FBI und NSA warnen: Russische Hacker kapern Heimrouter

Was ist passiert?

Am 7. April 2026 haben FBI, NSA, der Bundesnachrichtendienst und das Bundesamt für Verfassungsschutz eine gemeinsame Warnung veröffentlicht. Der Anlass: Die russische Militärgeheimdienst-Einheit GRU (auch bekannt als APT28 oder Fancy Bear) kompromittiert seit mindestens 2024 systematisch Heimrouter und Router in kleinen Büros.

Die Warnung kommt nicht nur aus den USA und Deutschland. Insgesamt 16 Länder sind beteiligt, darunter Kanada, Dänemark, Estland, Finnland, Italien, Polen und Rumänien.

Das FBI hat in einer gerichtlich genehmigten Aktion bereits einen Teil der kompromittierten Router in den USA aus der Ferne bereinigt.

So funktioniert der Angriff

Die Angreifer nutzen eine bekannte Sicherheitslücke in TP-Link-Routern (CVE-2023-50224), um Zugriff auf das Gerät zu bekommen. Danach ändern sie die DNS-Einstellungen im Router.

DNS ist so etwas wie das Telefonbuch des Internets. Wenn du outlook.com eingibst, fragt dein Gerät einen DNS-Server, welche IP-Adresse dahintersteckt. Normalerweise antwortet ein vertrauenswürdiger Server deines Internetanbieters.

Bei einem kompromittierten Router antwortet stattdessen ein Server der Angreifer. Der kann dich auf eine täuschend echte Kopie von Outlook umleiten. Du gibst dein Passwort ein - und die Angreifer haben es.

Welche Router sind betroffen?

Über 20 TP-Link-Modelle stehen auf der Liste. Darunter:

• TP-Link WR841N - eines der meistverkauften Budget-Modelle weltweit
• Archer C5 und C7
• WDR3500, WDR3600, WDR4300
• MR3420, MR6400
• WR740N, WR840N, WR842N, WR845N, WR941ND

Auch MikroTik-Router sind betroffen.

In Deutschland hat das Bundesamt für Verfassungsschutz rund 30 kompromittierte Geräte identifiziert und die Betreiber seit dem 13. März 2026 informiert. Die Dunkelziffer dürfte höher liegen.

DNS-Einstellungen prüfen - so geht's

Du kannst in wenigen Minuten prüfen, ob dein Router manipuliert wurde:

1. Öffne die Router-Oberfläche. Gib in deinem Browser 192.168.0.1 oder 192.168.1.1 ein. Bei einer Fritzbox ist es fritz.box oder 192.168.178.1.
2. Melde dich an. Falls du das Passwort nie geändert hast, steht es auf der Unterseite des Routers oder im Handbuch.
3. Suche die DNS-Einstellungen. Bei TP-Link unter DHCP > DHCP Settings. Bei einer Fritzbox unter Internet > Zugangsdaten > DNS-Server.
4. Prüfe die eingetragenen DNS-Server. Dort sollten entweder die Server deines Internetanbieters stehen oder bekannte öffentliche DNS-Server wie:

Was du jetzt tun solltest

1. Firmware updaten. Geh auf die Support-Seite deines Router-Herstellers und lade die neueste Firmware herunter. Das ist der wichtigste Schritt.
2. Standard-Passwort ändern. Falls dein Router noch mit admin/admin oder einem ähnlichen Werkspasswort läuft: Ändere es sofort.
3. Fernzugriff deaktivieren. Die Funktion heißt je nach Hersteller "Remote Management", "Fernwartung" oder "WAN-Zugriff". Abschalten.
4. DNS-Einstellungen prüfen. Siehe Anleitung oben. Im Zweifel auf die DNS-Server deines Providers oder auf 1.1.1.1 / 9.9.9.9 setzen.
5. Alten Router ersetzen. Wenn dein Modell keine Firmware-Updates mehr bekommt, hilft nur ein neues Gerät. Router ohne Sicherheitsupdates sind ein dauerhaftes Risiko.

Warum das jeden betrifft

APT28 ist keine unbekannte Gruppe. Sie steckte 2015 hinter dem Angriff auf den Deutschen Bundestag und 2023 hinter dem Hack der SPD-Parteizentrale. Diesmal zielen sie auf Privatleute und kleine Büros - weil deren Router oft jahrelang ohne Updates laufen.

Das Perfide an diesem Angriff: Du merkst nichts davon. Dein Browser zeigt die gleiche Adresse an, die Seite sieht gleich aus. Nur im Hintergrund läuft der gesamte Datenverkehr über Server der Angreifer.

Wer sich vor Phishing-Angriffen schützen will, sollte neben dem Router-Check auch wissen, wie KI-generierte Phishing-Mails aussehen und warum Browser-Angriffe 2026 stark zunehmen.