![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/05\/Cloud-Symbol.jpg\" "\\"Cloud")
Neuer Fall von \"sollte nicht vorkommen\". Ein Blog-Leser hat mir einen Vorfall zukommen lassen, bei dem Tenants der Omada-Cloud von TP-Link fehlerhaft zugewiesen wurden. Er war in der Lage, Tenant-Daten von Dritten einzusehen. Das wirft nat\u00fcrlich Fragen nach der Sicherheit und nach dem Datenschutz auf.<\/p>\n
<\/p>\n
Zuerst ein kurzer \u00dcberblick, um was es bei der Omada Cloud eigentlich geht. Konkret betrifft es den sogenannten \"Omada Cloud-Based Controller\". Das ist eine Cloud-L\u00f6sung von TP-Link f\u00fcr das zentrale Management von Netzwerken, vor allem im Business- und SMB-Bereich.<\/p>\n
Mit der vollst\u00e4ndig cloudbasierten Steuerzentrale (Controller) der Omada Cloud k\u00f6nnen IT-Supporter f\u00fcr Kunden eine L\u00f6sung einrichten, mit der sich diverse TP-Link Omada-Ger\u00e4te von \u00fcberall \u00fcber das Internet verwalten lassen.<\/p>\n Der Kunde oder der Dienstleister ben\u00f6tigt keine Installation eines physischen Hardware-Controllers und auch keine Software auf einem Server. TP-Link stellt die Infrastruktur als Cloud bereit, die Verwaltung der Ger\u00e4te erfolgt \u00fcber einen einzige Web-Oberfl\u00e4che oder die Omada-App. Die Nutzer erhalten (per Handy, Laptop, Tablet) Remote-Zugriff von \u00fcberall. Meinen Recherchen nach gibt es zwei Varianten:<\/p>\n Typische Einsatzgebiete der Omada Cloud sind Hotels, Schulen, B\u00fcros, Restaurants, wobei das Gerne f\u00fcr \u00dcberwachungssysteme (Kameras \u00fcber PoE-Switches + Access Points) genutzt wird, habe ich mir sagen lassen. Die L\u00f6sung wird als ideal angepriesen, wenn man mehrere Standorte (Filialen, Ferienh\u00e4user) hat, aber keinen eigenen Server betreiben und kein eigenes IT-Personal vorhalten will. Der Zugang erfolgt \u00fcber omada.tplinkcloud.com \u00fcber die Zugangsdaten des eigenen TP-Link-Account.<\/p>\n Die Omada-Cloud wird dieser TP-Link-Seite<\/a> nach auf Amazon Web Services (AWS) gehostet. Auf die DSGVO-Problematik dieses Ansatzes m\u00f6chte ich an dieser Stelle nicht eingehen – die Nutzer segeln da imho in einem Graubereich, da eher kein Auftragsdatenverarbeitungsvertrag mit TP-Link und AWS existiert (relevant, wenn Firmen pers\u00f6nliche Daten von Nutzern hochladen).<\/p>\n Ein Blog-Leser hat mich die Tage per pers\u00f6nlicher Nachricht auf reddit.com kontaktiert und schrieb \"Guten Morgen G\u00fcnter, wir hatten vor einem paar Jahre ein Austausch bzgl. Microsoft bzw. Exchange, als die Globale Adresslisten weltweit 'vertauscht' wurden. Hatte einen \u00e4hnlichen Vorfall, diesmal aber mit der Cloud TP-Link.\". Der Fall bei Exchange, auf den der Leser anspielt, war von mir Ende Oktober 2023 im Blog-Beitrag Frage: Zeigt Exchange Online fremde Adresslisten (GAL)?<\/a> angesprochen worden.<\/p>\n Der neue Fall, den der Leser meint, betrifft die oben angesprochene Omada-Cloud. Der Leser hat die Details auf reddit.com im Thread\u00a0Omada showing wrong tenant<\/a> dokumentiert und eine deutliche Warnung ausgesprochen. Laut Beschreibung hat der Leser, der IT-Dienstleistungen anbietet, wohl einen \"Kunden geerbt\", der auf der von TP-Link betriebenen Omada Cloud eingerichtet ist. Der Leser schreibt dazu, dass der vorherige Systemadministrator voll auf Omada gesetzt habe, sodass man nun eine Weile damit besch\u00e4ftigt sei, das zu verwalten. Im Allgemeinen sei dies totaler Mist, aber noch ertr\u00e4glich.<\/p>\n Anfang der Woche kam dann vom Kunden ein Support-Ticket zum Dienstleister, wo ein Benutzer des Kunden mit Verwaltungsrechten in der Omada Cloud einen Screenshot geschickt hatte. Der betreffende Benutzer hatte sich wie gewohnt mit seinen Zugangsdaten bei der Omada-Cloud angemeldet.<\/p>\n Zur Struktur sieht es so aus, dass das\u00a0Unternehmen des Kunden \u00fcber mehrere Standorte verf\u00fcgt. Jeder Standort hat \"G\u00e4ste\", die f\u00fcr bis zu 12 Monate eingerichtet bleiben.\u00a0 Die G\u00e4ste haben das Recht, per\u00a0Internetverbindung auf die entsprechenden Konten in der Omada-Cloud zuzugreifen. Das Unternehmen hat die Pflicht, die Verbindungen zu \u00fcberwachen, und das Recht, den Zugang zu widerrufen, wenn auch nur vor\u00fcbergehend.<\/p>\n Die\u00a0Omada-Cloud erlaubt \"Sub-Admin\"-Konten zum Verwalten der Zugangsdaten der G\u00e4ste (Benutzername und Passwort), vorausgesetzt, diese Konten sind beim Omada-Cloud -Controller registriert, best\u00e4tigt und von einem globalen Administrator dem lokalen Controller zugewiesen worden.<\/p>\n Normalerweise sieht dieser \"Sub-Admin\" nur seinen lokalen Omada-Cloud Standort-Controller. Nun sah der \"Sub-Admin\" pl\u00f6tzlich drei unternehmensweite Standort-Controller.\u00a0Konkret schrieb der Leser auf reddit.com: \"Ein Benutzer mit Zugriff auf das lokale Benutzerportal kann dies separat f\u00fcr jeden lokalen Controller gew\u00e4hren.\u00a0Was die Verkn\u00fcpfung betrifft: Der Benutzer wurde von 'Single Location On-Prem User Admin' zu 'Third Party Tenant Global Admin' bef\u00f6rdert.\" Das w\u00fcrde der Blog-Leser nicht als\u00a0 gewolltes Feature bezeichnen.<\/p>\n Offenbar ist in der von TP-Link betriebenen Omada Cloud durch eine interne Umstellung etwas schief gelaufen, so dass der betreffende Administrator pl\u00f6tzlich Zugriff auf fremde Tenants bekam. Der Leser bef\u00fcrchtet nun, dass nicht nur sie Zugriff auf fremde Tenants haben, sondern dass auch Dritte auf den Omada Cloud-Tenant des eigenen Kunden Zugriff hat (ich konnte Screenshots einsehen, die die Angaben best\u00e4tigen). Der Leser fragt dann: \"Ist Ihnen etwas \u00c4hnliches passiert?\".<\/p>\n Im reddit-Thread haben sich andere Nutzer gemeldet, die ebenfalls diese Beobachtung gemacht haben. Sofern pers\u00f6nliche Daten in der Omada Cloud abgelegt waren, w\u00e4re dies ein meldepflichtiger DSGVO-Vorfall. Auf jeden Fall ist das ein sicherheitstechnisches Problem. Daher die Frage an die Leserschaft: Ist jemand bereits etwas \u00e4hnliches aufgefallen?<\/p>\n PS: Vom Blog-Leser wei\u00df ich inzwischen, dass TP-Link dem Vorfall nachgehen m\u00f6chte. Im Dezember 2023 gab es schon mal den \u00e4hnlichen Fall, dass Ubiquity-Kameras fremder Nutzer im Control Panel Dritter angezeigt wurden (siehe diesen Arstechnica-Artikel<\/a>). Nachfolgend finden sich auch Links zu \u00e4hnlichen Vorf\u00e4llen, die hier im Blog aufgegriffen wurden.<\/p>\n \u00c4hnliche Artikel:<\/strong> Neuer Fall von \"sollte nicht vorkommen\". Ein Blog-Leser hat mir einen Vorfall zukommen lassen, bei dem Tenants der Omada-Cloud von TP-Link fehlerhaft zugewiesen wurden. Er war in der Lage, Tenant-Daten von Dritten einzusehen. Das wirft nat\u00fcrlich Fragen nach der Sicherheit … Weiterlesen ![\"Omada](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/03\/Omada.jpg\")
<\/a><\/p>\n\n
\n
Ein Leserhinweis auf ein Tenant-Problem bei\u00a0TP-Link-Cloud<\/h2>\n
\n
\nFrage: Zeigt Exchange Online fremde Adresslisten (GAL)?<\/a>
\nSigEnergy-Wechselrichter: App gibt Fremddaten preis (DSGVO-Bezug)<\/a>
\nDeye Wechselrichter: Cloud Account zeigt fremde Anlagen-\/Kundendaten an<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"