Router-Sicherheit - Asus nach Sicherheitsproblemen unter Beobachtung

Asus muss sich nach Sicherheitsproblemen in der Router-Software einigen Auflagen der FTC fügen.

Die Jahre 2013 und 2014 waren nicht einfach für die Netzwerkabteilung bei Asus. Zahlreiche Sicherheitslücken in den hauseigenen Routern sorgten für Aufsehen und etablierten das Twitter-Schlagwort #asusgate. Nun zieht die Federal Trade Commission (FTC) in den USA Konsequenzen aus dem Sicherheitsdebakel und setzt Asus unter strenge Beobachtung. Nachzulesen ist der Vorfall in diesem PDF der FTC.

So muss Asus nicht nur innerhalb von 180 Tagen ein umfassendes Sicherheitskonzept einführen. Dieses wird auch in den kommenden 20 Jahren extern geprüft.

Die US-Verbraucherschutzbehörde statuiert damit ein Exempel an Asus, das wohl auf die restlichen Hersteller abschreckend wirken soll. Gerechtfertigt wird die strenge Maßregelung aber laut FTC durch die umfassenden Sicherheitsversäumnisse von Asus und eine intransparente Informationspolitik. So informierte der Hersteller nach Bekanntwerden von Schwachstellen in den Diensten AiCloud und AiData die Nutzer nicht sofort. Erst nach acht Monaten verschickte Asus Mails an registrierte Kunden, in denen sie zu einem Firmwareupdate aufgefordert wurden.

Ebenfalls bemängelt wurde die Anfälligkeit vieler Router für Cross-Site-Request-Forgery (CSRF) und identische Login-Daten, die vom Nutzer zudem nicht verändert werden mussten. Zahlreiche Asus-Router waren daher mit der Standard-Kombination mit dem Benutzernamen »admin« und dem Passwort »admin« leicht angreifbar.

Die FTC prüft nun nicht nur die Sicherheitsversprechen von Asus sondern verpflichtet den Hersteller auch zu einer besseren Informationspolitik und regelmäßige Hinweise auf Updates. Asus hat diesen Auflagen bereits zugestimmt.