Warum sollte ich mein WLAN überhaupt absichern?
Weil dein WLAN der Haupteingang zu deinem digitalen Zuhause ist — und die meisten lassen die Tür sperrangelweit offen.
Eine Erhebung des Fraunhofer-Instituts aus 2024 zeigt: 42 Prozent der deutschen Heimnetzwerke nutzen noch veraltete Sicherheitseinstellungen. Und laut einer AVM-Studie ändern 36 Prozent der Fritz!Box-Besitzer nie das voreingestellte WLAN-Passwort. Nie.
Das Problem ist nicht, dass morgen ein Hacker vor deiner Haustür steht. Das Problem ist der Nachbar mit Langeweile, der Drive-by-Angreifer im Auto oder die Malware, die sich von einem infizierten Gerät im Netzwerk auf alle anderen ausbreitet. Hier sind sieben Maßnahmen, die wirklich helfen.
Maßnahme 1: WPA3 aktivieren — oder mindestens WPA2
WPA3 ist der aktuelle Verschlüsselungsstandard für WLAN. Alles darunter ist unsicher.
Kurze Einordnung der Standards:
- WEP: Geknackt in unter 5 Minuten. Ernsthaft, das schafft jeder mit einem YouTube-Tutorial. Wenn dein Router noch WEP nutzt, hast du ein echtes Problem.
- WPA: Veraltet seit 2009. Nur minimal besser als WEP.
- WPA2: Seit 2004 Standard, immer noch solide. Die KRACK-Schwachstelle von 2017 wurde per Firmware-Update gefixt. WPA2 mit AES ist akzeptabel.
- WPA3: Seit 2018 verfügbar, bietet Schutz gegen Offline-Wörterbuchangriffe und Forward Secrecy. Alle Router ab 2020 sollten es können.
So aktivierst du WPA3:
- Fritz!Box: WLAN → Sicherheit → WPA-Modus → „WPA2 + WPA3″ (Transition Mode, damit ältere Geräte noch verbinden können)
- Speedport: Heimnetzwerk → WLAN-Grundeinstellungen → Verschlüsselung auf WPA2/WPA3 setzen
- TP-Link: Wireless → Wireless Security → WPA3-Personal
Falls einzelne Geräte mit WPA3 Probleme haben (manche ältere Smart-Home-Geräte), nutze den Transition Mode. Der akzeptiert sowohl WPA2 als auch WPA3.
Maßnahme 2: Ein richtig starkes WLAN-Passwort setzen
Mindestens 20 Zeichen, zufällig generiert. Kein Familienname, kein Geburtsdatum, keine Adresse.
Viele Router werden mit einem voreingestellten Passwort ausgeliefert. Das steht auf dem Aufkleber auf der Unterseite. Klingt sicher? Ist es nicht unbedingt. Bei einigen älteren Speedport-Modellen ließ sich das Standard-Passwort aus der Seriennummer ableiten.
Mein Vorgehen: Ich öffne meinen Passwort-Manager und generiere ein 24-stelliges Passwort. Das tippe ich einmal in den Router und einmal in jedes Gerät. Ja, das nervt bei 15 Geräten im Haushalt. Aber du machst das einmal und hast dann Ruhe.
Laut Hive Systems würde ein Brute-Force-Angriff auf ein 20-stelliges Passwort mit Groß-/Kleinbuchstaben, Zahlen und Sonderzeichen bei aktueller Hardware über 1 Billion Jahre dauern. Ein 8-stelliges Passwort? 5 Stunden.
Maßnahme 3: Ein Gastnetzwerk einrichten
Jede Fritz!Box, jeder halbwegs aktuelle Router kann das — und es ist einer der besten Tipps überhaupt.
Ein Gastnetzwerk ist ein separates WLAN mit eigenem Passwort. Geräte im Gastnetz können ins Internet, aber nicht auf dein Heimnetzwerk zugreifen. Kein Zugriff auf deinen NAS-Server, keinen Drucker, keine Netzwerkfreigaben.
Wofür brauchst du das?
- Besucher: Freunde und Familie bekommen das Gast-Passwort. Dein Hauptpasswort bleibt geheim.
- Smart-Home-Geräte: Smarte Steckdosen, Lampen, Saugroboter — alles rein ins Gastnetz. Falls ein IoT-Gerät kompromittiert wird (und das passiert regelmäßig), kann der Angreifer nicht auf deine PCs und Smartphones zugreifen.
- Kinder: Eigenes Netzwerk mit Zeitsteuerung und Content-Filter.
Bei der Fritz!Box: WLAN → Gastzugang → Gastzugang aktiv. Eigenen Namen vergeben, eigenes Passwort setzen, fertig. 30 Sekunden Arbeit für einen massiven Sicherheitsgewinn.
Maßnahme 4: Router-Firmware aktuell halten
Firmware-Updates sind Sicherheitsupdates. Punkt.
Dein Router ist ein Computer. Und wie jeder Computer hat er Sicherheitslücken, die regelmäßig gepatcht werden müssen. Das BSI hat 2025 allein für Consumer-Router 47 kritische Schwachstellen katalogisiert. 47.
AVM (Fritz!Box) veröffentlicht im Schnitt alle 3-4 Monate ein Update. TP-Link und Netgear etwas seltener. Speedport-Updates kommen direkt von der Telekom.
Am besten: Automatische Updates aktivieren. Das geht bei den meisten aktuellen Routern. Fritz!Box: System → Update → Auto-Update auf Stufe III (alle Updates automatisch installieren). Ja, es gibt das Risiko, dass ein Update mal etwas kaputt macht. Das Risiko einer ungepatchten Sicherheitslücke ist aber definitiv größer.
Falls dein Router keine Updates mehr bekommt: ersetzen. Ein Router ohne Updates ist wie ein Auto ohne TÜV — man kann damit fahren, aber man sollte nicht.
Maßnahme 5: MAC-Filter — hilfreich oder Zeitverschwendung?
Ehrlich? Größtenteils Security Theater.
Der MAC-Filter lässt nur Geräte mit bekannter MAC-Adresse ins WLAN. Klingt gut in der Theorie. In der Praxis kann jeder Angreifer seine MAC-Adresse in 10 Sekunden fälschen (MAC-Spoofing). Ein einfacher Befehl, fertig.
Trotzdem hat der MAC-Filter einen Nutzen: Er hält Gelegenheitsschnorrer fern. Der Nachbar, der mal schnell dein Passwort „für einen Notfall“ bekommen hat und es dann dauerhaft nutzt, scheitert am MAC-Filter. Gegen einen gezielten Angriff schützt er nicht.
Mein Rat: Einrichten, wenn du Lust hast und weißt wo die Einstellung ist. Aber verlasse dich nicht darauf. Es ist eine zusätzliche Hürde, kein Sicherheitsschloss.
Maßnahme 6: Versteckte SSID — bringt das was?
Kaum. Dein Netzwerkname ist so „versteckt“ wie ein Elefant hinter einem Laternenpfahl.
Wenn du die SSID (den Netzwerknamen) verbirgst, taucht dein WLAN nicht in der normalen Netzwerkliste auf. Klingt nach Tarnkappe. Aber jedes kostenlose WLAN-Analyse-Tool (Wireshark, Kismet, oder sogar die Android-App „WiFi Analyzer“) zeigt versteckte Netzwerke trotzdem an. Der Router sendet weiter Beacon-Frames, nur ohne Namen.
Schlimmer noch: Windows und einige andere Betriebssysteme suchen aktiv nach gespeicherten versteckten Netzwerken und verraten dabei deren Namen. Du erreichst also das Gegenteil von dem, was du wolltest.
Fazit: SSID verbergen bringt faktisch null Sicherheit und macht dir das Leben schwerer, weil du bei jedem neuen Gerät den Netzwerknamen manuell eingeben musst. Lass es.
Maßnahme 7: Router richtig platzieren
Klingt banal, ist aber relevanter als die meisten denken.
Je weiter dein WLAN-Signal nach draußen reicht, desto größer die Angriffsfläche. Ein Router im Fenster zum Gehweg strahlt dein Netzwerk bis auf die Straße aus. Besser: Router möglichst zentral in der Wohnung platzieren.
Bei Fritz!Box-Modellen kannst du unter WLAN → Funkkanal die Sendeleistung reduzieren. Wenn dein Signal trotzdem die ganze Wohnung abdeckt, brauchst du nicht auf Maximum zu strahlen. Viele Router stehen auf 100 Prozent Leistung, obwohl 50-75 Prozent locker reichen würden.
Außerdem: Die Admin-Oberfläche deines Routers (fritz.box, 192.168.1.1 etc.) sollte ein starkes Passwort haben. Nicht das Standard-Passwort „admin/admin“. Laut Avira verwenden 28 Prozent der Deutschen noch die werkseitigen Zugangsdaten für die Router-Verwaltung.
Bonus: WLAN-Sicherheit testen
Willst du wissen, wie sicher dein WLAN wirklich ist? Der BSI-Sicherheitstest und Tools wie Fing (kostenlose App) zeigen dir alle Geräte in deinem Netzwerk. Wenn da was auftaucht, das du nicht kennst — genauer hinschauen.
Die Fritz!Box hat unter Heimnetz → Netzwerk eine Übersicht aller verbundenen Geräte. Ich checke die einmal im Monat. Dauert 2 Minuten und gibt mir ein gutes Gefühl.
Zusammenfassung: Was wirklich hilft
Von den sieben Maßnahmen sind drei absolut kritisch: WPA3 (oder WPA2 mit starkem Passwort), Firmware-Updates und ein Gastnetzwerk. Die machen 90 Prozent der Sicherheit aus. MAC-Filter und versteckte SSID sind nette Extras, aber kein Ersatz für die Grundlagen.
Der größte Feind der WLAN-Sicherheit ist Bequemlichkeit. Das Standard-Passwort behalten, Updates ignorieren, allen Geräten das gleiche Netzwerk geben. Nimm dir eine halbe Stunde, geh die Punkte durch — und dein Heimnetzwerk ist besser geschützt als das der meisten deiner Nachbarn.