Die Generalstaatsanwaltschaft des US-Bundesstaats Texas hat eine Klage gegen den Netzwerkhersteller TP-Link eingereicht. Dem Unternehmen wird vorgeworfen, Verbraucher in die Irre zu fuehren, Router unsicher zu betreiben und damit sowohl den Datenschutz als auch die nationale Sicherheit der USA zu gefaehrden.
Klage in Texas: Vorwurf irrefuehrender Kennzeichnung und Sicherheitsrisiken
Ausgangspunkt der Klage ist ein Ermittlungsverfahren, das Texas im Herbst 2024 gestartet hat. Laut Generalstaatsanwalt Ken Paxton soll TP-Link Router als „Made in Vietnam“ gekennzeichnet haben, obwohl wesentliche Komponenten und Lieferketten eng mit China verknuepft seien.
Die texanischen Behoerden verweisen dabei auf das chinesische Sicherheits- und Geheimdienstrecht, das Unternehmen verpflichtet, Geheimdiensten bei der Datenbeschaffung zu unterstuetzen. In dieser Perspektive wird die Herkunft von Hard- und Firmware nicht nur als Kennzeichnungsfrage, sondern als potenzieller Risikofaktor fuer staatliche IT-Infrastrukturen bewertet.
Dieser Aspekt spiegelt eine breitere sicherheitspolitische Debatte wider: In vielen Laendern werden Lieferketten von Netzwerkausrüstung zunehmend als Teil der kritischen Infrastruktur betrachtet. Herstellungsland, Eigentumsverhaeltnisse und Entwicklungsstandorte der Firmware spielen dabei eine zentrale Rolle.
Schwachstellen in TP-Link-Firmware und das Botnetz Quad7
Ein wesentlicher Teil der Klage betrifft die Cybersicherheit der Router-Firmware. Texas wirft TP-Link vor, die Geraete als besonders sicher zu vermarkten, obwohl bekannte Schwachstellen nicht zeitnah behoben worden seien. Diese Luecken seien aktiv von Angreifern ausgenutzt worden, darunter auch von Gruppen mit Bezug zu China.
Im Mittelpunkt steht das Botnetz Quad7 (auch CovertNetwork-1658 bzw. xlogin), das von Microsoft im Oktober 2024 oeffentlich gemacht wurde. Dieses Botnetz besteht laut Analysen vor allem aus kompromittierten Heim- und Buero-Routern, unter denen sich eine erhebliche Zahl von TP-Link-Geraeten befinden soll.
Wie verwundbare Heimrouter zu Botnetzen werden
Quad7 nutzte die infizierten Router unter anderem fuer Password-Spray-Angriffe: Angreifer probieren dabei wenige einfache Passwoerter massenhaft gegen viele Konten aus, um Schutzmechanismen wie Account-Sperren zu umgehen. Solche Angriffe sind besonders effektiv, wenn Endgeraete schlecht gehärtet und unzureichend aktualisiert sind.
Heimrouter sind ein attraktives Ziel, weil sie dauerhaft online, oft schlecht konfiguriert und mit veralteter Firmware betrieben werden. Eine Untersuchung des Fraunhofer-Instituts zeigte bereits 2020, dass alle getesteten Heimrouter signifikante Sicherheitsmaengel aufwiesen – darunter fehlende Updates, unsichere Standardkonfigurationen und bekannte Schwachstellen ohne Patches.
Fehlende oder verzoegerte Sicherheitsupdates fuehren dazu, dass Router zu einer dauerhaften „Einfalltuere“ in Heim- und Firmennetze werden. In der Praxis koennen Angreifer so nicht nur Botnetze aufbauen, sondern auch Datenverkehr manipulieren, Anmeldedaten abgreifen oder weitere Systeme im internen Netzwerk kompromittieren.
Datenschutz, nationale Sicherheit und rechtliche Forderungen
Texas argumentiert, dass Router von TP-Link, die laut Klageschrift „weitgehend aus chinesischen Komponenten bestehen“, in Verbindung mit unsicherer Firmware und unklarer Datenverarbeitung erhebliche Risiken fuer Ueberwachung und massenhafte Datensammlung bergen koennten.
Router verarbeiten saemtlichen Internetverkehr eines Haushalts oder Buero-Netzes: Zugangs- und Bankdaten, E-Mails, Messaging, Unternehmensanmeldungen und Cloud-Zugriffe laufen ueber dieses eine Geraet. Eine Kompromittierung kann daher sowohl private Nutzer als auch Unternehmen und Behoerden betreffen.
Die texanische Generalstaatsanwaltschaft fordert neben finanziellen Strafen einen gerichtlichen Beschluss, der TP-Link verpflichten soll, die Lieferketten und Herkunft der Komponenten transparent offenzulegen, Datenverarbeitung nur mit ausdruecklicher informierter Einwilligung der Nutzer durchzufuehren und Sicherheitsversprechen in der Werbung an den tatsaechlichen technischen Schutzgrad anzupassen.
Texas und fruehere Verfahren gegen Elektronikhersteller
Die Klage reiht sich in eine Reihe von Verfahren ein, mit denen Texas den Schutz von Nutzerdaten staerker durchsetzen will. Bereits im Dezember 2025 verklagte der Bundesstaat mehrere grosse TV-Hersteller, darunter Sony, Samsung, LG, Hisense und TCL, wegen verdeckter Datensammlung ueber ACR-Technologie (Automated Content Recognition).
Diese Faelle zeigen, dass sich die Regulierung nicht mehr nur auf klassische IT-Systeme wie Server oder Unternehmensnetzwerke konzentriert. Consumer-IoT und Unterhaltungselektronik – vom Fernseher bis zum Heimrouter – werden zunehmend als Teil eines durchgaengigen digitalen Oekosystems betrachtet, das denselben Sicherheits- und Datenschutzstandards genuegen muss.
Reaktion von TP-Link und offene Fragen
TP-Link weist die Vorwuerfe als unbegruendet zurueck und kuendigt an, sich gerichtlich zu verteidigen. Das Unternehmen betont, dass weder die chinesische Regierung noch die Kommunistische Partei Chinas Kontrolle ueber TP-Link, seine Produkte oder Nutzerdaten ausueben.
Nach Angaben des Herstellers agiert TP-Link Systems als eigenstaendige US-Gesellschaft; der Gruender lebe in Kalifornien, und die fuer amerikanische Kunden relevante Infrastruktur sei in den USA angesiedelt. Kundendaten wuerden demnach auf Servern von Amazon Web Services gespeichert. Ob diese Angaben und die tatsächliche Sicherheitsarchitektur den rechtlichen Anforderungen und Sicherheitsbedenken genuegen, wird letztlich das Gericht klaeren muessen.
Unabhaengig vom Ausgang des Verfahrens macht der Fall deutlich, wie kritisch Router-Sicherheit und Lieferkettentransparenz geworden sind. Nutzer sollten Firmware regelmaessig aktualisieren, Standardpasswoerter konsequent aendern, nicht benoetigte Remote-Funktionen deaktivieren und beim Kauf auf nachvollziehbare Sicherheitsversprechen achten. Organisationen profitieren von einer Inventarisierung aller Netzwerkgeraete, zentralem Patch-Management und Monitoring auffaelliger Netzwerkaktivitaeten, um zu verhindern, dass ihre Infrastruktur unbemerkt Teil des naechsten Botnetzes wird.
