Heimnetzwerk richtig einrichten

Ethernet, 1973 von Robert Metcalfe bei Xerox PARC entwickelt, brachte lokale Netzwerke in Büros. WLAN (802.11b, 1999) befreite Geräte vom Kabel. Die erste echte Smart-Home-Revolution begann mit den Philips Hue Lampen (2012) und Amazons Echo (2014) — plötzlich waren Glühbirnen, Steckdosen und Lautsprecher im Netzwerk. 2023 sind in einem durchschnittlichen deutschen Haushalt 10-15 Geräte im Heimnetz — Smart-TV, Alexa, Hue, Fritzbox-Repeater, Babyphone, Drucker, Spielkonsolen, Laptops, Smartphones. Jedes davon ist ein potenzieller Eintrittspunkt.

• 1973: Ethernet von Metcalfe bei Xerox PARC — LAN als Bürotechnologie
• 1999: 802.11b WLAN — kabellose Heimnetzwerke für alle
• 2012: Philips Hue — erste massentaugliche IoT-Geräte im Heimnetz
• 2014: Amazon Echo — Smart Speaker mit permanenten Mikrofon als Normalität
• 2016: Mirai-Botnet: IoT-Router und Kameras als DDoS-Armee — 1,2 Tbit/s Angriff
• 2023: Durchschnittliches deutsches Heimnetz: 10-15 verbundene Geräte

Der Mirai-Botnet-Angriff von 2016 war ein Weckruf: Hunderttausende schlecht gesicherte IP-Kameras und Router wurden zu einer Angriffs-Armee zusammengeschaltet, die mit 1,2 Terabit pro Sekunde den DNS-Dienst Dyn angriff und damit Amazon, Twitter, Netflix und Spotify stundenlang lahmlegte. Diese Geräte wurden nicht gehackt — sie hatten schlicht Standard-Credentials wie "admin/admin" oder "root/1234". Heimrouter mit ungepatchter Firmware sind für automatisierte Scanner über Shodan in Minuten auffindbar.

• Mirai 2016: 300.000 IoT-Geräte mit Standard-Passwörtern = 1,2 Tbit/s DDoS-Armee
• Shodan: Suchmaschine für alle offenen Internet-Ports — findet dein NAS, Router, Kamera
• DNS-Hijacking: Kompromittierter Router leitet alle DNS-Anfragen um — Browser-Umleitungen auf Phishing
• SOHO-Router-CVEs: Jährlich Hunderte kritische Lücken in Heimroutern entdeckt
• IoT-Firmware-Updates: Smartbulbs, Thermostate, Babyphones — oft nie gepatcht
• Drucker im Netz: HP, Canon, Brother-Drucker haben Webserver und oft bekannte CVEs

Die FritzBox (marktführend in Deutschland) bietet ein umfangreiches Sicherheits-Dashboard. Die wichtigsten Einstellungen: Admin-Passwort ändern, FRITZ!OS aktuell halten, Gastnetz für IoT-Geräte einrichten (trennt Smart-Home vom PC-Netzwerk), UPnP deaktivieren, Remote-Access nur mit Zwei-Faktor-Authentifizierung. Für technisch Versierte empfiehlt sich Pi-hole als DNS-Sinkhole: blockiert Werbung und bekannte Malware-Domains netzwerkweit.

• Router-Admin-Passwort ändern: Standard-Credentials sind in Listen im Internet veröffentlicht
• Firmware-Updates: FritzBox, AVM-Router — automatische Updates in Einstellungen aktivieren
• Gastnetz einrichten: Alle IoT-Geräte ins Gastnetz — kein Zugriff auf Hauptnetz
• UPnP deaktivieren: Öffnet automatisch Ports ohne Bestätigung — häufig für Angriffe missbraucht
• WPA3 oder WPA2-AES: In Router-Einstellungen unter WLAN-Sicherheit
• Pi-hole: DNS-basierter Ad- und Malware-Blocker — blockiert netzwerkweit auf Raspberry Pi

Das Smart Home hat ein strukturelles Sicherheitsproblem: IoT-Hersteller priorisieren Kosten über Sicherheit, Firmware-Updates enden oft nach 1-2 Jahren, und Geräte bleiben danach für immer ungepatchte Angriffsflächen im Netzwerk. Die Lösung: Netzwerk-Trennung durch ein dediziertes IoT-VLAN (oder zumindest Gastnetz), regelmäßige Inventarisierung aller Geräte und bewusstes "End of Support"-Management.

• IoT-Inventar: Liste aller Netzwerkgeräte mit Modell, Firmware-Version und Support-Datum
• VLAN-Trennung: IoT im separaten Netzwerksegment — kein Routing zu PCs/NAS/Smartphones
• Lokale Smarthome-Zentrale: Home Assistant statt Cloud — Kontrolle ohne Herstellerabhängigkeit
• Matter-Standard: Neues, sichereres IoT-Protokoll — bei Neuanschaffung bevorzugen
• Geräte "End of Support" ersetzen oder vom Netz nehmen — ungepatchte IoT = permanente Bedrohung
• Regelmäßig prüfen: fritz.box → Heimnetz-Übersicht → alle verbundenen Geräte