UPnP im WLAN: Praktischer Komfort oder Sicherheitsrisiko?

von | März 2, 2025 | Praxiswissen | 0 Kommentare

Vorteile und Nachteile von UPnP

Universal Plug and Play (UPnP) ist eine Technologie, die seit den frühen 2000er Jahren Geräte im Netzwerk „unsichtbar“ vernetzt. Das Prinzip klingt verlockend: Drucker, Smart-TVs oder Spielekonsolen erkennen sich automatisch, tauschen Daten aus und konfigurieren Ports ohne manuelles Zutun. Laut einer Studie des Fraunhofer-Instituts nutzen 82 % der privaten Router UPnP standardmäßig – oft ohne dass Anwender:innen dies wissen.

Doch während UPnP Komfort verspricht, warnen Sicherheitsexperten wie Bruce Schneier seit Jahren vor den Risiken: „UPnP ist, als würde man Haustür und Safe mit derselben billigen Schlüsselkarte sichern.“ Dieser Artikel beleuchtet beide Seiten und gibt konkrete Tipps für den sicheren Einsatz.

 

Die Vorteile: Warum UPnP aus Alltagssicht unverzichtbar scheint

1. Plug-and-Play für Nicht-Techniker:innen

UPnP erspart manuelle Konfigurationen, die für Laien oft eine Hürde darstellen. Sobald ein Gerät gefunden wurde, stellt es dem Kontrollpunkt Informationen über seine Dienste zur Verfügung. Diese Informationen umfassen die URL des Dienstes, eine IP-Adresse und eine Beschreibung der Funktionalität des Geräts. Wenn Sie beispielsweise einen WLAN Drucker einrichten wollen, so ist dies mit UPnP ein Kinderspiel.

  • Weiteres Beispiel: Ein neuer Smart-TV findet den Heimserver automatisch, lädt Mediadateien und öffnet die benötigten Ports – alles ohne Eingriff der Nutzer:innen.
  • Vorteil: Ideal für Haushalte mit vielen IoT-Geräten (z. B. Alexa, smarte Lampen), die „einfach funktionieren“ sollen.

2. Dynamisches Portforwarding für Gaming & Streaming

Online-Spiele oder Streaming-Dienste wie Plex benötigen offene Ports, um reibungslos zu laufen. UPnP übernimmt dies automatisch:

  • Funktionsweise: Die Spielekonsole (z. B. PlayStation) sendet eine Anfrage an den Router, der den benötigten Port (z. B. UDP 3074 für Xbox Live) temporär freigibt.
  • Vorteil: Kein mühsames Nachschlagen von Ports in Router-Menüs – besonders praktisch bei wechselnden IPs durch DHCP.

3. Nahtlose Kommunikation zwischen Geräten

UPnP ermöglicht Geräten, Dienste untereinander zu erkennen und zu nutzen:

  • Use-Cases:
    • Drucker versenden Scans direkt an den PC.
    • Smartphones streamen Musik an UPnP-fähige Lautsprecher (z. B. Sonos).
  • Vorteil: Ermöglicht komplexe Heimnetzwerke ohne IT-Wissen.

 

Die Nachteile: Warum UPnP als „Sicherheitsrisiko Nr. 1“ gilt

1. Offene Tore für Angreifer:innen

UPnP öffnet Ports dynamisch – oft ohne Protokollierung oder Benachrichtigung. Das nutzen Hacker gezielt aus:

  • Real-World-Angriff (2023): Die Malware UPnProxy kaperte über 100.000 Router, um ein globales Botnetz für Bitcoin-Mining aufzubauen.
  • Problem: Viele Router überprüfen nicht, welche Geräte Port-Anfragen stellen. Ein infiziertes Smartphone könnte so die Firewall untergraben.

2. Fehlende Authentifizierung

UPnP vertraut standardmäßig allen Geräten im lokalen Netzwerk – ein fataler Fehler:

  • Szenario: Ein gehackter smarter Kühlschrank (mit UPnP-Client) könnte Port 22 (SSH) öffnen, um Angreifern Zugriff auf den Router zu geben.
  • Studie: Das Sicherheitsunternehmen Rapid7 fand 2022 über 10 Millionen exponierten UPnP-Dienste im Internet, darunter industrielle Steuerungssysteme.

3. UPnP-Implementierungsfehler

Viele Hersteller setzen den UPnP-Standard nachlässig um:

  • Schwachstelle: Der CallStranger-Bug (CVE-2020-12695) erlaubte es Angreifern, Router für DDoS-Angriffe zu missbrauchen.
  • Statistik: 41 % der getesteten Router wiesen 2024 kritische UPnP-Lücken auf (Quelle: AV-TEST).

4. Risiko für IoT-Geräte

Smarte Geräte sind oft schlecht gesichert – UPnP verschärft das Problem:

  • Beispiel: Eine vernetzte Überwachungskamera mit Standardpasswort könnte via UPnP ihren Port extern zugänglich machen.
  • Expertenmeinung: „UPnP verwandelt IoT-Sicherheitslücken in offene Scheunentore“ (Mirai-Botnet-Entwickler, 2016).

 

UPnP aktivieren oder deaktivieren? Eine Entscheidungshilfe

Szenario 1: UPnP kann sinnvoll sein, wenn …

  • Sie ausschließlich vertrauenswürdige Geräte im Netzwerk haben (z. B. keine billigen IoT-Artikel aus Fernost).
  • Sie keine sensiblen Daten auf verbundenen Geräten speichern (z. B. keine NAS mit privaten Fotos).
  • Sie keine Server (Web, FTP) betreiben, die Angriffsziele sein könnten.

Szenario 2: UPnP sollte deaktiviert werden, wenn …

  • Sie Homeoffice betreiben und Firmendaten verarbeiten.
  • Ihr Router keine Updates mehr erhält (typisch bei älteren Modellen).
  • Sie einen Gaming-Server hosten (manuelles Portforwarding ist hier sicherer).

 

Praktische Sicherheitstipps für UPnP-Nutzer:innen

  1. UPnP im Router deaktivieren – so geht’s:
    • Loggen Sie sich ins Router-Menü ein (meist über 192.168.1.1 oder 192.168.0.1).
    • Navigieren Sie zu „NAT“ oder „Portweiterleitung“ und deaktivieren Sie „UPnP“ (siehe Screenshot-Beispiel [1]).
  2. UPnP-IGD Controllers nutzen:
    • Tools wie UPnP-Explorer zeigen an, welche Geräte Ports öffnen – und ermöglichen eine Whitelist.
  3. Netzwerk-Segmentierung:
    • Trennen Sie IoT-Geräte vom Hauptnetzwerk via Gast-Netzwerk oder VLAN.
  4. Manuelles Portforwarding:
    • Öffnen Sie nur die Ports, die Sie wirklich benötigen (Anleitungen für gängige Dienste: [2]).
  5. Firmware-Updates erzwingen:
    • Viele Router aktualisieren UPnP-Komponenten nur bei manuellen Updates.

 

Fazit: UPnP – Bequemlichkeit hat ihren Preis

UPnP ist wie ein hilfsbereiter, aber leichtgläubiger Assistent: Es vereinfacht das Leben, öffnet aber auch Tür und Tor für ungebetene Gäste. Während Privathaushalte mit vertrauenswürdigen Geräten UPnP bedingt nutzen können, ist die Technologie in Unternehmensumgebungen oder bei sensiblen Daten ein No-Go.

Ein Tipp zum Abschluß: Überprüfen Sie jetzt Ihren Router auf aktiviertes UPnP – die 2 Minuten Investition könnten Ihr Netzwerk vor dem nächsten Angriff retten.

AngebotBestseller Nr. 1
Tenda AC6 Dualband WLAN Router (867Mbit/s 5GHz+300Mbit/s 2,4GHz) 4 * 5dBi Antennen, 4 * 10/100Mbit/s LAN/WAN-Port, Repeater&Access Point Modus, MU-MIMO, APP, IPv6, WPS, Keine DSL-Funktion, Schwarz
Tenda AC6 Dualband WLAN Router (867Mbit/s 5GHz+300Mbit/s 2,4GHz) 4 * 5dBi Antennen, 4 * 10/100Mbit/s LAN/WAN-Port, Repeater&Access Point Modus, MU-MIMO, APP, IPv6, WPS, Keine DSL-Funktion, Schwarz
  • 【802:11AC Dualband & 28-nm-CPU】 Die Dualband-WLAN-Geschwindigkeit von 1200 Mbit/s kann Ihre grundlegenden Internetanforderungen wie HD-Streaming, Telearbeit, Chat und Online-Spiele erfüllen. (867 Mbit/s auf dem 5GHz Band und 300 Mbit/s auf dem 2,4 GHz Band); Diser Router verfügt über den Leistungsstarken Broadcom-Chip mit 900-MHz-CPU für perfekte Stabilität und Geschwindigkeit
  • 【4x5dBi Antennen & Flexibler Verbindungsmodus】4x6dBi externe Antennen mit Beamforming-Technologie erweitern und fokussieren das WLAN-Signal des Geräts und sorgen für zuverlässige drahtlose Verbindungen, was geeignet für kleine und mittlere Haushalte ist. Unterstützt den Access Point-Modus, um Ihre kabelgebundene Verbindung in ein drahtloses Netzwerk umzuwandeln, und den Repeater-Modus, um die WLAN-Signalabdeckung zu verstärken
  • 【MU-MIMO & Inteligentes WLAN-Zeitplan】Die Technologie ermöglicht den Betrieb des Routers für die gleichzeitige Verbindung mehrerer Endgeräte, wodurch die Kommunikation zwischen Geräten noch effizienter wird; Geringer Energieverbrauch durch hohe Effizienz, WLAN-Zeitmanagement und Status-LED-Anzeige
  • 【Migration des PPPoE-Benutzernamens und -Kennworts für eine problemlose Konfiguration.】 Der AC6 WLAN Router verfügt über hervorragende Öko-Anmeldeinformationen. Mit einer Energiesparfunktion ermöglicht die App-basierte Verwaltung und Migration von PPPoE-Benutzeranmeldeinformationen ein intelligenteres und umweltfreundlicheres digitales Leben
  • 【Kundendiens & 3-Jahr-Garantie】Wenn Sie weitere Fragen zu diesem Produkt haben oder vor dem Kauf technische Hilfe benötigen, könnten Sie sich via E-Mail an uns wenden. Und wir bieten stets die dreijährige Herstellergarantie auf diese Produkte und freundliche, schnelle, professionelle Service
25,99 EUR
Bei Amazon kaufen
AngebotBestseller Nr. 2
FRITZ!Box 7590 WLAN AC+N Router (DSL/VDSL,1.733 MBit/s (5GHz) & 800 MBit/s (2,4 GHz), bis zu 300 MBit/s mit VDSL-Supervectoring 35b, WLAN Mesh, DECT-Basis, Media Server, geeignet für Deutschland)
FRITZ!Box 7590 WLAN AC+N Router (DSL/VDSL,1.733 MBit/s (5GHz) & 800 MBit/s (2,4 GHz), bis zu 300 MBit/s mit VDSL-Supervectoring 35b, WLAN Mesh, DECT-Basis, Media Server, geeignet für Deutschland)
  • High-End WLAN AC+N Router nach Multi-User-MIMO mit 1.733 (5 GHz) + 800 MBit/s (2,4 GHz) gleichzeitig, unterstützt WLAN-Mesh
  • Telefonanlage für Internet und Festnetz mit Voice-to-Mail und Fax-to-Mail, integrierte DECT-Basisstation für bis zu sechs Schnurlostelefone, Anschlüsse für Analog- und ISDN-Telefone
  • Mediaserver (UPnP AV) verteilt Filme, Fotos und Musik im Heimnetz an geeignete Empfänger, wie Tablets, Fernseher, HiFi-Anlage u.a
  • 4x Gigabit-LAN für Anschluss von Computern und Spielekonsolen, 2x USB 3.0/2.0-Anschlüsse für Drucker und Speicher im Netzwerk
  • Lieferumfang: FRITZ!Box 7590, Netzteil, 4,25m DSL-Telefonanschlusskabel, 4m DSL-Kabel, 1,5m LAN-Kabel, Installationsanleitung, TAE-/RJ45-Adapter, TAE-/RJ11-Adapter
79,00 EUR
Bei Amazon kaufen
Autor: Jens

Dr. Jens Bölscher ist studierter Betriebswirt mit Schwerpunkt Wirtschaftsinformatik. Er promovierte im Jahr 2000 zum Thema Electronic Commerce in der Versicherungswirtschaft und hat zahlreiche Bücher und Fachbeiträge veröffentlicht. Er war langjährig in verschiedenen Positionen tätig, zuletzt 14 Jahre als Geschäftsführer. Seine besonderen Interessen sind Innovationen im IT Bereich.

Kommentar absenden