Was ist UPnP (Universal Plug and Play) und wie sicher ist es?

Einfach ein neues Gerät einstecken und los geht’s: Universal Plug and Play ist ziemlich praktisch, da es die Vernetzung Ihrer digitalen Geräte erleichtert. Aber ist es auch sicher? Sollte man UPnP aktivieren oder lieber nicht? Das – und noch viel mehr – erfahren Sie in diesem Artikel. Lesen Sie zudem, wie Sie Ihre Geräte mit Avira Free Security generell besser vor Online-Bedrohungen schützen können. 

 

Was ist UPnP und wofür wird es verwendet?

UPnP ist die Abkürzung für „Universal Plug and Play“, was übersetzt „Universelles Einstecken und Abspielen“ oder „Universelles Anschließen und Loslegen“ bedeutet. Plug and Play (PnP) ist Ihnen sicher schon begegnet. Dank dieser Technik können Sie Peripheriegeräte wie eine Maus, Tastatur oder externe Festplatte einfach an Ihren Computer anschließen und sofort nutzen – ohne zuvor manuelle Einstellungen vornehmen oder Gerätetreiber installieren zu müssen.

Universal Plug and Play erweitert das Plug and Play-Konzept und dehnt es auf die gesamte Netzwerkumgebung aus, um die digitale Vernetzung von Geräten im Heimnetzwerk zu erleichtern. Es wurde von der UPnP Implementers Corporation (UPnP-IC) entwickelt, um die automatische Konfiguration und Kommunikation von Netzwerkgeräten in einem Netzwerk zu ermöglichen und wurde ursprünglich von Microsoft eingeführt.

Dank UPnP muss ein Nutzer den Geräten weder manuell IP-Adressen zuweisen noch die eventuell für den Internetzugriff benötigten Portweiterleitungen auf dem Router einrichten. Zu den potenziell UPnP-fähigen Geräten gehören zum Beispiel Drucker, IP-Kameras, Audio-Geräte, Router wie die FritzBox, Spielekonsolen wie die Xbox sowie smarte Haushaltsgeräte und Fernseher.  

Mittels UPnP können sich diese Geräte automatisch identifizieren, ihre Dienste und Dateien freigeben, miteinander kommunizieren und interagieren. Alles, was ein Gerät dafür braucht, ist eine private IP-Adresse zur Identifizierung sowie ein implementiertes UPnP-Protokoll zur Kommunikation. Das UPnP-Protokoll basiert auf einer Reihe von standardisierten Netzwerkprotokollen, Verfahren und Dateiformaten, die die automatische Konfiguration sowie die nahtlose Zusammenarbeit von Geräten in einem IP-basierten Netzwerk ermöglichen. 

Dazu gehören beispielsweise:

Das „universell“ in Universal Plug and Play bezieht sich nicht nur auf die internetbasierten Technologien, sondern unter anderem auch auf die Medien-, Geräte-, Plattform- und Hersteller-Unabhängigkeit der UPnP-Technologie. Schon 2003 hatten sich 250 Hersteller in der Digital Living Network Alliance (DLNA) zusammengeschlossen, um die reibungslose Zusammenarbeit von Multimediageräten in Heimnetzwerken zu gewährleisten. Dafür wurden gewisse Mindeststandards festgelegt, darunter UPnP, weswegen die Begriffe UPnP und DLNA teilweise synonym verwendet werden. Da die Vereinigung sich 2017 auflöste, werden die DLNA-Zertifikate heute vom Nachfolgeunternehmen SpireSpark vergeben. 

Wie funktioniert UPnP?  

UPnP-Geräte und -Anwendungen lassen sich grob in zwei Kategorien einteilen: die Kontrollpunkte und die Dienstleister. Während ein Dienstleister seine Dienste anbietet, greift ein Kontrollpunkt auf diese zu und gibt ihnen Anweisungen. Dabei kann ein Gerät prinzipiell sowohl als Kontrollpunkt als auch als Dienstleister fungieren. So kann beispielsweise ein Computer als Kontrollpunkt für einen Drucker agieren und diesem einen Druckauftrag erteilen und gleichzeitig als Dienstleister für einen Multimedia-Player dienen, indem er die Inhalte bereitstellt.  

Übertragen auf das traditionelle Client-Server-Modell agiert der Computer im ersten Fall als UPnP-Client, der die Dienste des Druckers nutzt. Im zweiten Fall dient er als UPnP-Server, der Medieninhalte bereitstellt, die von einem anderen UPnP-Client abgerufen und abgespielt werden können.  

Bei UPnP AV (Universal Plug and Play Audio/Video) handelt es sich um eine Erweiterung des UPnP-Protokolls, die speziell für die Vernetzung und Steuerung von Audio- und Video-Geräten entwickelt wurde. In diesem Fall werden die Kontrollpunkte „Renderer“ (Gerät mit Abspielfunktion) und die Dienstleister „Medienserver“ (Datenquelle) genannt. Der optionale Kontrollpunkt verbindet beide miteinander und dient als zentrale Steuerungsschnittstelle, wie beispielsweise eine Smartphone-App oder ein Smart Home-Assistent wie Amazon Echo.  

Der UPnP-Prozess besteht aus 6 Schritten: 

  1. Adressierung: Ein neues Gerät tritt dem Netzwerk bei und erhält eine IP-Adresse. 
  2. Erkennung/Lokalisierung Das UPnP-Gerät identifiziert sich über diese IP-Adresse und weitere grundlegende Informationen (wie Gerätenamen, Gerätetyp und Geräte-URL) gegenüber anderen Geräten im Netzwerk. Diese können das Gerät nun erkennen und lokalisieren. 
  3. Beschreibung: Die anderen Geräte rufen über spezifische URLs, die in der Beschreibungsdatei des neuen Geräts enthalten sind, weitere relevante Informationen ab, wie angebotene oder gesuchte Fähigkeiten und Dienste. Sie können nun mit ihm interagieren und auf die Funktionen und Dienste des neuen Geräts zugreifen oder Aufträge von diesem entgegennehmen. 
  4. Steuerung: Durch den Austausch von Steuerungsnachrichten können die UPnP-Geräte miteinander kommunizieren und Anweisungen zum Ausführen bestimmter Aktionen senden und erhalten. 
  5. Ereignismeldungen: Um nicht ständig die Zustände der anderen Geräte abfragen zu müssen, können die Geräte Benachrichtigungen über Ereignisse, sogenannte Event Notifications, abonnieren. Auf diese Weise werden sie automatisch darüber informiert, wenn ihre Dienste benötigt werden.  
  6. Präsentation/Darstellung: Alternativ zu den Schritten „Steuerung“ und „Ereignismeldungen“ können Geräte die benötigten Informationen über ein anderes Gerät auch über die Präsentations-URL abrufen und darüber mit diesem kommunizieren. Neben dem standardisierten Zugriff über UPnP wird also mittels Webbrowser eine alternative Benutzeroberfläche zur Verfügung gestellt. 

UPnP-fähige Geräte und Anwendungen 

Zu den netzwerkfähigen Geräten und Anwendungen, die das UPnP-Protokoll unterstützen, zählen unter anderem folgende: 

Streaming per Medien- bzw. UPnP-Server 

Um über Geräte wie Smartphones, Tablets, Spielekonsolen oder Smart-TVs auf die Streaming-Inhalte eines anderen Geräts zugreifen zu können, muss dieses als UPnP-Server fungieren. Als UPnP-Server ermöglicht das Gerät anderen Geräten im Netzwerk den Zugriff auf seine gespeicherten Medieninhalte, wie Bild-, Musik- und Videodateien. Die zugreifenden Geräte benötigen zum Abspielen der Inhalte eine entsprechende Funktion oder eine Mediaplayer-App wie beispielsweise den VLC Media Player, der auch für Smartphones und Tablets verfügbar ist. 

Windows-Computer können über die Option „Medienstreaming aktivieren“ zu einem UPnP-Server bzw. Medienserver gemacht werden. Der Windows Media Player verfügt ab Version 11 über eine integrierte UPnP-Server-Funktion, mit der Multimedia-Inhalte im Netzwerk freigegeben werden können. Der Universal Media Server hingegen ist ein plattformunabhängiger UPnP-Server und ermöglicht es, Inhalte von Mac- oder Linux-Computern auf Smart-TVs, Smartphones oder einem anderen UPnP-fähigen Gerät wiederzugeben. 

 Wie sicher ist UPnP?  

Die Vorteile von UPnP liegen auf der Hand – aber wie steht es um die Nachteile? Leider gibt es auch potenzielle Sicherheitsrisiken und die Verwendung von UPnP kann eventuell Gefahren mit sich bringen. Die größte Schwachstelle liegt in der automatischen Portfreigabe, die es Geräten ermöglicht, selbstständig Ports zu öffnen und weiterzuleiten, um mit dem Internet zu kommunizieren. Cyber-Kriminelle können diese Funktion für unbefugte Zugriffe nutzen und beispielsweise Malware wie Ransomware oder Trojaner einschleusen.  

Wenn ein Gerät mit Malware infiziert wurde, zum Beispiel durch einen Phishing-Angriff oder einen Angriff auf den Router, kann die Malware zudem per UPnP nach anderen anfälligen Geräten im Netzwerk suchen und diese ebenfalls infizieren. Dafür werden häufig Sicherheitslücken auf UPnP-fähigen Geräten oder Schwachstellen in der UPnP-Implementierung ausgenutzt. Auf diese Weise können smarte Geräte auch zu einem Botnet hinzugefügt und für DDoS-Angriffe genutzt werden.  

Sobald sich Cyber-Kriminelle Zugang zum Netzwerk verschafft haben, können sie: 

So können Sie UPnP aktivieren und deaktivieren 

Auf den meisten Routern gibt es zwei Einstellungsoptionen, die für UPnP relevant sind: die automatische Portfreigabe und die Übertragung von Statusinformationen. Die Aktivierung der automatischen Portfreigabe kann allerdings ein Sicherheitsrisiko darstellen und ist in vielen Fällen auch nicht unbedingt erforderlich.  

1. Die automatische Portfreigabe über UPnP 

Aus Sicherheitsgründen ist die automatische Portfreigabe über UPnP häufig standardmäßig deaktiviert und muss erst manuell aktiviert werden. Es wird empfohlen, sie nur dann zu aktivieren, wenn es für bestimmte Anwendungen oder Geräte benötigt wird.  

Sie können die automatische Portweiterleitung auf Routern wie der FritzBox im Bereich „Internet“ unter „Freigaben“ deaktivieren oder aktivieren, indem Sie vor „Änderungen der Sicherheitseinstellungen über UPnP gestatten“ per Klick ein Häkchen setzen bzw. es entfernen.  

Sollten Sie auf Ihrer Xbox oder einer anderen Spielekonsole die Fehlermeldung „UPnP nicht erfolgreich“ erhalten, können Sie hier auch überprüfen, ob die automatische Portweiterleitung auf Ihrem Router eventuell deaktiviert ist – und sie gegebenenfalls aktivieren.  

Wenn Sie sich aus Sicherheitsgründen dafür entscheiden, die automatische Portfreigabe über UPnP auf Ihrem Router zu deaktivieren, können Sie die erforderlichen Portfreigaben bei Bedarf auch manuell einrichten. Diese werden für Dienste benötigt, die von außerhalb des Netzwerks auf bestimmte Ports zugreifen müssen, wie z.B. Anwendungen für Online-Games oder Überwachungskameras. 

Die sogenannten statischen Portfreigaben für einzelne Dienste und Geräte können Sie auf der FritzBox ebenfalls im Bereich „Freigaben“ vornehmen. Wählen Sie dort das Gerät aus, für das die Portfreigabe gelten soll, und geben Sie die entsprechenden Informationen (wie Portnummer und IP-Protokoll) ein. 

Möchten Sie nur bestimmte Geräte für die automatische Portfreigabe autorisieren, können Sie dies im Bereich „Netzwerkverbindungen“ tun, der sich auf der FritzBox im Menüpunkt „Heimnetz“ unter „Netzwerk“ befindet. Wählen Sie dort das gewünschte Gerät aus und aktivieren Sie die Option „Selbstständige Portfreigaben für dieses Gerät erlauben“. 

Je nach Router-Modell können die Bezeichnungen im Menü der Benutzeroberfläche variieren. Manche Router, wie einige Vodafone Router, bieten die automatische Portweiterleitung über UPnP gar nicht oder nur limitiert an.  

2. Die Übertragung von Statusinformationen über UPnP  

Der Austausch der für die Kommunikation und Interaktion erforderlichen Statusinformationen per UPnP kann in der Regel ebenfalls deaktiviert oder aktiviert werden. Die Option „Statusinformationen über UPnP übertragen“ befindet sich auf der FritzBox in den Netzwerkeinstellungen im Bereich „Heimnetz“ unter „Netzwerk“.  

So können Sie sich vor Angriffen über UPnP schützen 

Ebenso wie Computer verfügen auch Router über eine Firewall, die den ein- und ausgehenden Netzwerkverkehr überwacht und potenziell schädliche Aktivitäten blockiert. Sorgen Sie dafür, dass die Firewall bzw. Firmware Ihres Routers regelmäßig aktualisiert wird, um Sicherheitslücken zu schließen. Deaktivieren Sie zudem die automatische Portfreigabe über UPnP und sorgen Sie generell für mehr Router-Sicherheit, indem Sie die WPA2-Verschlüsslung wählen und das Standard-Passwort Ihres Routers ändern. 

Zudem empfiehlt es sich, auch alle anderen Geräte in Ihrem Heimnetzwerk auf dem neuesten Stand zu halten und vor Malware und anderen Online-Bedrohungen zu schützen – unabhängig davon, ob Sie UPnP aktivieren oder deaktivieren. Für Computer eignen sich zu diesem Zweck mehrschichtige Cyber-Schutzlösungen wie Avira Free Security, die neben einem Virenschutz auch einen Software-Updater sowie viele weitere Funktionen enthalten. Mobilgeräte können mit Avira Antivirus Security für Android und Avira Mobile Security für iOS besser abgesichert werden. 

Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch

Die mobile Version verlassen