Asus stellt sich bei Router-Firmware 20 Jahre unter externe Aufsicht

Verschiedene Sicherheitslücken in der Firmware von Asus-Routern haben für das Unternehmen jetzt ein deftiges Nachspiel. Der Hersteller wird in den nächsten 20 Jahren keine entsprechenden Systeme mehr in den Verkauf bringen, bei denen die Software nicht vorher externen Prüfern vorgelegt wurde.
Asus RT-AC87U
Das gilt zumindest für den US-Markt. Die dortige Handelsbehörde FTC kam zu der Einschätzung, dass die Sicherheitsmängel so gravierend waren, dass den Verbrauchern nicht mehr zuzumuten ist, ungeprüfte Asus-Router einzusetzen. Die Verpflichtung zu unabhängigen Code-Audits ist nun ein wesentlicher Bestandteil einer Einigung, mit der der Hersteller aus einem weitergehenden Verfahren herauskommt.

Die Home-Router von Asus landeten in den letzten Jahren immer wieder mit Sicherheitsmängeln in den Schlagzeilen. Das geht zwar durchaus auch verschiedenen anderen Herstellern so, doch waren gerade hier ziemlich gravierende Probleme aufgefallen. Diese umfassten bei weitem nicht nur "normale" Sicherheitslücken, die immer mal wieder aus Programmierfehlern entstehen. So konnte teils auch die Administrations-Oberfläche direkt aus dem Internet angesprochen werden und laut Werkseinstellungen wurde der Zugang freigegeben, wenn man sowohl als Nutzernahmen als auch als Passwort schlicht "admin" eingab.

Hinzu kamen verschiedene weitere Schwachstellen, die beispielsweise eine private Cloud des Nutzers recht leicht für Angreifer zugänglich machte und somit die persönlichen Datenbestände problemlos preisgab. Der Tiefpunkt wurde im Grunde erreicht, als einige Probleme zwar mit Firmware-Updates behoben werden sollten, die Router aber schlicht dabei versagten, diese zu finden und herunterzuladen.

Daher wird Asus zukünftig auch mit weiteren Auflagen leben müssen. So ist das Unternehmen nicht nur zur unabhängigen Firmware-Prüfung verpflichtet, sondern muss auch die Nutzer vorsorglich darüber informieren, wenn es Updates gibt - falls die Router diese erneut nicht automatisch finden. Weiterhin besteht eine grundlegende Informationspflicht gegenüber den Kunden, wie diese sich selbst vor Angriffen schützen können. Für jeden Verstoß gegen die Auflagen steht ein Bußgeld in Höhe von 16.000 Dollar im Raum.

Update: In einer Stellungnahme sicherte Asus zu, die Sicherheit seiner Router weiter zu verbessern. So komme beispielsweise das mit Partnern aus der Branche entwickelte AiProtection zum Einsatz. Die bemängelten Sicherheitslücken seien in Routern, die man aktuell kaufen kann, behoben. Für bereits verkaufte Modelle stünden Sicherheits-Updates auf der Hersteller-Webseite zur Verfügung. Asus, Router, RT-AC87U, Asus RT-AC87U Asus