Die jüngsten Berichte aus den Nachrichten zeichnen ein klares Bild: Russische Hackergruppen haben Router im Visier, um Internetverkehr umzuleiten, Anmeldedaten abzugreifen und sich Zugang zu sensiblen Informationen zu verschaffen. Besonders brisant ist dabei, dass nicht nur klassische Unternehmensnetze betroffen sind, sondern auch Geräte aus dem Heim- und Kleinbüro-Umfeld. Genau diese Router stehen oft am Rand des digitalen Alltags, werden selten beachtet und noch seltener sorgfältig abgesichert. Wer darüber Datenverkehr lenkt, kann weit mehr erreichen als nur eine technische Störung: Er kann Passwörter mitlesen, Sitzungstokens abfangen, E-Mails ausspähen und Nutzer auf gefälschte Seiten umleiten.

Die aktuelle Welle der Angriffe ist deshalb so alarmierend, weil sie gleich mehrere Ebenen der Sicherheit unterläuft. Zum einen wird die Verbindung zwischen Endgerät und Zielserver manipuliert. Zum anderen entsteht ein Vertrauensbruch im Hintergrund, den viele Betroffene gar nicht bemerken. Ein Browser zeigt die gewohnte Website, doch der Weg dorthin führt bereits über fremde Server. Für Angreifer ist das ein effizienter Hebel, weil sie mit vergleichsweise wenig Aufwand eine große Zahl von Geräten beeinflussen können. Für Betroffene ist es besonders tückisch, weil sichtbare Warnzeichen oft fehlen oder nur indirekt auftreten.

Was hinter den aktuellen Router-Angriffen steckt

Nach den jüngsten Warnungen von Behörden und Sicherheitsforschern geht es um eine Kampagne, die russischen staatlichen Stellen zugerechnet wird und vor allem auf anfällige Router von kleineren Büros und Privathaushalten zielt. Im Zentrum steht das Verändern von DNS-Einstellungen. DNS ist vereinfacht gesagt das System, das aus Webadressen die passenden Zielserver macht. Wird dieser Weg manipuliert, landen Anfragen nicht mehr zuverlässig bei der echten Website, sondern bei einem vom Angreifer kontrollierten System. Dort können Login-Daten, Sitzungscookies und andere übertragene Informationen abgefangen werden.

Gerade Router von kleineren Herstellern oder Geräte mit veralteter Firmware sind dafür anfällig. Laut den aktuellen Meldungen wurden vor allem TP-Link-Geräte genannt, in einigen Berichten auch MikroTik-Router. Die Angriffe laufen dabei nicht zwingend spektakulär ab. Häufig genügt bereits eine bekannte Schwachstelle, ein schwaches Passwort oder eine schlecht geschützte Fernverwaltung. Hat ein Angreifer erst Zugriff auf den Router, lässt sich der gesamte Datenverkehr eines Netzwerks umleiten oder überwachen. Das macht den Router zu einem besonders attraktiven Ziel, weil er als Durchgangstor für alle verbundenen Geräte dient.

Warum DNS-Hijacking so gefährlich ist

DNS-Hijacking gehört zu den Angriffsmethoden, die im Alltag leicht unterschätzt werden. Viele Nutzende achten auf ein Schloss-Symbol im Browser oder auf eine verschlüsselte Verbindung und fühlen sich dadurch geschützt. Doch auch verschlüsselte Verbindungen können in einem sogenannten Adversary-in-the-Middle-Szenario ausgenutzt werden, wenn Angreifer die Route der Anfrage kontrollieren. Dann werden Nutzer auf täuschend ähnliche Seiten geleitet oder während der Verbindung kompromittiert, etwa durch das Abgreifen von OAuth-Tokens oder anderen Zugangsdaten.

Die eigentliche Gefahr liegt nicht nur im unmittelbaren Diebstahl von Passwörtern. Wenn Sitzungstokens in falsche Hände geraten, kann ein Zugriff oft auch ohne erneute Anmeldung bestehen bleiben. Das betrifft E-Mail-Konten, Cloud-Dienste, interne Portale oder Kollaborationssysteme. Besonders kritisch wird es, wenn ein kompromittierter Router in einem Umfeld verwendet wird, das geschäftliche, behördliche oder sicherheitsrelevante Kommunikation trägt. Dann reicht ein einzelner Einstiegspunkt, um deutlich weiter ins Netzwerk vorzudringen.

Welche Daten im Fokus der Angreifer stehen

Die Berichte der vergangenen Tage nennen vor allem unverschlüsselte Passwörter, Authentifizierungstokens, E-Mails und Webverkehr. In der Praxis ist das Muster meist breiter angelegt: Zunächst geht es um die Kontrolle über den Router und die Umleitung des Datenverkehrs. Anschließend werden gezielt jene Verbindungen beobachtet, die für den Angriff wertvoll sind. Das können Login-Seiten sein, Cloud-Session-Daten oder Kommunikationsinhalte, die Rückschlüsse auf weitere Ziele zulassen.

Besonders gefährdet sind Konten, bei denen Mehrfaktor-Authentifizierung fehlt oder nur unzureichend genutzt wird. Selbst dort, wo eine zusätzliche Anmeldung aktiv ist, können abgegriffene Sitzungsdaten problematisch sein. Deshalb ist der Angriff nicht mit einem gewöhnlichen Passwortdiebstahl gleichzusetzen. Er kann als Einstieg in einen breiteren Kompromittierungsprozess dienen, bei dem die Kontrolle über Konten, Daten und interne Abläufe schrittweise übernommen wird.

Warum gerade Router ein so lohnendes Ziel sind

Router stehen an einer exponierten Stelle, werden aber im Alltag oft wie unsichtbare Infrastruktur behandelt. Nach der Einrichtung laufen sie jahrelang im Hintergrund, ohne dass Firmware-Updates geprüft, Standardzugänge geändert oder Verwaltungsoberflächen abgesichert werden. Genau darin liegt der Reiz für professionelle Angreifer. Wer einen Router kontrolliert, kontrolliert nicht nur ein einzelnes Gerät, sondern die digitale Einflugschneise eines ganzen Haushalts oder Büros.

Die aktuelle Kampagne zeigt zudem, dass Angreifer den Umweg über schwächer geschützte Randgeräte bevorzugen können, statt direkt auf besser abgesicherte Unternehmenssysteme zu zielen. Das ist taktisch klug, weil Heim- und SOHO-Router oft weniger überwacht werden. Für Sicherheitsteams ist ein solcher Angriff schwieriger zu erkennen, weil verdächtige Aktivität nicht zwingend im Kernnetz beginnt, sondern am Netzrand. Dadurch kann sich ein Zugriff länger unbemerkt halten.

Die Reaktion von Behörden und Sicherheitsforschern

Auf die aktuelle Angriffswelle haben unter anderem das britische NCSC sowie US-Behörden reagiert. Die US-Justizbehörden beschrieben eine court-authorized disruption, also eine gerichtlich genehmigte Störmaßnahme gegen die Infrastruktur der Angreifer. In den Berichten ist von Tausenden kompromittierten Routern die Rede, die für DNS-Hijacking und das Sammeln sensibler Daten genutzt wurden. Auch Microsoft und weitere Sicherheitsforscher ordnen das Verhalten der Gruppe als gezielte Spionagekampagne ein.

Die zugerechnete Gruppe wird in den Berichten als APT28, Fancy Bear oder Forest Blizzard bezeichnet und seit Jahren mit russischen Geheimdienstaktivitäten in Verbindung gebracht. Neu ist nicht der Akteur, sondern die Kombination aus Reichweite, technischer Raffinesse und dem Fokus auf leicht verwundbare Randgeräte. Genau das macht die jüngsten Warnungen so bedeutsam: Die Angriffe sind nicht nur theoretisch, sondern laufen bereits und betreffen unterschiedliche Länder und Zielgruppen.

Was die Berichte über den Ablauf verraten

Der Angriff scheint laut den aktuellen Meldungen in mehreren Phasen zu verlaufen. Zunächst werden Router in größerer Zahl identifiziert und kompromittiert. Danach ändern die Angreifer die DNS- oder DHCP-Konfiguration, um den Datenverkehr umzuleiten. Anschließend werden die betroffenen Nutzer auf gefälschte oder manipulierte Dienste geführt, während Anmeldedaten und Tokens im Hintergrund mitgeschnitten werden. In manchen Fällen wird der Datenverkehr später wieder an die eigentlichen Dienste zurückgegeben, damit der Betrug schwerer auffällt.

Gerade diese Mischung aus Masse und gezielter Nachbereitung ist gefährlich. Die Kampagne wirkt laut den Berichten zunächst breit angelegt, wird dann aber auf interessante Ziele eingegrenzt. Das passt zu klassischen Spionageoperationen, bei denen nicht jeder kompromittierte Router das eigentliche Ziel ist, sondern viele Geräte als Sprungbrett dienen. So lassen sich in der Menge potenziell wertvolle Konten und Kontakte herausfiltern.

Welche Spuren auf einen kompromittierten Router hindeuten können

Auch wenn die Angriffe oft unauffällig bleiben, gibt es typische Anzeichen für Manipulationen im Netz. Unerwartete Login-Abfragen, veränderte Startseiten, merkwürdige Weiterleitungen oder plötzliche Probleme beim Abruf bekannter Dienste können Hinweise sein. Ebenso verdächtig sind geänderte DNS-Einstellungen, unbekannte Verwaltungszugriffe oder Firmware-Versionen, die nicht mehr zum letzten Update-Stand passen. Solche Spuren beweisen keinen Angriff, sind aber ein ernstes Signal für eine Prüfung.

Hinzu kommt, dass ein Router nicht nur dann problematisch ist, wenn er bereits sichtbar ausfällt. Schon eine stille Umstellung von Einstellungen kann reichen, um Datenverkehr abzugreifen. Deshalb ist es wichtig, nicht allein auf offensichtliche Fehlermeldungen zu achten, sondern auch auf Veränderungen im Verhalten des Netzwerks. Wenn Webseiten plötzlich ungewöhnlich langsam laden, Zertifikatswarnungen auftreten oder E-Mail- und Login-Prozesse anders als gewohnt reagieren, kann das auf eine Umleitung hindeuten.

Was jetzt als Schutzmaßnahme zählt

Für den Schutz vor solchen Angriffen ist vor allem die Basis entscheidend: Router-Firmware aktuell halten, Standardpasswörter ersetzen und die Fernverwaltung abschalten, wenn sie nicht zwingend benötigt wird. Ebenso wichtig ist es, die DNS-Konfiguration regelmäßig zu prüfen und sicherzustellen, dass keine unbekannten Server eingetragen sind. Wer ein Gerät von einem älteren Modell nutzt, sollte prüfen, ob der Hersteller überhaupt noch Sicherheitsupdates bereitstellt. Fehlen Updates dauerhaft, steigt das Risiko mit jedem weiteren Monat.

Auch auf der Kontoseite ist Vorsicht geboten. Mehrfaktor-Authentifizierung reduziert das Risiko, wenn Passwörter abgegriffen werden. Dennoch bleibt sie kein Allheilmittel, weil Sitzungstokens und Browserdaten ebenfalls missbraucht werden können. Deshalb zählt eine Kombination aus Router-Härtung, sauberer Kontosicherung und wachsamer Überprüfung von Login-Aktivitäten. In Unternehmen kommt hinzu, dass Netzwerküberwachung, Inventarisierung und klare Update-Prozesse helfen, kompromittierte Randgeräte schneller zu erkennen.

Warum das Thema über den Einzelfall hinausreicht

Der aktuelle Fall steht exemplarisch für eine Entwicklung, die seit Jahren zu beobachten ist: Angriffe verschieben sich von gut geschützten Kernsystemen hin zu den verwundbarsten Stellen am Rand. Router, IoT-Geräte und kleine Netzkomponenten werden damit zu einem bevorzugten Einfallstor. Das ist nicht nur ein technisches Problem, sondern auch ein organisatorisches. Wer die kleinen Geräte vergisst, öffnet unter Umständen den Weg in größere Strukturen.

Die Nachricht ist deshalb unangenehm, aber wichtig. Russische Hacker kapern Router nicht bloß, um einzelne Geräte lahmzulegen. Ziel ist häufig die Kontrolle über Datenströme, die Auswertung von Kommunikationswegen und der Zugriff auf Konten, die später für weitere Operationen genutzt werden können. Damit wird aus einem scheinbar unscheinbaren Heimrouter ein Instrument für Spionage, Täuschung und Datendiebstahl. Gerade weil der Angriff im Hintergrund stattfindet, bleibt er lange gefährlich.

Fazit: Kleine Geräte, große Wirkung

Die aktuellen Meldungen zeigen mit ungewöhnlicher Klarheit, wie groß der Schaden sein kann, wenn Router aus dem Blick geraten. Ein kompromittiertes Gerät am Netzrand reicht aus, um Passwörter, Tokens und E-Mails in die falschen Bahnen zu lenken. Besonders brisant ist, dass die Angriffe nicht nur auf Technik, sondern auf Vertrauen zielen: Wer einen Router kontrolliert, kontrolliert unter Umständen auch die Route zu vielen Diensten des digitalen Alltags.

Die Gefahr durch russische Hacker, die Router kapern, liegt deshalb nicht allein in einem einzelnen Einbruch. Sie liegt in der Kombination aus leisen Manipulationen, breiter Verteilung und schwer erkennbaren Folgen. Aktualisierte Firmware, sichere Zugänge, kontrollierte DNS-Einstellungen und starke Kontosicherung bleiben die wirksamsten Gegenmittel. Wer Router weiter als bloßes Zubehör betrachtet, unterschätzt eine der bequemsten und wirkungsvollsten Angriffsstrecken im Netz. Genau darin liegt die eigentliche Warnung dieser Woche: Der Schutz beginnt nicht erst beim Login, sondern schon bei der Infrastruktur, die ihn möglich macht.

Quellenhinweis: Berücksichtigt wurden aktuelle Berichte und Mitteilungen vom 7. bis 10. April 2026, darunter das US-Justizministerium, das britische NCSC, Microsoft-bezogene Sicherheitsberichterstattung sowie weitere Fachmedien.