Am Dienstag, dem 7. April 2026, gab das Bundesamt für Verfassungsschutz (BfV) ^[2] (DE) gemeinsam mit dem BND (Bundes Nachrichten Dienst) ^[2] und dem FBI eine Warnung vor Cyberangriffen der russischen (staatlich verbundenen) Hackergruppe APT28, auch bekannt als Fancy Bear, heraus.

Laut der Pressemitteilung des BfV ^[3] hat die Hackergruppe TP-Link ^[4]-Internetrouter

„...weltweit infiltriert, um militärische Informationen, Regierungsinformationen oder Informationen über kritische Infrastrukturen zu erhalten“

 

Die Gruppe soll mehrere tausend öffentlich zugängliche Geräte angegriffen haben. In Deutschland identifizierte das BfV 30 gefährdete Geräte und deren Betreiber:

„In einigen Fällen wurde die Kompromittierung durch APT28 bereits bestätigt. Den Betreibern wurden Empfehlungen gegeben, wie sie die anfälligen Geräte härten können, um sie vor weiteren Cyberangriffen zu schützen.
Viele TP-Link-Router wurden ersetzt",

heißt es in der Pressemitteilung des BfV. Um welche Geräte-Modelle es sich handelt, verschweigt das BfV leider.

APT28 ist eine staatlich geförderte Hackergruppe mit Verbindungen zum russischen Militärnachrichtendienst, der GRU. Laut BfV ist

„APT28 unter anderem für die Cyberangriffe auf den Deutschen Bundestag im Jahr 2015, die Parteizentrale der SPD Anfang 2023 und die deutsche Flugsicherung im August 2024 verantwortlich.“

The Hacker News ^[5] zeigt in einem ausführlicheren Bericht die technische Einflußnahme auf die betroffenen Geräte auf. The Hacker News verweist ebenso auf eine, seit Februar 2024, bekannte Verwundbarkeit (vulnerability) CVE-2023-50224 (CVSS score: 6.5) ^[6] im HTTPD-Dienst, der standardmäßig auf TCP-Port 80 lauscht. Das Problem resultiert aus einer fehlerhaften Authentifizierung. Ein Angreifer kann diese Schwachstelle nutzen, um gespeicherte Anmeldeinformationen offenzulegen, was zu weiteren Kompromittierungen führt. Um einen Angriff zu ermöglichen, muss der TCP-Port 80 allerdings von außen (WAN) erreichbar sein. Diese Einstellung stellt allerdings einen schwerwiegenden Konfigurationsfehler dar (Anmerk. d. Redaktion) !

TP-Link stellt u.a. auf den Produkt-Seiten ^[7] der betroffenen Geräte klar, dass es sich hierbei um End of Service Products handele.

Was Sie tun können

Um zu überprüfen, ob Ihre Einstellungen in Ordnung sind, kann ich an dieser Stelle nur allgemeine Anweisungen geben, da diese manchmal sehr gerätespezifisch sind. Diese Vorgehensweise sollte sicher stellen, dass Ihr Gerät nicht betroffen ist.

Überprüfen Sie, ob die DHCP-Einstellungen Ihres Routers mit den Vorgaben Ihres Internetdienstanbieters übereinstimmen: Überprüfen Sie Ihre aktuellen DHCP-Informationen auf einem Gerät.

1. Öffnen Sie auf einem PC oder Telefon, das mit Ihrem Heimnetzwerk verbunden ist, die Netzwerkdetails und notieren Sie sich die IP-Adresse, die Subnetzmaske, das Standardgateway und die DNS-Server, die Ihr Gerät verwendet.
2. Melden Sie sich bei Ihrem Router an und suchen Sie die WAN/Internet-Einstellungen.
3. In der Weboberfläche des Routers suchen Sie auf der Seite „Status“ oder „Internet“ nach der Adresse, die er vom ISP erhalten hat, und nach den DNS-Servern, die er verwenden soll.
4. Vergleichen Sie mit dem, was Ihr Internetanbieter dokumentiert oder Ihnen sagt.
5. Überprüfen Sie die Supportseiten Ihres Internetanbieters oder kontaktieren Sie den Support, um zu bestätigen, was sie erwarten: ob Ihre Verbindung DHCP oder PPPoE verwenden soll, aus welchem Bereich Ihre öffentliche IP-Adresse stammen soll und welche DNS-Server sie normalerweise bereitstellen. Große Diskrepanzen (z. B. DNS-Server in einem anderen Land oder von einer unbekannten Organisation) sind ein Grund für weitere Untersuchungen.

Wenn Sie aus datenschutzrechtlicher Sicht oder Ihrer Privatsphäre wegen absichtlich alternative DNS-Server verwenden (z. B. einen Datenschutz- oder Sicherheitsresolver), notieren Sie dies und überprüfen Sie regelmäßig, ob Ihr Router und Ihre Clients immer noch die von Ihnen gewählten Adressen verwenden.

Was Sie tun müssen

Ändern Sie die Credentials Ihres Routers in etwas, das nicht zu erraten ist. Überprüfen Sie die Website des Hardware-Anbieters auf Updates, bestätigen Sie das EOL-Datum und aktualisieren Sie auf die neuesten Firmware-Versionen. Deaktivieren Sie die Remote-Management-Schnittstellen aus dem Internet.

Weitere Maßnahmen

Rüsten Sie auf aktuelle Hardware bzw. auf FOSS Lösungen um/auf, um Ihre Einrichtung zukunftssicher zu machen. Im gewerblichen Einsatzbereich verwenden wir z.B. ausschließlich Router-/Firewall-Lösungen auf Basis von Netgate ^[8]. Für technisch versierte Benutzer kann der Austausch der Hersteller-Firmware durch Open-Source-Alternativen wie OpenWrt ^[9] oder DD-WRT ^[10]   die sichere Lebensdauer eines Routers verlängern.

 

Quellennachweis:
 [1] https://www.verfassungsschutz.de
[2] https://www.bnd.bund.de/
[3] https://www.verfassungsschutz.de/SharedDocs/kurzmeldungen/DE/2026/2026-04-07-joint-cybersecurity-advisory.html
[4] https://de.wikipedia.org/wiki/TP-Link
[5] https://thehackernews.com/2026/04/russian-state-linked-apt28-exploits.html
[6] https://nvd.nist.gov/vuln/detail/cve-2023-50224
[7] https://www.tp-link.com/us/support/faq/4308/
[8] https://www.pfsense.org/
[9] https://openwrt.org/docs/guide-quick-start/start
[10] https://proprivacy.com/vpn/guides/dd-wrt