[Wirtschaft] Höchststrafe für Asus: Kein Router-Verkauf mehr ohne externes Audit

Prince · 25.02.16, 10:36

Zitat:

Verschiedene Sicherheitslücken in der Firmware von Asus-Routern haben für das Unternehmen jetzt ein deftiges Nachspiel. Der Hersteller darf in den nächsten 20 Jahren keine entsprechenden Systeme mehr in den Verkauf bringen, bei denen die Software nicht vorher externen Prüfern vorgelegt wurde.

Das gilt zumindest für den US-Markt. Die dortige Handelsbehörde FTC kam zu der Einschätzung, dass die Sicherheitsmängel so gravierend waren, dass den Verbrauchern nicht mehr zuzumuten ist, ungeprüfte Asus-Router einzusetzen. Die Verpflichtung zu unabhängigen Code-Audits ist ein wesentlicher Bestandteil einer Einigung, mit der der Hersteller aus einem Verfahren herauskommt.

Die Home-Router von Asus landeten in den letzten Jahren immer wieder mit Sicherheitsmängeln in den Schlagzeilen. Das geht zwar durchaus auch verschiedenen anderen Herstellern so, doch waren gerade hier ziemlich gravierende Probleme aufgefallen. Diese umfassten bei weitem nicht nur "normale" Sicherheitslücken, die immer mal wieder aus Programmierfehlern entstehen. So konnte teils auch die Administrations-Oberfläche direkt aus dem Internet angesprochen werden und laut Werkseinstellungen wurde der Zugang freigegeben, wenn man sowohl als Nutzernahmen als auch als Passwort schlicht "admin" eingab.

Hinzu kamen verschiedene weitere Schwachstellen, die beispielsweise eine private Cloud des Nutzers recht leicht für Angreifer zugänglich machte und somit die persönlichen Datenbestände problemlos preisgab. Der Tiefpunkt wurde im Grunde erreicht, als einige Probleme zwar mit Firmware-Updates behoben werden sollten, die Router aber schlicht dabei versagten, diese zu finden und herunterzuladen.

Daher wird Asus zukünftig auch mit weiteren Auflagen leben müssen. So ist das Unternehmen nicht nur zur unabhängigen Firmware-Prüfung verpflichtet, sondern muss auch die Nutzer vorsorglich darüber informieren, wenn es Updates gibt - falls die Router diese erneut nicht automatisch finden. Weiterhin besteht eine grundlegende Informationspflicht gegenüber den Kunden, wie diese sich selbst vor Angriffen schützen können. Für jeden Verstoß gegen die Auflagen steht ein Bußgeld in Höhe von 16.000 Dollar im Raum.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]