Russische Staatshacker kapern Heimrouter: Das müssen Sie jetzt wissen

Gefahr aus dem Heimnetzwerk: Internationale Sicherheitsbehörden warnen vor manipulierten TP-Link-Routern. Russische Staatshacker haben weltweit Tausende Geräte infiltriert, um über manipulierte DNS-Einstellungen Passwörter und Zugangsdaten zu stehlen.

Foto: Smarterpix / Andreus

Russische Geheimdienste nehmen weltweit private Internetrouter ins Visier. Besonders Geräte des Herstellers TP-Link stehen im Fokus der Hackergruppe „Fancy Bear“. Durch manipulierte Einstellungen leiten die Angreifer den Datenverkehr unbemerkt um, um Passwörter und sensible E-Mails zu stehlen. Auch deutsche Unternehmen und Privatpersonen haben bereits Warnbriefe vom Verfassungsschutz erhalten. Wir erklären die Hintergründe der Spionagekampagne und wie Sie Ihr Netzwerk schützen.

Wenn der Router zum Spion wird

In vielen deutschen Haushalten und Büros blinken sie unscheinbar vor sich hin: Kleine Kunststoffkästen, die uns den Weg ins weltweite Netz ebnen. Doch genau diese Brückenköpfe der digitalen Kommunikation sind nun zum Ziel einer großangelegten Spionageoperation geworden. Internationale Sicherheitsbehörden, darunter das FBI, der Bundesnachrichtendienst (BND) und das Bundesamt für Verfassungsschutz (BfV), schlagen Alarm. Russische Staatshacker haben weltweit Tausende Internetrouter infiltriert.

Besonders brisant: Die Angreifer zielen nicht nur auf Großkonzerne oder Regierungen ab. Sie nutzen ganz gewöhnliche Hardware, die millionenfach in Wohnzimmern und kleinen Betrieben steht. Vor allem Geräte des Herstellers TP-Link dienen den Hackern als Einfallstor. Die Warnung ist so konkret, dass deutsche Behörden bereits im März 2026 damit begannen, betroffene Firmen und Privatpersonen per Post über die Infektion ihrer Geräte zu informieren.

Top Stellenangebote

Zur Jobbörse

Slider zurück scrollen Slider weiter scrollen

Projektleitung - Neubau Reinraum (all genders) Fraunhofer-Institut für Angewandte Festkörperphysik IAF

Freiburg im Breisgau Zum Job 

OT Security Engineer (m/w/d) TenneT TSO

Audorf, Stockelsdorf Zum Job 

Konstruktionsingenieur / Maschinenbautechniker (m/w/d) Schwerpunkt Maschinen- & Anlagenbau Schmoll Maschinen GmbH

Rödermark Zum Job 

(Senior) Projektkoordinator (m/w/d) Hochbau & Stadtentwicklung Immobilien Management Essen GmbH (IME)

Essen Zum Job 

Projektentwickler (m/w/d) Immobilien Allbau Managementgesellschaft mbH

Essen Zum Job 

Vertriebsingenieur (m/w/d) als Produkt-Account-Manager Antriebskomponenten/Bremsen RINGSPANN GmbH

Bad Homburg Zum Job 

Technical Expert / Sachverständiger (w/m/d) Bereich Global Technical Services Crawford & Company (Deutschland) GmbH

verschiedene Einsatzorte Zum Job 

Projektleiter (m/w/d) Schulbau GVE Grundstücksverwaltung Stadt Essen GmbH

Essen Zum Job 

Projektleiter (m/w/d) für Hoch- und Schlüsselfertigbau KLEBL GmbH

Raum Berlin-Brandenburg Zum Job 

Projektleiter (m/w/d) für Hoch- und Schlüsselfertigbau KLEBL GmbH

Frankfurt Zum Job 

Kalkulator (m/w/d) im Bereich Hochbau- und Schlüsselfertigbau KLEBL GmbH

Berlin-Brandenburg Zum Job 

Bauleiter (m/w/d) im Hausbau KLEBL GmbH

Neumarkt Zum Job 

Werkleiter Feinmechanik (m/w/d) über heiden associates Personalberatung

Ulm Zum Job 

Professur für Fahrzeugsicherheit mit Fokus auf Einsatz neuer Biomaterialien Technische Universität Graz

Graz (Österreich) Zum Job 

Head of Project Engineering (m/w/d) Oncotec Pharma Produktion GmbH

Dessau-Roßlau Zum Job 

Projektingenieur (Investitionsprojekte) (m/w/d) Oncotec Pharma Produktion GmbH

Dessau-Roßlau Zum Job 

HSE-Manager (m/w/d) Oncotec Pharma Produktion GmbH

Dessau-Roßlau Zum Job 

Leiter Technik (m/w/d) DYNOS GmbH

Troisdorf Zum Job 

Planung / Bauleitung Siedlungswasserwirtschaft (m/w/d) Stadt Ratingen

Ratingen Zum Job 

Strategischer Einkäufer im Sondermaschinenbau (m/w/d) KLN Ultraschall AG

Heppenheim (Bergstraße) Zum Job 

Wer steckt hinter den Angriffen?

Hinter der Kampagne vermuten Experten eine alte Bekannte: Die Gruppierung APT28, auch bekannt unter dem Namen „Fancy Bear“. Westliche Geheimdienste ordnen diese Einheit direkt dem russischen Militärgeheimdienst GRU zu. Es handelt sich nicht um Amateure, sondern um eine hochspezialisierte Eliteeinheit für digitale Kriegsführung.

Die Liste ihrer bisherigen Operationen liest sich wie ein Geschichtsbuch der Cyberkriminalität:

• 2015: Der großflächige Hack des Deutschen Bundestages.
• 2016: Einflussnahme auf den US-Wahlkampf durch „Hack-and-Leak“-Kampagnen.
• 2022: Ein Angriff auf die Zentrale der SPD in Berlin.
• 2024-2026: Systematische Spionage gegen Unterstützer der Ukraine.

Nun hat APT28 sein Arsenal erweitert. Statt nur Server direkt anzugreifen, kapern sie die Infrastruktur dazwischen.

Die Masche: DNS-Hijacking einfach erklärt

Die Hacker nutzen eine Methode, die Fachleute als DNS-Hijacking bezeichnen. Um zu verstehen, wie gefährlich das ist, hilft ein Vergleich mit einem Telefonbuch. Wenn Sie eine Webadresse wie ingenieur.de in Ihren Browser eingeben, muss Ihr Computer wissen, welche technische Adresse (IP-Adresse) dahintersteckt. Er fragt dafür einen DNS-Server (Domain Name System).

Die Angreifer manipulieren nun die Einstellungen Ihres Routers so, dass dieser nicht mehr das offizielle Telefonbuch nutzt, sondern ein gefälschtes Verzeichnis der Hacker. Das Ergebnis:

1. Sie tippen die Adresse Ihrer Bank oder Ihres E-Mail-Anbieters ein.
2. Der manipulierte Router leitet Sie unbemerkt auf eine täuschend echte Kopie der Seite um.
3. Dort geben Sie Ihre Zugangsdaten ein, die direkt bei den Hackern landen.

Dieser sogenannte „Man-in-the-Middle-Angriff“ ist besonders tückisch, da für den Nutzenden am Bildschirm oft alles normal aussieht. In der aktuellen Kampagne gehen die Täter zudem sehr selektiv vor. Sie sammeln erst einmal massenhaft Daten und filtern dann gezielt nach Opfern, die politisch oder militärisch interessant sein könnten.

Betroffene Hardware und Sicherheitslücken

Im Fokus stehen derzeit vor allem Router und WLAN-Verstärker von TP-Link. Laut den Sicherheitsbehörden nutzen die Hacker eine bereits seit 2024 dokumentierte Sicherheitslücke aus. Oft handelt es sich um den Typ WR841N. Durch speziell präparierte Anfragen über das Internet erlangen die Angreifer Zugriff auf das Gerät, sofern dieses nicht durch aktuelle Updates geschützt ist.

In Deutschland identifizierten die Behörden bislang rund 30 direkt kompromittierte Geräte. Weltweit geht die Zahl jedoch in die Tausende. Auch Hardware des Herstellers MikroTik wird in den Berichten des britischen National Cyber Security Centre (NCSC) als gefährdet genannt.

Das Bundesamt für Verfassungsschutz (BfV) mahnt zur Wachsamkeit: „Ein staatlicher russischer Cyberakteur kompromittiert aktuell TP-Link-Netzwerkgeräte.“

Auch interessant:

Datenklau

Quishing: So funktioniert die Betrugsmasche mit dem QR-Code

Cyber-Angriffe

Bitkom: Mehr als jeder Zweite schon Opfer von Cybercrime!

Warum gerade TP-Link?

Dass TP-Link so stark im Fokus steht, hat mehrere Gründe. Zum einen ist das Unternehmen einer der weltweit größten Produzenten von Netzwerktechnik. Zum anderen steht die Firma politisch unter Druck. Ursprünglich in China gegründet, wurde das Unternehmen mittlerweile in einen chinesischen und einen US-amerikanischen Zweig aufgeteilt. Dennoch werfen US-Behörden der Firma immer wieder vor, Hintertüren für staatliche Stellen offen zu halten – Vorwürfe, die TP-Link entschieden zurückweist.

Unabhängig von politischen Debatten zeigt der aktuelle Fall jedoch ein technisches Problem auf: Viele Nutzende vernachlässigen die Wartung ihrer Router. Während das Smartphone fast täglich Updates installiert, laufen Router oft jahrelang mit der gleichen Software (Firmware), die längst bekannte Lücken aufweist.

So schützen Sie sich effektiv

Sie müssen kein IT-Profi sein, um Ihr Netzwerk abzusichern. Die Experten des NCSC und des BND empfehlen eine Reihe von Basismaßnahmen:

• Updates einspielen: Prüfen Sie sofort, ob für Ihren Router eine neue Firmware verfügbar ist. Aktivieren Sie, falls möglich, die Funktion für automatische Updates.
• Passwörter ändern: Nutzen Sie für die Benutzeroberfläche Ihres Routers ein starkes, individuelles Passwort. Das Standardpasswort auf der Rückseite des Geräts reicht oft nicht aus.
• Fernwartung deaktivieren: Stellen Sie sicher, dass Ihr Router nicht über das öffentliche Internet konfiguriert werden kann. Diese Funktion sollte nur im heimischen Netzwerk (LAN/WLAN) aktiv sein.
• Multi-Faktor-Authentifizierung (MFA): Nutzen Sie für Ihre E-Mails und wichtigen Konten immer eine zweite Bestätigung (z. B. per App oder SMS). Selbst wenn Hacker Ihr Passwort stehlen, kommen sie so nicht in Ihr Konto.
• Sicherheits-Monitoring: Achten Sie auf ungewöhnliches Verhalten Ihrer Internetverbindung oder Warnmeldungen Ihres Browsers bezüglich ungültiger Sicherheitszertifikate.