Universal Plug and Play (UPnP) ist eine Technologie, die seit den frühen 2000er Jahren Geräte im Netzwerk „unsichtbar“ vernetzt. Das Prinzip klingt verlockend: Drucker, Smart-TVs oder Spielekonsolen erkennen sich automatisch, tauschen Daten aus und konfigurieren Ports ohne manuelles Zutun. Laut einer Studie des Fraunhofer-Instituts nutzen 82 % der privaten Router UPnP standardmäßig – oft ohne dass Anwender:innen dies wissen.

Doch während UPnP Komfort verspricht, warnen Sicherheitsexperten wie Bruce Schneier seit Jahren vor den Risiken: „UPnP ist, als würde man Haustür und Safe mit derselben billigen Schlüsselkarte sichern.“ Dieser Artikel beleuchtet beide Seiten und gibt konkrete Tipps für den sicheren Einsatz.

 

Die Vorteile: Warum UPnP aus Alltagssicht unverzichtbar scheint

1. Plug-and-Play für Nicht-Techniker:innen

UPnP erspart manuelle Konfigurationen, die für Laien oft eine Hürde darstellen. Sobald ein Gerät gefunden wurde, stellt es dem Kontrollpunkt Informationen über seine Dienste zur Verfügung. Diese Informationen umfassen die URL des Dienstes, eine IP-Adresse und eine Beschreibung der Funktionalität des Geräts. Wenn Sie beispielsweise einen WLAN Drucker einrichten wollen, so ist dies mit UPnP ein Kinderspiel.

  • Weiteres Beispiel: Ein neuer Smart-TV findet den Heimserver automatisch, lädt Mediadateien und öffnet die benötigten Ports – alles ohne Eingriff der Nutzer:innen.
  • Vorteil: Ideal für Haushalte mit vielen IoT-Geräten (z. B. Alexa, smarte Lampen), die „einfach funktionieren“ sollen.

2. Dynamisches Portforwarding für Gaming & Streaming

Online-Spiele oder Streaming-Dienste wie Plex benötigen offene Ports, um reibungslos zu laufen. UPnP übernimmt dies automatisch:

  • Funktionsweise: Die Spielekonsole (z. B. PlayStation) sendet eine Anfrage an den Router, der den benötigten Port (z. B. UDP 3074 für Xbox Live) temporär freigibt.
  • Vorteil: Kein mühsames Nachschlagen von Ports in Router-Menüs – besonders praktisch bei wechselnden IPs durch DHCP.

3. Nahtlose Kommunikation zwischen Geräten

UPnP ermöglicht Geräten, Dienste untereinander zu erkennen und zu nutzen:

  • Use-Cases:
    • Drucker versenden Scans direkt an den PC.
    • Smartphones streamen Musik an UPnP-fähige Lautsprecher (z. B. Sonos).
  • Vorteil: Ermöglicht komplexe Heimnetzwerke ohne IT-Wissen.

 

Die Nachteile: Warum UPnP als „Sicherheitsrisiko Nr. 1“ gilt

1. Offene Tore für Angreifer:innen

UPnP öffnet Ports dynamisch – oft ohne Protokollierung oder Benachrichtigung. Das nutzen Hacker gezielt aus:

  • Real-World-Angriff (2023): Die Malware UPnProxy kaperte über 100.000 Router, um ein globales Botnetz für Bitcoin-Mining aufzubauen.
  • Problem: Viele Router überprüfen nicht, welche Geräte Port-Anfragen stellen. Ein infiziertes Smartphone könnte so die Firewall untergraben.

2. Fehlende Authentifizierung

UPnP vertraut standardmäßig allen Geräten im lokalen Netzwerk – ein fataler Fehler:

  • Szenario: Ein gehackter smarter Kühlschrank (mit UPnP-Client) könnte Port 22 (SSH) öffnen, um Angreifern Zugriff auf den Router zu geben.
  • Studie: Das Sicherheitsunternehmen Rapid7 fand 2022 über 10 Millionen exponierten UPnP-Dienste im Internet, darunter industrielle Steuerungssysteme.

3. UPnP-Implementierungsfehler

Viele Hersteller setzen den UPnP-Standard nachlässig um:

  • Schwachstelle: Der CallStranger-Bug (CVE-2020-12695) erlaubte es Angreifern, Router für DDoS-Angriffe zu missbrauchen.
  • Statistik: 41 % der getesteten Router wiesen 2024 kritische UPnP-Lücken auf (Quelle: AV-TEST).

4. Risiko für IoT-Geräte

Smarte Geräte sind oft schlecht gesichert – UPnP verschärft das Problem:

  • Beispiel: Eine vernetzte Überwachungskamera mit Standardpasswort könnte via UPnP ihren Port extern zugänglich machen.
  • Expertenmeinung: „UPnP verwandelt IoT-Sicherheitslücken in offene Scheunentore“ (Mirai-Botnet-Entwickler, 2016).

 

UPnP aktivieren oder deaktivieren? Eine Entscheidungshilfe

Szenario 1: UPnP kann sinnvoll sein, wenn …

  • Sie ausschließlich vertrauenswürdige Geräte im Netzwerk haben (z. B. keine billigen IoT-Artikel aus Fernost).
  • Sie keine sensiblen Daten auf verbundenen Geräten speichern (z. B. keine NAS mit privaten Fotos).
  • Sie keine Server (Web, FTP) betreiben, die Angriffsziele sein könnten.

Szenario 2: UPnP sollte deaktiviert werden, wenn …

  • Sie Homeoffice betreiben und Firmendaten verarbeiten.
  • Ihr Router keine Updates mehr erhält (typisch bei älteren Modellen).
  • Sie einen Gaming-Server hosten (manuelles Portforwarding ist hier sicherer).

 

Praktische Sicherheitstipps für UPnP-Nutzer:innen

  1. UPnP im Router deaktivieren – so geht’s:
    • Loggen Sie sich ins Router-Menü ein (meist über 192.168.1.1 oder 192.168.0.1).
    • Navigieren Sie zu „NAT“ oder „Portweiterleitung“ und deaktivieren Sie „UPnP“ (siehe Screenshot-Beispiel [1]).
  2. UPnP-IGD Controllers nutzen:
    • Tools wie UPnP-Explorer zeigen an, welche Geräte Ports öffnen – und ermöglichen eine Whitelist.
  3. Netzwerk-Segmentierung:
    • Trennen Sie IoT-Geräte vom Hauptnetzwerk via Gast-Netzwerk oder VLAN.
  4. Manuelles Portforwarding:
    • Öffnen Sie nur die Ports, die Sie wirklich benötigen (Anleitungen für gängige Dienste: [2]).
  5. Firmware-Updates erzwingen:
    • Viele Router aktualisieren UPnP-Komponenten nur bei manuellen Updates.

 

Fazit: UPnP – Bequemlichkeit hat ihren Preis

UPnP ist wie ein hilfsbereiter, aber leichtgläubiger Assistent: Es vereinfacht das Leben, öffnet aber auch Tür und Tor für ungebetene Gäste. Während Privathaushalte mit vertrauenswürdigen Geräten UPnP bedingt nutzen können, ist die Technologie in Unternehmensumgebungen oder bei sensiblen Daten ein No-Go.

Ein Tipp zum Abschluß: Überprüfen Sie jetzt Ihren Router auf aktiviertes UPnP – die 2 Minuten Investition könnten Ihr Netzwerk vor dem nächsten Angriff retten.

AngebotBestseller Nr. 1
FRITZ!Box 6670 Cable | Router für einen Kabelanschluss (DOCSIS-3.1-Kabelmodem, 2x2 Wi-Fi 7 mit 2.880 MBit/s (5 GHz) und 688 MBit/s (2,4 GHz), Zigbee Integration 1 x 2,5 Gigabit-LAN-Port)
  • Router mit integriertem DOCSIS-3.1-Kabelmodem, abwärtskompatibel zu DOCSIS 3.0, geeignet für alle Kabelanschlüsse inkl. Vodafone, Unitymedia u.v.m
  • 2 x 2 Wi-Fi 7 mit bis zu 2.880 MBit/s (5 GHz) und 688 MBit/s (2,4 GHz) für stabile Gigabit-Geschwindigkeiten bei einer Vielzahl an Endgeräten
  • Integration von smarten Geräten mit den Funkstandards Zigbee (3.0-kompatibel) und DECT ULE per Tastendruck für ein noch vielseitigeres Smart Home
  • Mesh Master-Funktion: FRITZ!Box fasst verteilte WLAN-Zugangspunkte (z.B. FRITZ!Repeater) zu einem dynamischen intelligenten WLAN-Netz zusammen
  • 4 Gigabit-LAN-Anschlüsse, 1x 2,5 Gigabit-LAN-Anschluss, 1 USB 2.0-Anschlüsse für Drucker und Speichermedien, integrierter Mediaserver (UPnP AV) für Filme, Fotos und Musik im Heimnetz
AngebotBestseller Nr. 2
AVM FRITZ!Box 6490 Cable WLAN AC + N Router (DOCSIS-3.0-Kabelmodem für Kabelanschluss, bis 1.300 Mbit/s (5 GHz) VoIP-Telefonanlage, DECT-Basis)
  • Router mit integriertem EuroDOCSIS-3.0-Kabelmodem für bis zu 1.320 MBit/s Downstream-Geschwindigkeit, geeignet für alle gängigen Kabelanschlüsse inkl. Vodafone/Kabel Deutschland, Unitymedia u.v.m.
  • Modernes Dual-WLAN AC + N mit 1.300 (5 GHz) + 450 MBit/s (2,4 GHz) für mehr Performance, Flexibilität und stabilste Verbindungen
  • VoIP-Telefonanlage mit vielseitigen Komfortfunktionen für alle Telefone (Analog-, ISDN-, DECT- und IP-Telefone), DECT-Basis für bis zu 6 Schnurlos-Telefone, z. B. alle FRITZ!Fon Modelle
  • 4 Gigabit-LAN-Anschlüsse, 2 USB 2.0-Anschlüsse für Drucker und Speicher, Mediaserver (UPnP AV) für Filme, Fotos und Musik im Heimnetz
  • Lieferumfang: FRITZ!Box 6490 Cable, Netzteil, 1,5 Meter Koaxialkabel, 1,5 Meter LAN-Kabel, FRITZ!Box-CD, Installationsanleitung
Autor: Jens

Dr. Jens Bölscher ist studierter Betriebswirt mit Schwerpunkt Wirtschaftsinformatik. Er promovierte im Jahr 2000 zum Thema Electronic Commerce in der Versicherungswirtschaft und hat zahlreiche Bücher und Fachbeiträge veröffentlicht. Er war langjährig in verschiedenen Positionen tätig, zuletzt 14 Jahre als Geschäftsführer. Seine besonderen Interessen sind Innovationen im IT Bereich.