Omada-Cloud von TP-Link zeigt Nutzer fremden Tenant

Veröffentlicht am 13. März 2026 von Günter Born

Neuer Fall von "sollte nicht vorkommen". Ein Blog-Leser hat mir einen Vorfall zukommen lassen, bei dem Tenants der Omada-Cloud von TP-Link fehlerhaft zugewiesen wurden. Er war in der Lage, Tenant-Daten von Dritten einzusehen. Das wirft natürlich Fragen nach der Sicherheit und nach dem Datenschutz auf.

Die Secure-Boot-Zertifikate laufen ab. Was sollen Admins tun? Kostenloses eBook » (Sponsored by IT Pro)

Einordnung der Omada Cloud (TP-Link)

Zuerst ein kurzer Überblick, um was es bei der Omada Cloud eigentlich geht. Konkret betrifft es den sogenannten "Omada Cloud-Based Controller". Das ist eine Cloud-Lösung von TP-Link für das zentrale Management von Netzwerken, vor allem im Business- und SMB-Bereich.

Omada Cloud

Mit der vollständig cloudbasierten Steuerzentrale (Controller) der Omada Cloud können IT-Supporter für Kunden eine Lösung einrichten, mit der sich diverse TP-Link Omada-Geräte von überall über das Internet verwalten lassen.

  • Access Points (WLAN Access Points)
  • Switches (managed Switches)
  • Gateways / Router (Omada Router / Security Gateways)

Der Kunde oder der Dienstleister benötigt keine Installation eines physischen Hardware-Controllers und auch keine Software auf einem Server. TP-Link stellt die Infrastruktur als Cloud bereit, die Verwaltung der Geräte erfolgt über einen einzige Web-Oberfläche oder die Omada-App. Die Nutzer erhalten (per Handy, Laptop, Tablet) Remote-Zugriff von überall. Meinen Recherchen nach gibt es zwei Varianten:

  • Omada Cloud Essentials: Dies ist eine kostenlose, aber sehr einfache, Lösung für kleinere Installationen (z. B. Überwachungskameras-Netzwerke, Ferienwohnungen, kleine Büros, Villen).
  • Omada Cloud Standard / Professional. Diese Lösung ist kostenpflichtig (Lizenzierung meist pro Gerät und Jahr), bietet aber mehr Funktionen, ermöglicht größere Netzwerke, Multi-Site-Management, erweiterte Statistiken usw.

Typische Einsatzgebiete der Omada Cloud sind Hotels, Schulen, Büros, Restaurants, wobei das Gerne für Überwachungssysteme (Kameras über PoE-Switches + Access Points) genutzt wird, habe ich mir sagen lassen. Die Lösung wird als ideal angepriesen, wenn man mehrere Standorte (Filialen, Ferienhäuser) hat, aber keinen eigenen Server betreiben und kein eigenes IT-Personal vorhalten will. Der Zugang erfolgt über omada.tplinkcloud.com über die Zugangsdaten des eigenen TP-Link-Account.

Die Omada-Cloud wird dieser TP-Link-Seite nach auf Amazon Web Services (AWS) gehostet. Auf die DSGVO-Problematik dieses Ansatzes möchte ich an dieser Stelle nicht eingehen – die Nutzer segeln da imho in einem Graubereich, da eher kein Auftragsdatenverarbeitungsvertrag mit TP-Link und AWS existiert (relevant, wenn Firmen persönliche Daten von Nutzern hochladen).

Ein Leserhinweis auf ein Tenant-Problem bei TP-Link-Cloud

Ein Blog-Leser hat mich die Tage per persönlicher Nachricht auf reddit.com kontaktiert und schrieb "Guten Morgen Günter, wir hatten vor einem paar Jahre ein Austausch bzgl. Microsoft bzw. Exchange, als die Globale Adresslisten weltweit 'vertauscht' wurden. Hatte einen ähnlichen Vorfall, diesmal aber mit der Cloud TP-Link.". Der Fall bei Exchange, auf den der Leser anspielt, war von mir Ende Oktober 2023 im Blog-Beitrag Frage: Zeigt Exchange Online fremde Adresslisten (GAL)? angesprochen worden.

Der neue Fall, den der Leser meint, betrifft die oben angesprochene Omada-Cloud. Der Leser hat die Details auf reddit.com im Thread Omada showing wrong tenant dokumentiert und eine deutliche Warnung ausgesprochen. Laut Beschreibung hat der Leser, der IT-Dienstleistungen anbietet, wohl einen "Kunden geerbt", der auf der von TP-Link betriebenen Omada Cloud eingerichtet ist. Der Leser schreibt dazu, dass der vorherige Systemadministrator voll auf Omada gesetzt habe, sodass man nun eine Weile damit beschäftigt sei, das zu verwalten. Im Allgemeinen sei dies totaler Mist, aber noch erträglich.

Anfang der Woche kam dann vom Kunden ein Support-Ticket zum Dienstleister, wo ein Benutzer des Kunden mit Verwaltungsrechten in der Omada Cloud einen Screenshot geschickt hatte. Der betreffende Benutzer hatte sich wie gewohnt mit seinen Zugangsdaten bei der Omada-Cloud angemeldet.

  • Er wollte seine lokale Infrastruktur verwalten, fand  aber plötzlich einen völlig anderen Mandanten in der Administrator-Verwaltungsumgebung vor.
  • Laut der angemeldeten E-Mail (wohl im Screenshot dokumentiert) gehörte dieser Tenant zu einem Kunden, der durch eine Person in Bayern betreut wurde. Diese Person verwaltete wohl mehrere Unternehmen aus Bayern als Kunden.
  • Es scheinen kleinere Unternehmenskunden gewesen zu sein, da der Blog-Leser die betreffenden Namen noch nie gehört hatte. Ist aber nicht relevant, relevant ist aber, dass der Leser über die Zugangsdaten des Kunden Zugriff auf den Omada-Cloud Tenant der fremden Kunden hatte.

Zur Struktur sieht es so aus, dass das Unternehmen des Kunden über mehrere Standorte verfügt. Jeder Standort hat "Gäste", die für bis zu 12 Monate eingerichtet bleiben.  Die Gäste haben das Recht, per Internetverbindung auf die entsprechenden Konten in der Omada-Cloud zuzugreifen. Das Unternehmen hat die Pflicht, die Verbindungen zu überwachen, und das Recht, den Zugang zu widerrufen, wenn auch nur vorübergehend.

Die Omada-Cloud erlaubt "Sub-Admin"-Konten zum Verwalten der Zugangsdaten der Gäste (Benutzername und Passwort), vorausgesetzt, diese Konten sind beim Omada-Cloud -Controller registriert, bestätigt und von einem globalen Administrator dem lokalen Controller zugewiesen worden.

Normalerweise sieht dieser "Sub-Admin" nur seinen lokalen Omada-Cloud Standort-Controller. Nun sah der "Sub-Admin" plötzlich drei unternehmensweite Standort-Controller. Konkret schrieb der Leser auf reddit.com: "Ein Benutzer mit Zugriff auf das lokale Benutzerportal kann dies separat für jeden lokalen Controller gewähren. Was die Verknüpfung betrifft: Der Benutzer wurde von 'Single Location On-Prem User Admin' zu 'Third Party Tenant Global Admin' befördert." Das würde der Blog-Leser nicht als  gewolltes Feature bezeichnen.

Offenbar ist in der von TP-Link betriebenen Omada Cloud durch eine interne Umstellung etwas schief gelaufen, so dass der betreffende Administrator plötzlich Zugriff auf fremde Tenants bekam. Der Leser befürchtet nun, dass nicht nur sie Zugriff auf fremde Tenants haben, sondern dass auch Dritte auf den Omada Cloud-Tenant des eigenen Kunden Zugriff hat. Der Leser fragt dann: "Ist Ihnen etwas Ähnliches passiert?".

Im reddit-Thread haben sich andere Nutzer gemeldet, die ebenfalls diese Beobachtung gemacht haben. Sofern persönliche Daten in der Omada Cloud abgelegt waren, wäre dies ein meldepflichtiger DSGVO-Vorfall. Auf jeden Fall ist das ein sicherheitstechnisches Problem. Daher die Frage an die Leserschaft: Ist jemand bereits etwas ähnliches aufgefallen?

PS: Vom Blog-Leser weiß ich inzwischen, dass TP-Link dem Vorfall nachgehen möchte. Im Dezember 2023 gab es schon mal den ähnlichen Fall, dass Ubiquity-Kameras fremder Nutzer im Control Panel Dritter angezeigt wurden (siehe diesen Arstechnica-Artikel). Nachfolgend finden sich auch Links zu ähnlichen Vorfällen, die hier im Blog aufgegriffen wurden.

Ähnliche Artikel:
Frage: Zeigt Exchange Online fremde Adresslisten (GAL)?
SigEnergy-Wechselrichter: App gibt Fremddaten preis (DSGVO-Bezug)
Deye Wechselrichter: Cloud Account zeigt fremde Anlagen-/Kundendaten an

Dieser Beitrag wurde unter Cloud, Problem, Sicherheit abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.