Analyse des geplanten Verkaufsverbots der US-Regierung für TP-Link

 (krebsonsecurity.com)
2 Punkte von GN⁺ 2025-11-11 | 1 Kommentare | Auf WhatsApp teilen
  • Die US-Regierung prüft ein Verbot des Verkaufs von WLAN-Routern und Netzwerkgeräten von TP-Link Systems; als Hauptgrund werden Bedenken wegen Verbindungen zu China genannt
  • Das Handelsministerium geht davon aus, dass TP-Link-Produkte in den USA sensible Daten verarbeiten und möglicherweise unter dem Einfluss der chinesischen Regierung stehen
  • TP-Link weist ein Sicherheitsrisiko unter Verweis auf die vollständige Trennung von der chinesischen Gesellschaft, die Fertigung in Vietnam und den Hauptsitz in Kalifornien zurück und erklärt zudem, der Marktanteil werde übertrieben dargestellt
  • Check Point Research und Microsoft berichteten von Fällen, in denen TP-Link-Router von chinesischen Hackergruppen missbraucht wurden; erwähnt werden unter anderem staatlich unterstützte Akteure wie Camaro Dragon
  • Aus Sicht der Verbraucher könnte unabhängig von den Sicherheitsbedenken der Zugang zu preisgünstigen und leistungsfähigen Produkten eingeschränkt werden, sodass das Gleichgewicht zwischen Sicherheit und technischem Zugang zum zentralen Streitpunkt wird

Geplantes Verkaufsverbot der USA für TP-Link

  • Die US-Regierung bereitet ein Verbot des Verkaufs von Routern und Netzwerkgeräten von TP-Link Systems vor; Berichten zufolge richtet sich die Maßnahme gegen ein Unternehmen mit rund 50 % Marktanteil im Privatkunden- und KMU-Segment

    • Experten bewerten den Schritt als eher auf Bedenken wegen Verbindungen zu China als auf eine konkrete technische Bedrohung gestützt
    • Da die gesamte Branche Komponenten aus China verwendet, sind Sicherheitslücken nicht auf TP-Link beschränkt

  • Die Washington Post berichtete, dass mehr als sechs Bundesbehörden den Verbotsvorschlag unterstützen und das Handelsministerium zu dem Schluss gekommen sei, TP-Link-Produkte stünden unter dem Einfluss der chinesischen Regierung

Erwiderung von TP-Link und Unternehmensstruktur

  • TP-Link erklärt, es gebe eine vollständige Trennung von TP-Link Technologies in China, und das Unternehmen betreibe einen US-Hauptsitz in Kalifornien, eine Niederlassung in Singapur sowie Fertigungsstätten in Vietnam
    • Mit Ausnahme der Chipsätze würden die meisten Bereiche Forschung, Entwicklung und Fertigung intern durchgeführt
    • Einige Engineering-Ressourcen in China würden unabhängig betrieben und unterlägen nicht der Aufsicht der chinesischen Regierung
  • Sprecherin Ricca Silverio erklärte: „TP-Link ist als US-Unternehmen der Bereitstellung hochwertiger und sicherer Produkte verpflichtet.“

Sicherheitsbedenken und Hacking-Fälle

  • Der Sonderausschuss des Repräsentantenhauses zum strategischen Wettbewerb zwischen den USA und China forderte im August 2024 eine Untersuchung mit dem Hinweis, dass TP-Link-Geräte auf US-Militärstützpunkten und in PX-Läden verkauft würden
    • In dem Schreiben wurden Schwachstellen bei TP-Link und die Pflicht zur Einhaltung chinesischer Gesetze als Risiken genannt; zudem wurde gewarnt, die chinesische Regierung habe Cyberangriffe über SOHO-Router durchgeführt
  • Check Point Research (2023) berichtete, dass die chinesische Hackergruppe Camaro Dragon bösartige Firmware für TP-Link-Router nutzte, um europäische diplomatische Einrichtungen anzugreifen
    • Die Schadsoftware wurde nur auf TP-Link-Geräten gefunden, zugleich wurde jedoch darauf hingewiesen, dass auch Geräte anderer Hersteller gefährdet sein können
  • Microsoft (2024) erklärte, dass chinesische Hackergruppen seit 2021 TP-Link-SOHO-Router missbrauchen, um Password-Spraying-Angriffe durchzuführen

Die Sicherheitsrealität bei Consumer-Routern

  • Bei den meisten Consumer-Routern sind die Werkseinstellungen ab Werk unsicher; wenn Standardkonto und Standardpasswort nicht geändert werden, können sie innerhalb weniger Minuten zum Ziel von IoT-Botnet-Angriffen werden
    • Selbst bei neuen Produkten ist die Firmware zum Verkaufsstart oft veraltet
  • In den vergangenen Jahren sind große Hersteller dazu übergegangen, grundlegende Sicherheitsverfahren wie Passwortwechsel und Firmware-Updates verbindlich zu machen
    • Eero, Orbi, ZenWifi und andere Mesh-Router unterstützen automatische Updates über die Online-Registrierung
    • Belkin, Linksys und andere setzen zwar auf appbasierte Einrichtung, doch in vielen Fällen müssen Nutzer Updates weiterhin manuell einspielen

Open-Source-Firmware und Alternativen

  • OpenWrt und DD-WRT als Open-Source-Firmware lassen sich auf vielen Routern einsetzen und bieten mehr Funktionsumfang und eine längere Lebensdauer
    • Auch zahlreiche TP-Link-Router sind mit OpenWrt kompatibel
    • Hardwarebedingte Mängel lassen sich damit nicht beheben, aber herstellerspezifische Sicherheitsprobleme wie hartkodierte Konten oder Authentifizierungs-Bypass-Schwachstellen können gemildert werden
  • Wenn ein Router älter als 4 bis 5 Jahre ist, wird aus Leistungs- und Sicherheitsgründen ein Austausch empfohlen

Hinweise zu von ISPs verwalteten Geräten

  • Viele Router von TP-Link und konkurrierenden Herstellern werden über ISPs vermietet und verwaltet und enthalten Remote-Updates sowie Authentifizierungsprofile
    • In diesem Fall sollten Nutzer die Firmware nicht eigenmächtig austauschen oder verändern, sondern sich vorab mit dem ISP abstimmen

Lesermeinungen und Debatte

  • Einige Leser kritisieren eine überzogene Angstmache gegenüber Produkten aus China und verweisen darauf, dass andere Hersteller dieselben Schwachstellen hätten
  • Andere betonen hingegen das Sicherheitsrisiko von TP-Link-Produkten wegen einer möglichen Verbindung zur chinesischen Regierung
  • In mehreren Kommentaren wurden die Unbequemlichkeit appbasierter Einrichtung, Bedenken hinsichtlich des Datenschutzes und das Fehlen von Alternativprodukten in den USA diskutiert
  • Einige Nutzer erkennen zwar die Vorteile von TP-Link bei Preis und Leistung an, berichten aber, dass sie wegen langfristiger Sicherheitsrisiken bereits einen Austausch vornehmen

Einordnender Kontext

  • Das geplante Verbot von TP-Link zeigt den Konflikt zwischen nationaler Sicherheit und technischem Zugang
  • Gefordert werden klare Informationen über Art und Umfang der Sicherheitsbedrohung; zudem dürfte die Verteilung der Verantwortung zwischen Verbrauchern, ISPs und Regierung im Zentrum der weiteren Debatte stehen

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-11-11
Hacker-News-Kommentare

  • Ich verstehe nicht, warum Leute sagen, TP-Link bekomme keine Firmware-Updates.
    Ich nutze insgesamt vier verschiedene TP-Link-Router bei mir zu Hause, bei meinen Eltern und bei den Eltern meiner Freundin, und sie erhalten auch Jahre nach der Veröffentlichung weiterhin regelmäßig Updates. Einige Modelle wurden sogar noch letzten Monat aktualisiert.
    Das Preis-Leistungs-Verhältnis ist gut, und es gibt auch grundlegende Sicherheitsfunktionen, daher halte ich sie für den Heimgebrauch für völlig ausreichend.
    Perfekt sind sie nicht, aber was will man in dieser Preisklasse mehr?

    • Stimme zu. TP-Link ist zwar kein Symbol für hochmoderne Sicherheit oder zukunftsweisende Funktionen, erfüllt aber die Grundfunktionen zuverlässig.
      Heutzutage ist selbst teure Hardware schwer zu vertrauen, und TP-Link ist für den Preis eine hervorragende Wahl.
      Ein großer Vorteil ist auch, dass man Support und Updates deutlich länger bekommt als bei der Konkurrenz.
    • Mein m4R-Router ist über 15 Jahre alt und hat letzten Monat trotzdem noch ein Firmware-Update bekommen.
    • Ich betreibe ebenfalls mehrere TP-Link-Geräte in drei Haushalten, und alle erhalten regelmäßig Updates.
    • Ich wusste gar nicht, dass es so viel „Hass“ auf TP-Link gibt. Unter Consumer-Netzwerkgeräten halte ich die Marke für ziemlich vertrauenswürdig.
      Früher hatte sie das Image einer „billigen chinesischen Marke“, aber inzwischen fühlt sie sich eher wie eine solide etablierte Mittelklassemarke an, ähnlich wie Anker.
      Für mich wirkt es ein wenig so, als hätten sie den Platz von D-Link eingenommen.
    • Dieser „Hass“ kommt aus ähnlichen Verdächtigungen über Backdoors der chinesischen Regierung wie damals bei Huawei.
      Bisher wurden dafür aber keine tatsächlichen Beweise gefunden. Sicherheitsforscher und Hacker in vielen Ländern dürften die Geräte längst vollständig analysiert haben; wenn es etwas gäbe, wäre es wohl schon bekannt geworden.
      Ich glaube, dass eine Backdoor am Ende auffliegen würde.

  • Ich halte es für Doppelmoral, dass die US-Regierung direkt Anteile an Intel kaufen darf, aber schon ein geringer Einfluss der Kommunistischen Partei Chinas auf Unternehmen als unzulässig gilt.
    Wenn Sicherheit wirklich das Problem wäre, gäbe es praktische Lösungen, etwa dass Provider die Kosten für fortlaufenden Firmware-Support tragen müssten.
    Solche politischen Reaktionen werden am Ende in 15 Jahren auf die USA selbst zurückfallen.

    • Das ist die Haltung „Für die USA okay, für China nicht“. Am Ende ist es einfach nur ein heuchlerisches Spiel.
    • Einfach Aktien zu kaufen ist etwas anderes, als eine beherrschende Beteiligung zu halten.
      Die Art, wie China Unternehmen kontrolliert, unterscheidet sich völlig vom Westen, daher ist dieser Vergleich eine falsche Gleichsetzung.
    • Auf die Aussage „Für die USA okay, für China nicht“ würde ich am liebsten einfach nur mit „Stimmt“ antworten.
    • China beschränkt US-Produkte ebenfalls schon seit Langem. Beide Seiten führen einen kindischen Streit.
    • Zu glauben, konkurrierende Staaten würden fair handeln, ist naiv. Am Ende machen beide Seiten nur Propaganda.

  • Die eigentliche Lehre aus diesem Vorfall ist, dass man nach dem Erfolg nicht bei der Sicherheit sparen sollte.
    TP-Link hätte wütend sein müssen, als bekannt wurde, dass Zehntausende eigene Router kompromittiert wurden.
    Man hätte sofort die Softwarequalität verbessern und die Prüfung auf Schwachstellen verstärken müssen.
    Stattdessen scheint man sich nur um die Gewinnmarge zu kümmern.

    • Die eigentliche Lehre scheint eher zu sein: „Vergiss nicht, den US-Präsidenten zu bestechen.“
    • Ich vermisse AirPort. Die Software war perfekt und simpel, und Mesh-Funktionen gab es dort schon früh.
      Heutige Produkte nerven immer noch mit Dingen wie Online-Registrierung.
    • Wenn ich sehe, dass der Verkehr jeden Tag zur gleichen Zeit kollabiert, denke ich oft, dass so etwas bei Software ein peinlicher Bug wäre.
      Aber in der realen Welt scheint die menschliche Psyche solche Probleme in vielen Branchen einfach als „normal“ zu akzeptieren.
    • Wenn Sicherheit wirklich das Thema wäre, hätte man auch Fortinet verbieten müssen. Offenbar ist man gegenüber US-Unternehmen nachsichtiger.
    • Microsoft oder Cisco gehen mit Sicherheit ebenfalls schlampig um, daher verstehe ich nicht, warum nur TP-Link herausgegriffen wird.

  • TP-Link-Produkte sind robust, und wenn man will, kann man bei den meisten auch die Firmware durch OpenWRT ersetzen.
    Ich habe bei meinen Eltern Mesh-WLAN installiert, und das lief sehr reibungslos.
    Schade ist nur, dass dafür eine Cloud-Konto-Registrierung nötig war.

    • Aber OpenWRT allein reicht nicht aus.
      Die meisten WLAN-Chipsätze verwenden proprietäre Firmware-Blobs und lassen auf einer eigenen CPU ein separates OS laufen.
      Das heißt, OpenWRT weiß nicht, was darunter passiert. Es ist also keine vollständige Lösung.
    • Ich betreibe ein Café und nutze das Omada-System.
      Es bietet viele Funktionen, etwa die Trennung mehrerer Netzwerke, das automatische Abschalten des Gäste-WLANs und Bandbreiten-Priorisierung.
      Es ist viel günstiger als Meraki, und mit der Leistung bin ich zufrieden.
      In meiner Umgebung ist das Sicherheitsrisiko gering, daher war das eine völlig vernünftige Wahl.
    • Selbst mit OpenWRT bleibt am Ende die Kontrolle auf Hardware-Ebene bestehen.
      So wie bei Linux trotz allem noch Firmware-Schichten wie Intel ME oder SGX existieren.
    • Ich habe früher einmal ein TP-Link-Smartphone gekauft und war enttäuscht, weil der Support eingestellt wurde.
      Kürzlich habe ich einen Router für OpenWRT gekauft, aber wegen einer geänderten Revision mit schwächerer Ausstattung ließ sich OpenWRT nicht installieren.
      Trotzdem ist die Qualität fürs Geld in Ordnung.
    • Ich möchte bei meinen Eltern ebenfalls ein Mesh-Netzwerk installieren.
      Ich hätte gern eine Empfehlung für stabile Hardware, die sich leicht remote verwalten lässt.

  • Die eigentliche Bedrohung für Consumer-Router ist nicht China, sondern schlampige Firmware.
    Unzählige Netzwerke werden nicht von Staaten, sondern von Kriminellen kompromittiert.
    Wenn man echte Sicherheit will, braucht man Standards für sichere Softwarearchitektur.
    In der Realität geht es aber nur um politischen Druck und Verhandlungsmasse im Handel.

    • Selbst bei Cisco tauchen jedes Jahr wieder Schwachstellen mit hartkodierten Passwörtern auf.
      Schon wenn man sich nur die jüngste Sicherheitsmeldung ansieht, merkt man, dass die ganze Branche nach dem YOLO-Prinzip entwickelt.
    • Hoffentlich nutzt man diese Gelegenheit, um mit Gesetzen wie dem Cyber Resilience Act (CRA) die Sicherheitsverantwortung von Unternehmen verbindlich zu machen.

  • TP-Link liefert für Produkte, die noch nicht EOL sind, fortlaufend Updates.
    Auch US-Produkte werden nach dem Produktende genauso verwundbar.
    Diese Kontroverse wirkt eher wie eine Lobbykampagne zur Verdrängung von Marktanteilen in den USA als wie ein Sicherheitsthema.
    Außerdem ist die von Check Point erwähnte Malware nicht firmwareabhängig und kann auch auf anderer Hardware eingesetzt werden.

  • Wenn nach DJI nun auch TP-Link verboten wird, frage ich mich, wie ein US-Markt ohne preiswerte chinesische Produkte mit gutem Preis-Leistungs-Verhältnis am Ende aussehen wird.
    Die nächste Generation von Ingenieuren in den USA wird in so einem Umfeld wohl unter mangelndem Zugang zu Technik leiden.

    • In den USA sind weiterhin viele chinesische Produkte erlaubt.
      Der Grund für ein Verbot ist nicht die Nationalität, sondern ein tatsächliches Sicherheitsrisiko.
      TP-Link hat durch den Einbau von Backdoors und die Ankündigung, Sicherheits-Patches aufzugeben, Vertrauen verspielt.
      Schon seit einem Jahr weisen verschiedene Tech-Communities auf diese Probleme hin.
    • Man sollte auch Huawei nicht vergessen.
    • Wahrscheinlich wird es wie bei der US-EV-Industrie enden:
      technisch okay, aber teurer und mit weniger Innovation.

  • Ich nutze TP-Link Deco hinter einer Firewalla Gold.
    Es war bisher das einfachste und stabilste Heimnetzwerk, das ich je hatte.
    Ich mag TP-Link nicht besonders, aber für den Zweck und den Preis war es die beste Wahl.
    Falls es verboten wird, mache ich mir Sorgen um Service, Updates und Marktchaos in den USA.

    • Wahrscheinlich wird die Regierung das so lösen, dass das US-Geschäft zwangsweise verkauft werden muss.
      So ähnlich wie im Fall TikTok–Oracle.

  • Ich halte die USA selbst für die größere Bedrohung.
    Die USA wirken inzwischen wie ein mafiös geführter Staat: Wenn sie ihre eigenen Backdoors nicht unterbringen können, zerstören sie Unternehmen.

    • Eigentlich sind die meisten Länder ähnlich. Die USA haben nur mehr politischen Einfluss.
      Das zeigen etwa der britische Online Safety Act oder Australiens Gesetzentwürfe gegen Verschlüsselung.
    • Am Ende ist es, nur unter anderem Namen, einfach das Verhalten eines Imperiums.