Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & StackSecurityWirtschaftEnergie & KlimaHardware

Streit um Routersicherheit: Asus muss sich zu 20 Jahren Code-Audits verpflichten

Der Hardwarehersteller Asus muss jetzt 20 Jahre lang unabhängige Code-Audits seiner Firmware über sich ergehen lassen, weil er in den Jahren 2013 und 2014 bei der Sicherheit geschlampt hat. Außerdem darf das Unternehmen keine falschen Angaben zur Sicherheit mehr machen.
Aktualisiert am , veröffentlicht am / Hauke Gierow
41 Kommentare News folgen (öffnet im neuen Fenster)
Ein Asus-Router mit vielen Antennen. Doch wie sieht es mit der Sicherheit aus? (Bild: Screenshot Golem.de)
Ein Asus-Router mit vielen Antennen. Doch wie sieht es mit der Sicherheit aus? Bild: Screenshot Golem.de

Der Status der Routersicherheit ist insgesamt beschämend: fehlende Firmware-Updates, unsichere Standardkonfigurationen und schlechte Standardpasswörter. Wegen massiver Sicherheitslücken in der Firmware musste sich Asus seit 2014 mit einem Verfahren [PDF](öffnet im neuen Fenster) bei der US Federal Trade Commission auseinandersetzen. Jetzt musste sich das Unternehmen in einem Vergleich zu mehr Sicherheit verpflichten [Der Vergleich im PDF](öffnet im neuen Fenster) .

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Softwareentwickler SAP (m/w/d) naturenergie hochrhein AG, Rheinfelden (Baden) (öffnet im neuen Fenster)
IT-Architekt/in (w/m/d) mit Schwerpunkt Data Engineering IT-Dienstleistungszentrum (ITDZ Berlin), Berlin (öffnet im neuen Fenster)
Systemadministrator für Software im Business Intelligence Umfeld (w/m/d) HUK-COBURG, Coburg (öffnet im neuen Fenster)
Abteilungsleiter Systeme Betrieb (m/w/d) Leipziger Verkehrsbetriebe GmbH, Leipzig (öffnet im neuen Fenster)
Sachbearbeiter/-in (m/w/d) Digitalisierung und Verwaltungsmodernisierung Landratsamt Fürstenfeldbruck, Fürstenfeldbruck (öffnet im neuen Fenster)
SAS-Anwendungsentwickler (m/w/d) Techniker Krankenkasse, Hamburg (öffnet im neuen Fenster)
Werkstudent:in (w/m/d) im Bereich KI, Grafik & Social Media DS MEDIA TEAM GmbH, Norderstedt (öffnet im neuen Fenster)
Senior Financial Reporting Specialist (m/w/d) PHOENIX Pharmahandel GmbH & Co KG, Mannheim (öffnet im neuen Fenster)

Die Sicherheitslücken traten seit dem Jahr 2013 in verschiedenen Komponenten der Router auf : in der webbasierten Verwaltungsoberfläche, außerdem bei den Diensten Aicloud und Aidisk. Diese sendeten persönliche Daten und Anmeldedaten von angeschlossenen USB-Sticks in der Standardeinstellung über unverschlüsselte FTP-Verbindungen quer durch das Internet. In der Folge übernahmen Hacker mindestens 12.900 Geräte. Als Asus im Juni 2014 von den Problemen erfuhr, stellte das Unternehmen zwar einen Monat später einen Patch bereit - teilte den Kunden aber für mehr als acht Monate nicht mit, dass sie ihre Geräte patchen sollten.

Update-Funktion der Geräte war kaputt

Die Firmware der betroffenen Router hatte zwar ein Interface, um nach Updates zu suchen. Doch weil Asus den Update-Server falsch konfiguriert hatte, führte die Suche meist ins Leere - Nutzer wähnten sich also in Sicherheit, auch wenn sie monatealte Firmware mit Sicherheitslücken benutzten. Die Richterin monierte in dem Verfahren auch, dass Asus die Router als "sicher" beworben, aber viele grundlegende Sicherheitsstandards in der Produktion nicht beachtet habe.

Um eine größere Strafe abzuwenden, hat Asus einem Vergleich zugestimmt. Alle zwei Jahre in den kommenden 20 Jahren soll die Firmware der Router einem unabhängigen Code-Audit unterzogen werden, um mögliche Sicherheitslücken aufzudecken. Das Unternehmen musste außerdem versprechen, Nutzer stets über die aktuellen Sicherheitsupdates zu informieren und ihnen auch eine verständliche Anleitung mitzuliefern, wie diese Updates zu installieren sind. Wenn das Unternehmen dabei ertappt würde, irreführende Angaben über die Sicherheit der eigenen Geräte zu machen, müsste für jeden einzelnen Verstoß eine Strafe von 16.000 US-Dollar gezahlt werden.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Nachtrag vom 25. Februar 2016, 16:15 Uhr

Ein Sprecher von Asus in Deutschland hat sich bei uns gemeldet und darauf hingewiesen, dass deutsche Nutzer vor zwei Jahren mit einer entsprechenden Landing-Page(öffnet im neuen Fenster) auf die Updates hingewiesen worden seien.

Zur Startseite 41 Kommentare

Relevante Themen

SoftwarePolitikSecurityUpdates & PatchesTelekommunikationInfrastrukturDatensicherheitRouter