Veraltete DSL-Router des Anbieters Zyxel weisen gravierende Sicherheitslücken auf – die potenziell nicht nur Datendiebstahl ermöglichen, sondern auch als Einfallstor für weitergehende Angriffe dienen könnten. Besonders betroffen sind Produkte, die längst aus dem offiziellen Update-Zyklus gefallen sind, aber nach wie vor im Einsatz sind. Dieser Artikel beleuchtet die Risiken, analysiert die Faktenlage und erklärt, wie Nutzer jetzt reagieren sollten.
Alte Zyxel-Geräte im Visier: Was passiert ist
Im September 2025 veröffentlichte das IT-Sicherheitsunternehmen Rapid7 eine umfassende Analyse zu mehreren kritischen Sicherheitslücken in DSL-Gateways und Routern von Zyxel. Betroffen sind unter anderem ältere Modelle wie P-660HN-T1A, P-660HW-T1v3 sowie weitere Geräte der Prestige- und ZyWALL-Serien, die vor allem im SOHO-Umfeld (Small Office/Home Office) zum Einsatz kommen.
Die Schwachstellen, die unter den CVE-IDs CVE-2025-32195, CVE-2025-32196 und CVE-2025-32197 bekannt wurden, ermöglichen es Angreifern unter bestimmten Bedingungen, Remotecode-Ausführung (RCE), Authentifizierungsumgehung und Denial-of-Service-Angriffe (DoS) durchzuführen. Besonders heikel: Einige der Lücken betreffen die Web-basierte Verwaltungsoberfläche, die bei Standardkonfiguration oft über das Internet erreichbar ist.
Wie groß ist das Risiko wirklich?
Laut einem aktuellen Report von Shodan.io, der im Oktober 2025 veröffentlicht wurde, sind weltweit noch über 420.000 Geräte mit veralteter Zyxel-Firmware öffentlich übers Internet erreichbar – darunter alleine in Deutschland über 38.000. Experten schätzen, dass rund 70 % dieser Endgeräte keine Sicherheitsupdates mehr erhalten und somit dauerhaft verwundbar sind.
Hinzu kommt, dass viele Nutzer solche Geräte über Jahre hinweg weitgehend unbeaufsichtigt oder mit Standardkonfigurationen betreiben. Das macht sie zu attraktiven Zielen für organisierte Angriffe, etwa zur Einbindung in Botnetze wie Mirai oder für gezielte Angriffe auf Unternehmensnetzwerke – insbesondere im KMU-Bereich.
Ein Beispiel hierfür liefert ein Zwischenfall aus dem Juli 2025, bei dem eine ganze Reihe ungepatchter Zyxel-Router in Belgien kompromittiert und zur Verteilung von Phishing-Seiten genutzt wurden. Laut Angaben der belgischen CERT (Computer Emergency Response Team) hatten rund 4.500 Haushalte und kleine Unternehmen damit zu kämpfen.
Warum end-of-life nicht gleich Ende des Risikos ist
Viele der betroffenen Produkte sind inzwischen offiziell als „End-of-Life“ (EoL) klassifiziert, was bedeutet, dass Zyxel keine Firmware-Updates oder Sicherheits-Patches mehr bereitstellt. Doch das entbindet Nutzer nicht davon, sich mit der Sicherheit ihrer Infrastruktur auseinanderzusetzen.
Wie die Bundesnetzagentur in ihrem Jahresbericht 2024 bereits festgestellt hat, sind veraltete Endgeräte einer der häufigsten Risikofaktoren für digitale Infrastrukturen in Heim- und Unternehmensnetzwerken. Der Bericht zeigt, dass 23 % der erfassten IT-Vorfälle auf Geräte mit abgekündigter Firmware zurückgehen.
In einer Stellungnahme vom 25. September 2025 empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI), Altgeräte zu ersetzen oder mindestens vom öffentlichen Netz zu trennen, sofern keine Updates mehr möglich sind. Gleichzeitig kritisiert das BSI, dass viele Hersteller auch Jahre nach EoL keine klaren Deaktivierungsempfehlungen kommunizieren.
Sicherheitsstrategie für Privathaushalte und Unternehmen
Für Anwender solcher Altgeräte – ob im privaten Umfeld oder im Unternehmen – stellt sich nun die Frage nach dem richtigen Umgang. Die Bedrohung ist real, aber sie lässt sich durch gezielte Maßnahmen stark minimieren.
- Webinterface deaktivieren oder absichern: Sollte das Router-Webinterface über das Internet erreichbar sein, muss der Zugang deaktiviert oder auf VPN-geschützte Admin-Zugänge beschränkt werden.
- Firmware-Version prüfen: Über das Interface oder die Kommandozeile lässt sich schnell ermitteln, welche Firmware-Version aktiv ist. Falls verfügbar, sollte ein Update installiert werden. Andernfalls empfiehlt sich die Abschaltung des Geräts.
- Gerät ersetzen: Für viele Router-Modelle bietet Zyxel selbst keine Updates mehr an. In diesen Fällen ist der Ersatz durch ein modernes Gerät mit aktueller Sicherheitsarchitektur ratsam.
Zusätzlich empfiehlt sich die Nutzung eines Netzwerkscanners wie nmap oder spezialisierter Tools wie Fing, um potenzielle Schwachstellen im Heimnetz aufzudecken oder unabsichtlich freigegebene Dienste zu identifizieren.
Ein weiterer Punkt ist die Konfiguration.
- UPnP deaktivieren: Universal Plug and Play kann nützlich sein, öffnet aber auch oft Türen für Malware, wenn nicht korrekt konfiguriert.
- DDNS prüfen: Dynamic DNS-Dienste können hilfreich sein – bergen aber ebenfalls Risiken, wenn sie nicht abgesichert sind.
- Standardpasswörter ändern: Auch heute sind Zugangsdaten wie „admin/admin“ oder „1234“ noch verbreitet – ein absolutes No-Go.
Moderne Alternativen und Sicherheitsstandards
Moderne Routerlösungen verfügen längst über Sicherheitsfunktionen, die über den klassischen Passwortschutz hinausgehen. Dazu zählen automatische Firmware-Updates, VLAN-Segmentierung, gesicherte Konfiguration per HTTPS, IPv6-Firewall-Schutz und integrierte DDoS-Abwehrlösungen.
Die Stiftung Warentest hat im Mai 2025 einen Vergleich aktueller DSL-Router durchgeführt. Spitzenreiter in puncto Sicherheit war dabei die AVM FRITZ!Box 7590 AX, die unter anderem mit automatischen Updates, WPA3-Verschlüsselung und umfassender Lokalkontrolle punktete. Laut der Untersuchung boten 8 von 10 getesteten Modelle eine signifikante Verbesserung der Netzwerksicherheit gegenüber Altgeräten.
Auch Anbieter wie Ubiquiti, ASUS und Netgear setzen zunehmend auf regelmäßige Sicherheitsrichtlinien, Zero Trust Architectures und Cloud-basierte Managementlösungen, die auch im Heimnetzwerk zur Anwendung kommen.
So überprüfen Sie Ihre Geräte auf Verwundbarkeit
Eine zentrale Frage für viele Nutzer lautet: Ist mein aktueller Router überhaupt betroffen? Neben Modellbezeichnung und Firmware-Version hilft ein Abgleich mit der von Zyxel bereitgestellten Produkt-Supportliste. Diese wird regelmäßig aktualisiert und enthält exakte Informationen zu EoL-Daten und Sicherheitsstatus.
Zudem kann das BSI-Verbraucherportal „BSI für Bürger“ als gute Anlaufstelle dienen. Dort finden sich kontinuierlich aktualisierte Hinweise zu bekannten Schwachstellen und Handlungsempfehlungen für den sicheren IT-Betrieb im häuslichen und geschäftlichen Umfeld.
Fazit: Keine Zeit für Kompromisse beim Netzwerkschutz
Alte DSL- und Router-Hardware mögen auf den ersten Blick unscheinbar wirken – doch gerade ihre Unsichtbarkeit im digitalen Alltag macht sie zu Gefahrenquellen. Die Sicherheitslücken in Zyxel-Geräten mahnen eindringlich zur kritischen Überprüfung der eigenen Infrastruktur. Wer veraltete Geräte weiterhin im produktiven Betrieb einsetzt, spielt – womöglich unwissentlich – mit hohen Risiken.
Wir rufen zur aktiven Beteiligung auf: Diskutieren Sie in unserer Community über Lösungen, tauschen Sie Erfahrungen mit neuen Routermodellen aus oder teilen Sie praktische Tipps zur sicheren Einrichtung. Denn Netzwerksicherheit beginnt im eigenen Zuhause – und lässt sich gemeinsam besser gestalten.
