Der taiwanische Routerhersteller Asus hat sich in einem Verfahren um tausende verwundbare Router mit der für Verbraucherschutz zuständigen US-Behörde Federal Trade Commission (FTC) geeinigt. Laut einer FTC-Mitteilung müssen die Taiwaner unter anderem ein umfassendes Sicherheitsprogramm auflegen und dies von unabhängigen Stellen 20 Jahre lang beaufsichtigen lassen.

Tausende gefährdete Verbraucher

Obwohl Asus' Eigenwerbung einen gegenteiligen Eindruck gemacht habe, sei das Unternehmen durch kritische Sicherheitslücken in seinen Routern dafür verantwortlich, dass die Heimnetzwerke von tausenden Verbrauchern gefährdet gewesen seien, heißt es weiter in der Mitteilung. Die FTC hob dabei in ihrer offiziellen Beanstandung unter anderem auf kritische Schwachstellen in Routern ab, auf denen der Medienserver AiCloud installiert war. War dieser aktiv, machte er Unbefugten kritische Systemdateien über das Internet zugänglich – darunter auch solche, die Zugangsdaten im Klartext enthalten.

Ebenfalls anfällig sei der Cloud-Dienst AiDisk gewesen. Ähnlich wie AiCloud ermöglichte es dieser Dienst den Nutzern, von Ferne auf Speichergeräte zuzugreifen, die an Asus-Routern angeschlossen waren. Diese seien aber von Asus nicht ausreichend darüber aufgeklärt worden, welche Einstellungen sie dafür vornehmen müssen, damit der Datentransfer sicher vor sich geht. Davon seien 25.000 Router betroffen gewesen. Ein Firmware-Update im Januar 2014 habe nicht dafür gesorgt, dass die Standardeinstellungen sicherer würden.

Asus habe auch monatelang nicht auf Warnungen reagiert, dass seine Router für Cross-Site-Request-Forgery (CSRF) anfällig sein könnten, lautet ein weiterer Punkt der Beanstandung. Im Juni 2015 sicherte Asus endlich die Firmware zahlreicher Router-Modelle ab, zuvor waren bereits Exploits im Umlauf, durch die die betroffenen Router umkonfiguriert werden konnten. Zudem wiesen viele Asus-Router in der Voreinstellung die gleichen, einfachen Zugangsdaten auf – die der Nutzer auch nicht ändern musste.

Grundsätzliche Bedeutung

Jessica Rich, in der FTC für den Verbraucherschutz zuständig, sieht in dem Fall eine grundsätzliche Bedeutung. Schließlich verbreite sich das Internet der Dinge immer mehr, Millionen Verbraucher vernetzten ihre Geräte mit dem Heimnetzwerk. Router seien dabei eine wichtige Schlüsselkomponente.

Asus musste nicht nur in jahrelange Aufsicht einwilligen, sondern sich auch verpflichten, die Nutzer zuverlässig und schnell über Software-Updates zu informieren – was das Unternehmen auch unterlassen haben soll – sowie über andere Schritte, die sie zu ihrem Schutz unternehmen können. Falls Asus den Auflagen nicht zugestimmt hätte, wäre es zu einer offiziellen Anklage gekommen. Zunächst soll die Einigung zwischen der FTC und Asus aber im Gesetzblatt veröffentlicht werden und 30 Tage lang öffentlich kommentiert werden können. Danach entscheidet die FTC, ob es endgültig bei dieser Einigung bleiben soll. (anw)