Fancy Bear 08.04.2026, 10:35 Uhr

Russische Staatshacker kapern Heimrouter: Das müssen Sie jetzt wissen

Geheimdienst-Warnung: Russische Hacker nutzen Sicherheitslücken in Routern für Spionage. Wir zeigen, welche Geräte betroffen sind und was zu tun ist.

Router unter der Lupe

Gefahr aus dem Heimnetzwerk: Internationale Sicherheitsbehörden warnen vor manipulierten TP-Link-Routern. Russische Staatshacker haben weltweit Tausende Geräte infiltriert, um über manipulierte DNS-Einstellungen Passwörter und Zugangsdaten zu stehlen.

Foto: Smarterpix / Andreus

Russische Geheimdienste nehmen weltweit private Internetrouter ins Visier. Besonders Geräte des Herstellers TP-Link stehen im Fokus der Hackergruppe „Fancy Bear“. Durch manipulierte Einstellungen leiten die Angreifer den Datenverkehr unbemerkt um, um Passwörter und sensible E-Mails zu stehlen. Auch deutsche Unternehmen und Privatpersonen haben bereits Warnbriefe vom Verfassungsschutz erhalten. Wir erklären die Hintergründe der Spionagekampagne und wie Sie Ihr Netzwerk schützen.

Inhaltsverzeichnis

Wenn der Router zum Spion wird

In vielen deutschen Haushalten und Büros blinken sie unscheinbar vor sich hin: Kleine Kunststoffkästen, die uns den Weg ins weltweite Netz ebnen. Doch genau diese Brückenköpfe der digitalen Kommunikation sind nun zum Ziel einer großangelegten Spionageoperation geworden. Internationale Sicherheitsbehörden, darunter das FBI, der Bundesnachrichtendienst (BND) und das Bundesamt für Verfassungsschutz (BfV), schlagen Alarm. Russische Staatshacker haben weltweit Tausende Internetrouter infiltriert.

Besonders brisant: Die Angreifer zielen nicht nur auf Großkonzerne oder Regierungen ab. Sie nutzen ganz gewöhnliche Hardware, die millionenfach in Wohnzimmern und kleinen Betrieben steht. Vor allem Geräte des Herstellers TP-Link dienen den Hackern als Einfallstor. Die Warnung ist so konkret, dass deutsche Behörden bereits im März 2026 damit begannen, betroffene Firmen und Privatpersonen per Post über die Infektion ihrer Geräte zu informieren.

Top Stellenangebote

Zur Jobbörse
GOLDBECK SOLAR GmbH-Firmenlogo
Bauleiter (m/w/d) PV-Dachanlagen GOLDBECK SOLAR GmbH
deutschlandweit Zum Job 
Schleifring GmbH-Firmenlogo
Vertriebsingenieur Maschinenbau & Elektrotechnik (m/w/d) Schleifring GmbH
Fürstenfeldbruck Zum Job 
Landesbetrieb Straßenbau und Verkehr Schleswig-Holstein-Firmenlogo
Bauingenieurin / Bauingenieur (w/m/d) für den konstruktiven Ingenieurbau im Geschäftsbereich 3 "Erhaltung, Kompetenzzentrum Brücken" Landesbetrieb Straßenbau und Verkehr Schleswig-Holstein
Rendsburg, Lübeck, Kiel, Itzehoe, Flensburg Zum Job 
BEC GmbH-Firmenlogo
Projektmanager Automatisierung und Sondermaschinenbau (Mensch) BEC GmbH
Pfullingen Zum Job 
Stadtwerke Leipzig GmbH-Firmenlogo
Ingenieur (m/w/d) Elektrotechnik Stadtwerke Leipzig GmbH
Leipzig Zum Job 
TenneT TSO GmbH-Firmenlogo
Lead Asset Management & Engineering (m/w/d) TenneT TSO GmbH
Lehrte, Bayreuth Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Bauingenieur für Straßenplanung / Verkehrsplanung (w/m/d) Die Autobahn GmbH des Bundes
Fürth Zum Job 
Hochschule Merseburg-Firmenlogo
Professur (W2): Automatisierungstechnik Hochschule Merseburg
Merseburg Zum Job 
High-Tech Park Sachsen-Anhalt GmbH-Firmenlogo
Ingenieure (m/w/d) Bauingenieurwesen / Bauliche Projektentwicklung / Straßenbau / Infrastruktur / Stadt- und Regionalplanung / Verkehrswesen High-Tech Park Sachsen-Anhalt GmbH
Magdeburg Zum Job 
BERICAP GmbH & Co. KG-Firmenlogo
Automation & Process Innovation Engineer (m/w/d) BERICAP GmbH & Co. KG
Budenheim Zum Job 
Landesbetrieb Straßenbau und Verkehr Schleswig-Holstein-Firmenlogo
Bauingenieurin / Bauingenieur (w/m/d) für den konstruktiven Ingenieurbau Landesbetrieb Straßenbau und Verkehr Schleswig-Holstein
Rendsburg, Lübeck, Kiel, Itzehoe, Flensburg Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Abteilungsleitung (w/m/d) Konstruktiver Ingenieurbau, Lärmschutzbauwerke Die Autobahn GmbH des Bundes
Nürnberg Zum Job 
TUTOGEN Medical GmbH-Firmenlogo
Leitung Qualitätsmanagement international / Sachkundige Person (m/w/d) TUTOGEN Medical GmbH
Neunkirchen am Brand Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Bauingenieur für Streckenplanung (w/m/d) Die Autobahn GmbH des Bundes
Fürth Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Fachingenieur für Streckenplanung (w/m/d) Die Autobahn GmbH des Bundes
Fürth Zum Job 
DFS Deutsche Flugsicherung-Firmenlogo
Produktmanager (w/m/d) für Systementwicklung iCAS DFS Deutsche Flugsicherung
Langen bei Frankfurt Zum Job 
WBS TRAINING AG-Firmenlogo
Schweißlehrer:in für WIG, MIG/MAG und E-Hand (m/w/d) WBS TRAINING AG
Dresden Zum Job 
M.E. SCHUPP Industriekeramik GmbH-Firmenlogo
Projektingenieur/in - Technische Projektierung / Presales Engineering (m/w/d) mit Schwerpunkt keramische Hochtemperatur-Isolationstechnik M.E. SCHUPP Industriekeramik GmbH
Aachen Zum Job 
TenneT TSO-Firmenlogo
Parametrierer Stationsleittechnik (m/w/d) TenneT TSO
Audorf, Stockelsdorf Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Bauingenieur (w/m/d) für die Projektleitung von Lärmschutz- und Brückenbauwerken Die Autobahn GmbH des Bundes
Nürnberg Zum Job 

Wer steckt hinter den Angriffen?

Hinter der Kampagne vermuten Experten eine alte Bekannte: Die Gruppierung APT28, auch bekannt unter dem Namen „Fancy Bear“. Westliche Geheimdienste ordnen diese Einheit direkt dem russischen Militärgeheimdienst GRU zu. Es handelt sich nicht um Amateure, sondern um eine hochspezialisierte Eliteeinheit für digitale Kriegsführung.

Die Liste ihrer bisherigen Operationen liest sich wie ein Geschichtsbuch der Cyberkriminalität:

  • 2015: Der großflächige Hack des Deutschen Bundestages.
  • 2016: Einflussnahme auf den US-Wahlkampf durch „Hack-and-Leak“-Kampagnen.
  • 2022: Ein Angriff auf die Zentrale der SPD in Berlin.
  • 2024-2026: Systematische Spionage gegen Unterstützer der Ukraine.

Nun hat APT28 sein Arsenal erweitert. Statt nur Server direkt anzugreifen, kapern sie die Infrastruktur dazwischen.

Die Masche: DNS-Hijacking einfach erklärt

Die Hacker nutzen eine Methode, die Fachleute als DNS-Hijacking bezeichnen. Um zu verstehen, wie gefährlich das ist, hilft ein Vergleich mit einem Telefonbuch. Wenn Sie eine Webadresse wie ingenieur.de in Ihren Browser eingeben, muss Ihr Computer wissen, welche technische Adresse (IP-Adresse) dahintersteckt. Er fragt dafür einen DNS-Server (Domain Name System).

Die Angreifer manipulieren nun die Einstellungen Ihres Routers so, dass dieser nicht mehr das offizielle Telefonbuch nutzt, sondern ein gefälschtes Verzeichnis der Hacker. Das Ergebnis:

  1. Sie tippen die Adresse Ihrer Bank oder Ihres E-Mail-Anbieters ein.
  2. Der manipulierte Router leitet Sie unbemerkt auf eine täuschend echte Kopie der Seite um.
  3. Dort geben Sie Ihre Zugangsdaten ein, die direkt bei den Hackern landen.

Dieser sogenannte „Man-in-the-Middle-Angriff“ ist besonders tückisch, da für den Nutzenden am Bildschirm oft alles normal aussieht. In der aktuellen Kampagne gehen die Täter zudem sehr selektiv vor. Sie sammeln erst einmal massenhaft Daten und filtern dann gezielt nach Opfern, die politisch oder militärisch interessant sein könnten.

Betroffene Hardware und Sicherheitslücken

Im Fokus stehen derzeit vor allem Router und WLAN-Verstärker von TP-Link. Laut den Sicherheitsbehörden nutzen die Hacker eine bereits seit 2024 dokumentierte Sicherheitslücke aus. Oft handelt es sich um den Typ WR841N. Durch speziell präparierte Anfragen über das Internet erlangen die Angreifer Zugriff auf das Gerät, sofern dieses nicht durch aktuelle Updates geschützt ist.

In Deutschland identifizierten die Behörden bislang rund 30 direkt kompromittierte Geräte. Weltweit geht die Zahl jedoch in die Tausende. Auch Hardware des Herstellers MikroTik wird in den Berichten des britischen National Cyber Security Centre (NCSC) als gefährdet genannt.

Das Bundesamt für Verfassungsschutz (BfV) mahnt zur Wachsamkeit: „Ein staatlicher russischer Cyberakteur kompromittiert aktuell TP-Link-Netzwerkgeräte.“

Dass TP-Link so stark im Fokus steht, hat mehrere Gründe. Zum einen ist das Unternehmen einer der weltweit größten Produzenten von Netzwerktechnik. Zum anderen steht die Firma politisch unter Druck. Ursprünglich in China gegründet, wurde das Unternehmen mittlerweile in einen chinesischen und einen US-amerikanischen Zweig aufgeteilt. Dennoch werfen US-Behörden der Firma immer wieder vor, Hintertüren für staatliche Stellen offen zu halten – Vorwürfe, die TP-Link entschieden zurückweist.

Unabhängig von politischen Debatten zeigt der aktuelle Fall jedoch ein technisches Problem auf: Viele Nutzende vernachlässigen die Wartung ihrer Router. Während das Smartphone fast täglich Updates installiert, laufen Router oft jahrelang mit der gleichen Software (Firmware), die längst bekannte Lücken aufweist.

So schützen Sie sich effektiv

Sie müssen kein IT-Profi sein, um Ihr Netzwerk abzusichern. Die Experten des NCSC und des BND empfehlen eine Reihe von Basismaßnahmen:

  • Updates einspielen: Prüfen Sie sofort, ob für Ihren Router eine neue Firmware verfügbar ist. Aktivieren Sie, falls möglich, die Funktion für automatische Updates.
  • Passwörter ändern: Nutzen Sie für die Benutzeroberfläche Ihres Routers ein starkes, individuelles Passwort. Das Standardpasswort auf der Rückseite des Geräts reicht oft nicht aus.
  • Fernwartung deaktivieren: Stellen Sie sicher, dass Ihr Router nicht über das öffentliche Internet konfiguriert werden kann. Diese Funktion sollte nur im heimischen Netzwerk (LAN/WLAN) aktiv sein.
  • Multi-Faktor-Authentifizierung (MFA): Nutzen Sie für Ihre E-Mails und wichtigen Konten immer eine zweite Bestätigung (z. B. per App oder SMS). Selbst wenn Hacker Ihr Passwort stehlen, kommen sie so nicht in Ihr Konto.
  • Sicherheits-Monitoring: Achten Sie auf ungewöhnliches Verhalten Ihrer Internetverbindung oder Warnmeldungen Ihres Browsers bezüglich ungültiger Sicherheitszertifikate.

Ein Beitrag von:

  • Dominik Hochwarth

    Redakteur beim VDI Verlag. Nach dem Studium absolvierte er eine Ausbildung zum Online-Redakteur, es folgten ein Volontariat und jeweils 10 Jahre als Webtexter für eine Internetagentur und einen Onlineshop. Seit September 2022 schreibt er für ingenieur.de.

Empfehlung der Redaktion

Projektmanagement
Projektmanagement

Die 11 besten Projektmanagement-Tools
Stromkabel an B des Bitcoin
Kryptowährung

Bitcoin: Wie umweltschädlich ist die Kryptowährung wirklich?
Messenger-Dienst

WhatsApp-Tricks, die Sie noch nicht kannten
Bildbearbeitung

Photoshop und Lightroom: Diese Alternativen sollten Sie sich anschauen
Luftbildaufnahme von Tokio
Ranking

Die 10 größten Städte der Welt
Geschichte des Internets
Vom militärischem Experiment zur globalen Revolution

Blick auf die Geschichte des Internets

Ähnliche Artikel

Bitcoin und eine Tastatur
Krypto-News

Bitcoin: Google schlägt Alarm! Prognose: Quantencomputer & Bitcoin – in nur 9 Minuten geknackt?
Bitcoin Goldmünze. Kryptowährung mit amerikanischer Flagge auf schwarzem Tisch.
Krypto-News

Bitcoin Prognose 2026: Krypto-Guru rechnet ab! Willy Woo über Markt-Manipulation, Insider-Abzocke – und warum nur BTC jetzt überlebt
Glasfaserkabel
High-Tech im Regolith

Ein Kabel, Tausende Sensoren: Glasfaser vermisst den Mond
Collien Fernandes
Angriff auf die eigene Person

Identitätsdiebstahl außer Kontrolle? Warum der Fall Fernandes alarmiert

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.

Jetzt anmelden

Auch auf dieser Seite werden Cookies verwendet. Wir können damit die Seitennutzung auswerten, um nutzungsbasiert redaktionelle Inhalte und Werbung anzuzeigen. Das ist für uns wichtig, denn unser Angebot finanziert sich über Werbung. Die Nutzung der Seite gilt als Zustimmung zur Cookie-Nutzung. Weitere Infos