UPnP ist eine Netzwerkprotokoll-Suite, die in erster Linie dazu dient, dass Geräte im selben lokalen Netzwerk einander automatisch erkennen und sich miteinander verbinden können. Wenn das für technisch nicht versierte Benutzer wie ein Traum klingt, ist es das in vielerlei Hinsicht auch.
Schließlich ist Bequemlichkeit in unserer ultra-vernetzten Welt von heute das A und O. Von Spielekonsolen, die sich mühelos mit dem Internet verbinden, bis hin zu Smart-TVs und IoT-Geräten(neues Fenster), die scheinbar direkt nach dem Auspacken einfach funktionieren – moderne Netzwerke sind darauf ausgelegt, den Aufwand für Benutzer zu minimieren. Eine der Technologien, die all diese nahtlose Konnektivität im Verborgenen ermöglichen, ist Universal Plug and Play (UPnP).
UPnP wird jedoch auch häufig verwendet, um eine Portweiterleitung auf Routern zu konfigurieren, sodass Geräte im Internet auf Ressourcen in deinem lokalen Netzwerk (LAN) zugreifen können. Dies bedeutet (zusammen mit anderen Sicherheitslücken, die wir später besprechen werden), dass es eine gute Idee sein kann, UPnP komplett zu deaktivieren.
In diesem Artikel werden wir uns ansehen:
- Was ist UPnP?
- Wie funktioniert UPnP?
- Warum ist UPnP gefährlich?
- Warum du UPnP deaktivieren solltest
- Portweiterleitung, UPnP und VPNs
- Wie man UPnP auf Routern deaktiviert
- UPnP – Komfort hat seinen Preis
Was ist UPnP?
Wie der Name schon sagt, ist das Hauptziel von UPnP, vernetzte Geräte nach dem Prinzip „Plug and Play“ nutzbar zu machen. Mit anderen Worten: Wenn du ein Gerät mit deinem Netzwerk verbindest, sollte es einfach funktionieren, ohne dass du dich in die Einstellungen deines Routers einarbeiten, Ports öffnen oder an IP-Adressen herumtüfteln musst.
UPnP erreicht dies mithilfe einer Reihe von Netzwerkprotokollen, die es Geräten in deinem lokalen Netzwerk – wie PCs, Druckern, Modems, Routern und Mobilgeräten – ermöglichen, die Anwesenheit der anderen im Netzwerk nahtlos zu erkennen und anschließend miteinander zu kommunizieren.
UPnP kann auch verwendet werden, um eine Portweiterleitung einzurichten und Verbindungen durch die Firewall deines Routers zu leiten, sodass du Geräte im Internet mit Geräten in deinem lokalen Netzwerk verbinden kannst. Beliebte Gründe hierfür sind:
- IoT-Geräte: Beispielsweise möchtest du vielleicht das Live-Bild deiner Sicherheitskamera überprüfen, dein smartes Thermostat steuern oder dein Smart-Home-System von überall auf der Welt aus verwalten.
- Heim-Medienserver: Damit du auch von unterwegs über das Internet Inhalte von deinem Plex- oder Jellyfin-Server ansehen kannst
- Gaming-Server: Damit du Multiplayer-Spiele hosten kannst, ohne Gebühren für Server von Drittanbietern zahlen zu müssen
- P2P-Dateifreigabe: Um eingehende Verbindungen für bessere Downloadgeschwindigkeiten zuzulassen. In unserem ultimativen Torrenting-Leitfaden findest du weitere Informationen darüber, wie das funktioniert.
Wie funktioniert UPnP?
Einfach ausgedrückt lässt sich die Funktionsweise von UPnP in folgende Schritte unterteilen:
- Erkennung: Wenn ein Gerät mit einem Netzwerk verbunden wird, sendet es eine Broadcast-Nachricht, um seine Anwesenheit anzukündigen. Andere Geräte im Netzwerk können auf diese Nachricht antworten, wodurch sie einander erkennen können.
- Beschreibung: Sobald sich die Geräte gegenseitig erkannt haben, tauschen sie Informationen über ihre Funktionen und Dienste aus. In diesem Schritt teilen die Geräte Details darüber mit, was sie tun können und wie andere Geräte mit ihnen interagieren können.
- Automatische Konfiguration: Geräte können automatisch eine Portweiterleitung vom Router anfordern. Beispielsweise kann eine Spielekonsole den Router auffordern, bestimmte Ports zu öffnen, damit sie ohne manuelles Eingreifen Multiplayer-Spiele hosten kann.
Warum ist UPnP gefährlich?
Obwohl UPnP unbestreitbaren Komfort bietet, bringt es auch ernsthafte Sicherheitsbedenken mit sich. Was UPnP so riskant macht, ist nicht nur seine Funktionsweise, sondern auch die Tatsache, wie wenig Kontrolle und Einblick du normalerweise darüber hast, was hinter den Kulissen geschieht. Die Hauptrisiken bei UPnP sind:
Automatische Portweiterleitung
Obwohl UPnP in erster Linie für die Verbindung von Geräten in einem lokalen Netzwerk konzipiert wurde, ist eine seiner nützlichsten Funktionen die Möglichkeit, automatisch Ports an einem Router zu öffnen, damit Geräte in deinem LAN mit Geräten im Internet kommunizieren können. Leider können offene Ports es böswilligen Akteuren ermöglichen, Zugriff auf Geräte in deinem lokalen Netzwerk zu erlangen.
Es ist zu beachten, dass dieses Risiko auch besteht, wenn du eine Portweiterleitung manuell auf deinem Router konfigurierst. Wenn UPnP jedoch aktiviert ist, öffnet es möglicherweise Ports, um automatisch mehrere (potenziell anfällige) Geräte in deinem lokalen Netzwerk ohne dein Wissen zu konfigurieren.
Keine Authentifizierung
UPnP wurde für vertrauenswürdige lokale Netzwerke entwickelt, weshalb es für seine Funktion in der Regel keine Authentifizierung von Geräten erfordert. Das bedeutet, dass jedes Gerät im selben Netzwerk – auch potenziell gefährdete – Anfragen an den Router senden kann, um Ports zu öffnen oder den Datenverkehr umzuleiten.
Wenn sich Malware auf einem einzigen infizierten Gerät in deinem Netzwerk befindet, kann sie unbemerkt die Netzwerkeinstellungen ändern und ohne dein Wissen Lücken in deine Firewall reißen. So kann die Malware mit der Außenwelt kommunizieren. Genau das ist mit dem berüchtigten Mirai-Botnetz(neues Fenster) passiert, das UPnP-Sicherheitslücken ausnutzte, um IoT-Geräte (wie Heimkameras) und Router zu infizieren, um einige der weltweit größten DDoS-Angriffe(neues Fenster) aller Zeiten zu starten.
Dieser Mangel an Authentifizierung bedeutet auch, dass sich Malware leicht auf andere UPnP-Geräte übertragen kann, die mit deinem lokalen Netzwerk verbunden sind.
Höheres Risiko von Port-Scanning-Angriffen
Hauptsächlich aufgrund älterer oder schlecht konfigurierter Router, die UPnP-Verbindungen aus dem Internet (nicht nur aus dem lokalen Netzwerk) akzeptieren, sind Millionen von Netzwerkgeräten und Routern(neues Fenster) anfällig für DDoS- und andere Angriffe.
Warum du UPnP deaktivieren solltest
UPnP kann das Leben erleichtern, indem es deine Netzwerkeinrichtung automatisiert, aber der Mangel an Sicherheitskontrollen und das Missbrauchspotenzial machen es zu einer hochriskanten Funktion. Dies gilt insbesondere für handelsübliche Router, bei denen das standardmäßige Designprinzip „Vertraue allem“ von UPnP schlichtweg nicht mit modernen Best Practices für Sicherheit übereinstimmt und die Verbreitung von Malware begünstigt. Für die meisten Menschen ist der Komfort das Risiko also wohl kaum wert.
Die mangelnde Sichtbarkeit darüber, welche Ports geöffnet sind, warum sie geöffnet sind und ob du sie ordnungsgemäß geschlossen hast, führt zu blinden Flecken in deiner Netzwerksicherheit. Dies bietet ein leichtes Einfallstor für Malware und Hacker, die dann dauerhafte Hintertüren in deinem Netzwerk einrichten oder sogar deinen Datenverkehr über vom Angreifer kontrollierte DNS-Server leiten können (wie beim Switcher-Trojaner(neues Fenster) beobachtet).
Eine viel bessere Lösung besteht darin, die Portweiterleitung bei Bedarf manuell zu konfigurieren, damit du die vollständige Kontrolle und Übersicht darüber hast, welche Ports geöffnet sind.
Erfahre, wie du die Portweiterleitung auf verschiedenen Routern manuell einrichtest
Bitte beachte jedoch, dass es keinen Sinn hat, eine Portweiterleitung auf deinem Router für Geräte einzurichten, die eine Verbindung zu einem VPN herstellen (siehe unten).
Portweiterleitung, UPnP und VPNs
Wenn du ein Gerät mit einem VPN-Server verbindest, werden alle Daten, die zwischen dem Gerät und dem Server übertragen werden, durch einen verschlüsselten VPN-Tunnel geleitet. Während sie diesen VPN-Tunnel passieren, kann keine andere Person und kein anderes Gerät deine Daten einsehen.
Dazu gehören dein Internetdienstanbieter (ISP) und damit auch deine Regierung, aber es betrifft auch deinen eigenen Router. Bei der Verwendung eines VPN umgeht die Verbindung also praktisch deinen Router, wodurch UPnP (und die manuelle Portweiterleitung auf dem Router) überflüssig werden. Eine Portweiterleitung bei der Verwendung eines VPN bedeutet, einen Port in der NAT-Firewall zu öffnen, die dein VPN-Anbieter zum Schutz des VPN-Servers verwendet – nicht auf dem Router.
Wenn ein Gerät (oder eine auf diesem Gerät ausgeführte App, wie z. B. ein BitTorrent-Client) UPnP unterstützt, solltest du diese Einstellung deaktivieren, um Konflikte mit der VPN-Software zu vermeiden.
Erfahre mehr über die Portweiterleitung mit Proton VPN
Wie man UPnP auf Routern deaktiviert
Das Deaktivieren von UPnP auf deinem Router ist ein unkomplizierter Vorgang, aber die genauen Schritte variieren je nach Marke und Modell deines Routers. Im Folgenden findest du allgemeine Anweisungen zum Deaktivieren von UPnP für einige der gängigsten Router-Marken. Bei anderen Routern sind die Schritte ähnlich.
Gib zunächst die IP-Adresse deines Routers (normalerweise 192.168.1.1 oder 192.168.0.1) in die Adresszeile deines Browsers ein und melde dich mit deinem Administrator-Benutzernamen und -Passwort an. Diese Angaben sind in der Regel auf einem Aufkleber auf deinem Router aufgedruckt (es sei denn, du hast sie geändert). Danach:
Linksys-Router
Gehe zum Tab Administration → UPnP → und schalte die UPnP-Einstellung aus. Klicke auf Einstellungen speichern, um die Änderungen anzuwenden. Es empfiehlt sich, deinen Router neu zu starten, damit die Änderungen wirksam werden. Gehe dazu zum Tab Administration → Reboot.
Netgear-Router
Gehe zum Tab Administration → UPnP → und schalte die UPnP-Einstellung aus. Klicke auf Anwenden, um die Änderungen zu speichern. Es empfiehlt sich, deinen Router neu zu starten, damit die Änderungen wirksam werden. Gehe dazu zum Tab Maintenance → Reboot.
TP-Link-Router
Gehe zum Tab Advanced → NAT-Weiterleitung → UPnP und schalte die UPnP-Einstellung aus. Es empfiehlt sich, deinen Router neu zu starten, damit die Änderungen wirksam werden. Gehe dazu zum Tab System → Reboot.

Fazit zu UPnP — Komfort hat seinen Preis
UPnP wurde in guter Absicht entwickelt, um die Vernetzung für ganz normale Menschen zu erleichtern, indem Geräte automatisch kommunizieren und sich selbst konfigurieren können. Doch in einer Zeit, in der Cyberbedrohungen hochentwickelter und häufiger sind als je zuvor, ist dieser Komfort auch ein Sicherheitsrisiko.
Die mangelnde Authentifizierung von UPnP, die Portweiterleitung und eine Historie von Ausnutzungen machen es zu einer riskanten Funktion, wenn man sie aktiviert lässt, besonders auf Heimroutern, die selten überwacht oder aktualisiert werden. Während UPnP die Einrichtung von Spielen, Streaming-Geräten und Smart-Home-Geräten vereinfachen mag, öffnet es auch heimlich Türen, durch die Hacker und Malware nur zu gerne eintreten.
Glücklicherweise ist das Deaktivieren von UPnP ganz einfach, und die meisten Menschen werden im täglichen Internetgebrauch keinen Unterschied bemerken — vor allem, wenn du dir ein wenig Zeit nimmst, um die wenigen Dienste, die tatsächlich offene Ports benötigen, manuell zu konfigurieren.
Das ist sogar noch einfacher, wenn du Proton VPN auf deinen Geräten nutzt, da du die Funktion einfach nur aktivieren musst und wir einen passenden Port in unserer VPN-Firewall für dich öffnen.






