Es ist zwar schon ein paar Tage her, aber nach dem ganzen Tohuwabohu kann man mal die Geschehnisse rund um den FRITZ!Box-Hack in Ruhe Revue passieren lassen. Das was AVM passiert ist, war natürlich ein starkes Stück: Wer den Fernzugriff seiner FRITZ!Box aktiviert hatte, der lief Gefahr dass sich Fremde auch ohne die nötigen Zugangsdaten einloggen konnten. So kam es wohl vereinzelt vor, dass Abzocker sich in entsprechend konfigurierte AVM-Router einloggten und VoIP-Telefone einrichteten, mit denen sie dann teure Mehrwertnummern im Ausland anriefen. Davon bekam der Anschlussinhaber erst mit der nächsten Rechnung etwas mit. Für einen Routerhersteller ist das natürlich der GAU — erst recht wenn man Marktführer mit einem entsprechenden Ruf ist. Bei der Schwere der Panne muss man aber auch AVM loben.

Mit Bekanntwerden der Schwachstelle wurde nicht lange um den heißen Brei herumgeredet. Es wurde offengelegt was schief läuft, Tipps lanciert wie man den Fernzugriff deaktiviert — falls er denn einmal extra aktiviert wurde, und dann über das Wochenende hinweg Updates bereit gestellt, die das Problem beheben. Dabei aktualisiert AVM nicht nur die aktuellen FRITZ!Boxen, sondern liefert sogar noch Updates für die über acht Jahre alte Fritz!Box 7170 aus. Ich persönlich empfinde dies als ein Beispiel für die generell sehr gute Produktpflege bei AVM, denn einen Router kauft man sich nicht alle Tage. Mein FRITZ!Box 7390 hat mehr als drei Jahre auf dem Buckel, und trotzdem läuft die aktuelle AVM-Firmware auf dem Gerät, das sollten Android-Handys mal nachmachen 😉

Daher auch noch mal hier im Blog: Spielt das Update der FRITZ!Box-Firmware ein! Einfach per http://fritz.box im Router einloggen, und dort entweder unter „Assistenten“ oder unter „System -> Update „die Update-Routine aufrufen und nach einer neuen FRITZ!OS-Version suchen lassen, wenn das System nicht sowieso schon ein Update anzeigt. Macht das bitte nicht nur bei euch, sondern auch bei Freunden, Bekannten oder Verwandten, die nicht so fit mit der Technik sind und sich nicht um solch banale Dinge wie den Router im Telefonschränkchen kümmern — Beim Telefon spielt man ja auch nicht mit irgendwelchen Updates rum…

So aktualisiert man die AVM FRITZ!Box.
So aktualisiert man die AVM FRITZ!Box.

Stellt sich nun nur noch die Frage, wie lange der Hack eigentlich im Einsatz war. Im IP-Phone-Forum gibt es einen Nutzer, der bereits Anfang November von teuren Gesprächen zu ausländischen Nummern berichtete, die er nicht geführt haben will. Allerdings schreibt er auch, dass er den in der FRITZ!Box eingerichteten VoIP-Account auch über das Internet nutzt, was natürlich eine gewaltige Sicherheitslücke aufreißen kann. Ebenso fehlt die Information, ob er mit seinem Problem an AVM herangetreten ist. Von daher kann der kuze Zeitraum vom Bekanntwerden der Schwachstelle, bis zum Fix durchaus stimmen.

Ich für meinen Teil habe den Fernwartungszugang der FRITZ!Box gar nicht erst geöffnet. Warum auch? Es ist zwar durchaus mal sehr bequem sich aus dem Netz zuhause in der Box einloggen zu können, aber muss das unbedingt direkt über http/https sein? Ich für meinen Teil lege unter diese Verbindung lieber noch ein VPN. Mit FRITZ!OS 6.0 lässt sich das FRITZ!Box-VPN recht bequem auch unter Linux und Android nutzen, ohne dass man mit nervigen Windows-Tools herumhantieren müsste, wie es früher mal nötig war. Von daher bleibt bei mit der Fernwartungszugang auch weiterhin zu, zur Not ist das VPN schnell aufgebaut.

11 Kommentare

  1. Man kann auch gleich an der Stelle erwähnen, wie schlecht im Kontrast zum AVM Support der der Provider ist, die entweder Routerzwang ausüben oder bei „freier“ Wahl das Update aus QS-Gründen hinauszögern und stattdessen lieber die Funktionsvielfalt beschränkt, indem die anfällige Funktionalität einfach deaktiviert wird.

    Danke übrigens für den VPN Artikel. Als ich auf Fritz!OS 6 aktualisiert habe, ist mir diese Neuigkeit irgendwie entgangen.

    • Das ist in der Tat ein Manko. Ich hab nicht umsonst bei Kabel Deutschland eine „normale“ Fritzbox hinter dem DSL-Modem hängen. Ich tue mir den Routerzwang nicht an. Zum Glück habe ich bei meinem Anbieter die Wahl…

  2. Ich auch zum Glück. Aber man kennt es ja leider auch anders.
    Wenn du bei Kabel Deutschland (KD) eine eigene Fritzbox (FB) betreibst, wie sieht es da eigentlich mit Telefoniefunktionen aus? Ich habe mich jetzt zu wenig damit beschäftigt, aber ich dachte, man muss die FB bei KD mieten, damit man vollen Funktionsumfang nutzen kann. Und die gemietete FB unterliegt dann wieder der Herrschaft von KD.

    edit: Ups, habe jetzt leider falsch geantwortet, ich hoffe, es stört den Kommentarverlauf nicht all zu sehr.

    • Telefonie ist (fast) kein Problem. Der einzige Punkt ist, dass dir das Kabel-Deutschland-Modem zwei analoge Telefonleitungen zur Verfügung stellt. Schließt du die Fritzbox direkt an das Modem an, dann kannst du nur eine Leitung nutzen. Will man beide Leitungen nutzen, dann müsste man den Stollmann TA+P2I dazwischen hängen.

  3. Ich war betroffen. Ein neue eingereichtetes VOIP1 hat eine Nacht lang mehrmals in Gambia angerufen. Ich hatte den Fernzugriff offen, um von unterwegs Anrufe und Anrufbeantworter zu checken. Genau genommen eigentlich Quatsch.

    Kabel Deutschland war da ganz cool (Den Kundenservice von denen hatte ich nicht immer in guter Erinnerung). Sie haben das aus meiner Rechnung schon automatisiert rausgeschmissen, sodass ich das gar nicht gesehen habe und mir parallel nochmal per Post mitgeteilt, dass ich gehackt worden bin und Gegenmaßnahmen ergreifen soll.
    Bei der Hotline war ein Mitarbeiter, der nur für betroffene Kunden zuständig war.

    AVM hat ja wie beschrieben schnell gepacht. Den Fernzugriff lasse ich trotzdem zu.

    • Hi Burki! Danke für den interessanten Input. Hast du deine FRITZ!Box von Kabel Deutschland bekommen, oder hast du deine „eigene“ angeschlossen. Da würde ja durchaus einen Unterschied in der Verantwortlichkeit machen. Danke, Christoph.

      • Das ist die Fritz-Box, die ich direkt von KD bekommen habe.

        Interessant wäre noch, wie die an meine IP gekommen sind, um den Hack überhaupt durchzuführen. Wurde das mittlerweile aufgeklärt?

        • Die sind nicht an deine IP „gekommen“. Die klappern einfach komplette IP-Bereiche ab. Vermutlich gezielt von den Anbietern, die FRITZ!Boxen an ihre Kunden verteilen, so würde ich das machen 😉

  4. Ich nutze den Fernzugang um meinen Server per Wake up by LAN aufzustarten. Das geht direkt über die Fritzbox, im Netz selbst habe ich das nicht geschafft. Dafür ist der Fernzugang sehr praktisch.
    Danke für die Info, werde gleich das Update machen!

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein