsequenz.
Schritt 1: Inventur aller Netzwerkgeräte
Erstellen Sie eine vollständige Liste: Router, Switches, Access Points, Firewalls, NAS-Geräte. Notieren Sie Hersteller, Modell, Firmware-Version und Kaufdatum. Ohne diese Basis haben Sie keinen Überblick über Ihr eigenes Netzwerk.
Schritt 2: Firmware auf allen Geräten aktualisieren
Vergleichen Sie für jedes Gerät die installierte Firmware-Version mit der aktuellen Version auf der Herstellerseite. Viele Hersteller bieten automatische Updates – aktivieren Sie diese, wo möglich.
Wichtig: Bei Unternehmens-Equipment (Cisco, Fortinet, MikroTik, Ubiquiti) sollten Updates immer erst in einem Testfenster eingespielt werden. Ungeplante Konfigurationsänderungen durch Updates haben schon manchen Ausfall verursacht.
Für KMU in Dresden und Sachsen gilt zusätzlich: Prüfen Sie bei über Fördermittel beschafften Geräten die Supportlaufzeiten. Ältere Geräte erhalten ab einem bestimmten Datum keine Firmware-Updates mehr – ein Risiko, das aktiv gemanagt werden muss.
Schritt 3: Standard-Zugangsdaten ändern
Für jeden Router, Switch und Access Point gilt sofort:
- Neues Admin-Passwort setzen (mindestens 16 Zeichen, zufällig generiert)
- Standard-Benutzernamen ändern, wenn möglich
- SNMP-Community-Strings ändern oder SNMP komplett deaktivieren
- Default-WLAN-Namen (z.B. “NETGEAR_5G”) durch nicht-aussagekräftige Namen ersetzen
Nutzen Sie einen Passwortmanager wie Bitwarden, um die Zugangsdaten zentral und sicher zu verwahren.
Schritt 4: Verwaltungszugänge absichern
- Management-Interface nur intern: Das Web-GUI darf aus dem Internet nicht erreichbar sein – punkt.
- Dediziertes Management-VLAN: Netzwerkgeräte werden nur über ein separates, abgetrenntes VLAN administriert.
- IP-Whitelisting: Verwaltungszugriff nur von definierten Admin-Workstations erlauben.
- SSH statt Telnet: Wenn Kommandozeilen-Zugriff nötig ist, ausschließlich SSH mit Schlüssel-Authentifizierung.
- HTTPS erzwingen: HTTP ohne Verschlüsselung hat auf einem Admin-Interface nichts verloren.
Schritt 5: Unnötige Dienste deaktivieren
Überprüfen Sie, welche Dienste auf dem Gerät aktiv sind und schalten Sie alles ab, was nicht benötigt wird:
- Universal Plug and Play (UPnP) – in KMU fast immer nicht benötigt, hat bekannte Angriffsflächen
- WPS (WiFi Protected Setup) – enthält bekannte Schwachstellen, sollte immer deaktiviert werden
- Remote-Management aus dem Internet – nur mit VPN-Vorschaltung, niemals direkt
- Telnet – unverschlüsselt, durch SSH ersetzen
- Herstellerspezifische Cloud-Services – prüfen, ob tatsächlich benötigt
Schritt 6: Firmware-Update-Prozess dauerhaft etablieren
Einmaliges Patchen reicht nicht. Definieren Sie einen festen Prozess:
- Monatlich: Prüfung auf neue Firmware-Versionen für alle kritischen Geräte
- Quartalsmäßig: Vollständige Überprüfung aller Netzwerkgeräte inklusive Dokumentation
- Bei kritischen CVEs: Ad-hoc-Patching innerhalb von 48-72 Stunden
Tragen Sie sich in die Security-Mailinglisten der Hersteller ein. Das BSI publiziert ebenfalls regelmäßig Warnmeldungen – der Newsletter ist kostenlos und empfehlenswert.
Was tun wenn das Gerät keinen Patch mehr bekommt
Ältere Geräte erhalten ab einem bestimmten Zeitpunkt keine Sicherheitsupdates mehr (End of Life). Das ist ein konkretes Risiko:
- Risikobewertung durchführen: Wie kritisch ist das Gerät im Netzwerk? Ein Internet-Router ist kritischer als ein interner Switch im Lager.
- Kompensationsmaßnahmen einleiten: Zusätzliche Firewall-Regeln, Netzwerksegmentierung, engeres Monitoring des betroffenen Geräts.
- Ersatz planen: EOL-Geräte sollten innerhalb von 12 Monaten ersetzt werden – nicht erst wenn sie ausfallen.
- Budget einplanen: Hardware-Lebenszyklus-Management ist kein Luxus, sondern Teil eines verantwortungsvollen IT-Betriebs.
Sie suchen Unterstützung in Dresden?
Rexoma IT hilft KMU in Dresden und ganz Sachsen dabei, ihre Netzwerkinfrastruktur systematisch abzusichern. Ob Firmware-Audit, Router-Härtung, Netzwerksegmentierung mit VLANs oder die Einführung einer OPNsense-Firewall als Ersatz für veraltete Hardware – wir übernehmen die Umsetzung und erklären dabei transparent, was wir tun und warum.
Jetzt Erstgespräch vereinbaren
FAQ: Router-Sicherheit für KMU
Wie oft sollte ich die Firmware meiner Netzwerkgeräte aktualisieren?
Mindestens einmal pro Quartal sollten Sie prüfen, ob neue Versionen verfügbar sind. Bei öffentlich bekannten Sicherheitslücken (CVEs) sollten Sie innerhalb von 24-72 Stunden handeln – Angreifer nutzen bekannte Schwachstellen erfahrungsgemäß innerhalb weniger Stunden nach Veröffentlichung aus.
Ist eine FritzBox für ein kleines Büro ausreichend abgesichert?
AVM veröffentlicht regelmäßig Firmware-Updates, und der Update-Prozess ist einfach. Das größte Risiko bei einer FritzBox ist aktivierter MyFRITZ!-Fernzugang ohne VPN. Für Büros bis ca. 5 Mitarbeiter kann eine aktuelle FritzBox ausreichen – für größere KMU oder bei erhöhten Sicherheitsanforderungen empfehlen wir eine dedizierte Firewall-Lösung wie OPNsense.
Was ist der Unterschied zwischen Router und Firewall?
Ein Router leitet Datenpakete zwischen verschiedenen Netzwerken weiter. Eine Firewall filtert diesen Datenverkehr nach definierten Regeln. Moderne Geräte kombinieren oft beides. Für KMU ab etwa 10 Mitarbeitern empfehlen wir eine dedizierte Firewall, die tiefere Einblicke, flexiblere Regelwerke und besseres Logging bietet.
Woran erkenne ich, dass mein Router kompromittiert wurde?
Typische Anzeichen: ungewöhnliche ausgehende Verbindungen, veränderte DNS-Einstellungen (z.B. plötzlich unbekannte DNS-Server), unbekannte Geräte im Netzwerk, veränderte Firewall-Regeln oder auffällige Login-Versuche im Log. Ein regelmäßiges Netzwerk-Monitoring – zum Beispiel mit Grafana und einem SNMP-Exporter – hilft, solche Anomalien frühzeitig zu erkennen.
Muss ich bei Firmware-Updates Ausfallzeiten einplanen?
Ja. Firmware-Updates erfordern in der Regel einen Neustart des Geräts, was wenige Minuten Verbindungsunterbrechung bedeutet. Planen Sie Updates außerhalb der Kerngeschäftszeiten – z.B. früh morgens oder am Wochenende. Bei redundanten Internetanbindungen (zwei ISPs) lässt sich der Ausfall überbrücken.
Rexoma IT