FritzBox-Audit mit Claude Code — die 12 Lücken die fast jeder hat

Warum dieser Artikel

Die FritzBox steht in grob 40 Prozent aller deutschen Haushalte. AVM baut gute Geräte, die Firmware ist besser als bei Billigroutern aus Asien — aber die Default-Einstellungen sind nicht ideal, und die meisten User haben nach der Ersteinrichtung nie wieder reingeschaut.

Ich hab meine eigene FritzBox 7590 AX mit Claude Code durchgeackert. Das Ergebnis waren zwölf konkrete Problempunkte. Von denen betreffen mindestens acht jeden Standard-Haushalt. Hier der Walkthrough, mit Copy-Paste-Anweisungen.

Die Methode — Config-Export plus Claude Code

FritzBox erlaubt im Admin-Interface den Export einer verschlüsselten Config-Datei. Das Script das Claude Code für mich schrieb liest die entschlüsselte Variante und prüft systematisch gegen eine Liste von Sicherheits-Kriterien:

# fritzbox_audit.py — von Claude Code generiert
import xml.etree.ElementTree as ET
import json

def check_fritzbox_config(config_path):
    tree = ET.parse(config_path)
    findings = []
    # 12 Prüfungen, hier exemplarisch 2 gezeigt
    if tree.find(".//UPnP_enabled").text == "yes":
        findings.append({
            "severity": "high",
            "title": "UPnP aktiviert",
            "fix": "System > Netzwerkeinstellungen > UPnP deaktivieren"
        })
    if tree.find(".//FernzugangHTTPS").text == "yes":
        findings.append({
            "severity": "medium",
            "title": "Fernzugang via HTTPS aktiv",
            "fix": "Prüfen ob nötig. Wenn ja: MyFritz-Account nutzen statt Direct-HTTPS"
        })
    return findings

Ich brauche die Export-Funktion eigentlich nicht, man kann auch durchs Interface klicken. Aber wenn du mehrere Boxen verwaltest, automatisiert das ganze Audit-Familien-Routine.

Die 12 Punkte — in Reihenfolge der Gefährlichkeit

1. UPnP aktiviert (Werks-Default)

Was es ist: UPnP erlaubt Geräten im Heimnetz selbständig Port-Forwardings zu beantragen. Konsole, Smart-TV, Kamera — alle machen das. Problem: Auch Malware macht das. Ein infiziertes Gerät kann so zum Einfallstor ins Heimnetz werden.

Fix: System → Netzwerkeinstellungen → "Portfreigaben mit UPnP ändern" ausschalten. Die paar Geräte die wirklich Port-Forwarding brauchen (Spielekonsole für Online-Multiplayer) kannst du manuell freigeben.

2. Fernzugang via Direct-HTTPS aktiviert

Was es ist: Manche User aktivieren "Internet → Freigaben → FritzBox aus dem Internet erreichbar". Damit steht die Admin-Oberfläche öffentlich im Netz. Auch wenn das Passwort stark ist — das ist unnötige Angriffsfläche. Jedes Jahr werden CVEs in FritzOS veröffentlicht. Wenn deine Box direkt erreichbar ist, bist du betroffen.

Fix: Entweder komplett aus, oder — wenn du wirklich Fernzugriff brauchst — über MyFritz-Account mit Zwei-Faktor. Der ist deutlich besser abgesichert.

3. WPS aktiv

Was es ist: WPS ist diese "Knopf-Druck-Funktion" für WLAN-Verbindung. Für den Komfort gebaut, aber seit Jahren bekannt für Schwachstellen (Pixie-Dust-Attack, PIN-Brute-Force). Niemand braucht WPS wenn er sich einmal hinsetzt und das WLAN-Passwort im Handy speichert.

Fix: WLAN → Sicherheit → WPS deaktivieren.

4. Gastnetz ohne Isolation

Was es ist: Wenn du ein Gastnetz hast, sollte es vom Hauptnetz getrennt sein. Sonst sehen deine Gäste (oder deren möglicherweise infizierte Geräte) deinen NAS, deinen Drucker, deine Smart-Home-Zentrale.

Fix: WLAN → Gastzugang → "Die Gastgeräte dürfen untereinander kommunizieren" aus. Und "Hotspot-Gäste dürfen auf das Heimnetz zugreifen" muss aus.

5. Altes WLAN-Passwort (vom Aufkleber auf der Box)

Was es ist: Der Werks-WPA-Key auf der Unterseite ist zufällig generiert, aber AVM nutzt einen bekannten Algorithmus. Tools wie fritzbox-key-tool können in manchen alten Modellen den Key rekonstruieren. Bei der 7590 AX gilt das nicht mehr, aber trotzdem: ersetzen.

Fix: WLAN → Sicherheit → WPA-Passwort, neues 20-Zeichen-Random setzen. In einem Passwort-Manager ablegen, nicht auswendig merken.

6. Firmware-Update-Check nicht automatisch

Was es ist: FritzOS-Updates bringen fast jedes Mal Security-Fixes. Wenn du die nicht einspielst, lebst du mit bekannten Lücken.

Fix: System → Update → "Auto-Update" aktivieren, Stufe "Sofortige Installation aller neuen Versionen".

7. Kinderschutz-Listen werden von Kindern bei Bedarf via Tailscale/VPN umgangen

Was es ist: Nicht Security im klassischen Sinn, aber relevant: Der Kinderschutz der FritzBox wird durch jedes VPN komplett umgangen. Kein Fix in der Box selbst — wenn du ernsthaft kontrollieren willst, brauchst du DNS-Filterung auf dem Endgerät (Pi-hole, NextDNS, ScreenTime-Apps).

8. NAS-Freigaben ohne Zugangskontrolle

Was es ist: Wer einen USB-Stick oder eine Festplatte an die FritzBox steckt, hat standardmäßig SMB-Freigabe mit anonymem Zugriff aktiviert. Jedes Gerät im Netz kann die Daten lesen.

Fix: Heimnetz → USB/Speicher → Zugriff mit Benutzername und Passwort erzwingen.

9. VPN-Fernzugang eingerichtet aber schwacher PSK

Was es ist: Wenn du IPsec-VPN auf der FritzBox nutzt (Anwendungen → Fernzugang → VPN), muss der Pre-Shared-Key stark sein. Die Box akzeptiert auch schwache 8-Zeichen-Keys. Bei Brute-Force dauert das nicht lange.

Fix: Neuen VPN einrichten mit PSK von mindestens 20 Zeichen. Alternativ WireGuard nutzen (ab FritzOS 7.50 verfügbar), das ist deutlich sicherer.

10. DNS ungesichert

Was es ist: Standardmäßig nutzt die FritzBox die DNS-Server deines Providers. Die können dein Browsing-Verhalten mitloggen. DNS-over-TLS wäre besser.

Fix: Internet → Zugangsdaten → DNS-Server → "Andere DNSv4-Server verwenden" und DNS-over-TLS aktivieren. Server-Optionen: 1.1.1.1 (Cloudflare) mit cloudflare-dns.com, oder 9.9.9.9 (Quad9) mit dns.quad9.net.

11. TR-064 aktiv (UPnP-Control-Protokoll für ISP)

Was es ist: TR-064 erlaubt dem Provider (oder jedem der im selben Netzwerk ist) bestimmte Kommandos an die Box zu schicken. Für manche Diagnose-Features genutzt, aber erweitert die Angriffsfläche.

Fix: Heimnetz → Netzwerk → Netzwerkeinstellungen → "Zugriff für Anwendungen zulassen" → Einstellungen prüfen, ggf. aus.

12. Push-Service mit Mail-Weiterleitung

Was es ist: Die Box kann bei Events (Anruf, Update, Fernzugriff) E-Mails an dich schicken. Die SMTP-Zugangsdaten werden dabei im Klartext in der Config gespeichert. Wenn deine Config je leaked, leaken auch deine Mail-Credentials.

Fix: System → Push Service → entweder deaktivieren, oder ein dediziertes Mail-Konto nur dafür anlegen (kein privates Konto).

Die Zwei-Minuten-Express-Version

Wenn du nur zwei Minuten Zeit hast, die drei wichtigsten Schritte:

1. UPnP aus (System → Netzwerkeinstellungen)
2. Fernzugang prüfen und aus (Internet → Freigaben → FritzBox aus dem Internet erreichbar)
3. Auto-Update einschalten (System → Update → Auto-Update)

Das reicht um die drei größten Türen zu schließen. Alles andere ist Feintuning.

Mein Audit-Script

Das komplette Python-Script mit allen zwölf Prüfungen und dem JSON-Output kommt ins Community-Repo der Zone "Hacking & Security". Da kannst du es bei dir einsetzen und die Liste um weitere Prüfungen ergänzen.

Wer ein Script für andere Router schreiben will (ASUS, TP-Link, Speedport): Das Prinzip ist gleich — Config-Export, parsen, gegen Check-Liste prüfen. Die Check-Listen sind pro Hersteller unterschiedlich aber die Struktur bleibt.

Was 2026 neu dazukommen wird

Die FritzBox wird mit FritzOS 8.5 (Q3 2026 angekündigt) mehr KI-Features bekommen — Anomalie-Detection im Heimnetz, automatische Quarantäne verdächtiger Geräte. Das könnte die Audit-Arbeit bei Neueinrichtungen reduzieren, aber für Bestands-Boxen bleibt das manuelle Durchgehen vorerst der Weg.

Weiterlesen

Für das technische Drumherum siehe WLAN-Pentesting im eigenen Lab. Für Voice-Cloning-Bedrohungen die deine Familie treffen könnten siehe CEO-Fraud per Voice-Cloning. Alle Security-Artikel im Pentesting-Pillar.

Hast du weitere FritzBox-Lücken gefunden? Oder Scripts für andere Router? Zone "Hacking & Security" im Discord — da tauschen wir solche Setups aus.