Abo
  • Services:

IoT-Sicherheitslücken: Kalifornien verbietet Standard-Passwörter

Ein kürzlich verabschiedetes Gesetz in Kalifornien soll für mehr Sicherheit bei vernetzten Geräten sorgen. Der wichtigste Punkt: Geräte müssen entweder einmalige Passwörter haben oder die Nutzer bei Inbetriebnahme zum Passwortwechsel zwingen.

Artikel veröffentlicht am , Hanno Böck
Login mit admin/admin? Solche Standardzugangsdaten will Kalifornien mit einem Gesetz verbieten.
Login mit admin/admin? Solche Standardzugangsdaten will Kalifornien mit einem Gesetz verbieten. (Bild: Albaniaman/Wikimedia Commons/CC-BY-SA 3.0)

Im US-Bundesstaat Kalifornien wurde ein Gesetz verabschiedet, das die Sicherheit von vernetzten Geräten reguliert. Insbesondere ist dabei vorgesehen, dass ab 2020 Geräte nicht mehr mit Standardpasswörtern ausgeliefert werden dürfen. Eine Motivation für dieses Gesetz dürfte das Mirai-Botnetz sein, bei dem vernetzte Geräte mit Standardpasswörtern massenhaft gehackt wurden.

Stellenmarkt
  1. Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO, Stuttgart, Esslingen
  2. eco Verband der Internetwirtschaft e.V., Köln

Das Gesetz mit dem Titel "SB-327 Information privacy: connected devices" wurde Ende September vom kalifornischen Senat verabschiedet. Es sieht demnach vor, dass vernetzte Geräte mit Sicherheitsfunktionen ausgestattet sind, die für die jeweilige Funktion und die vom Gerät verarbeiteten Daten angemessen sind.

Einmaliges Passwort oder Änderung bei Inbetriebnahme

Neben dieser vagen Anforderung, die sicherlich einigen Interpretationsspielraum lässt, gibt es eine sehr konkrete Anforderung an Passwörter: Hersteller haben demnach entweder die Möglichkeit, jedes Gerät mit einem einmaligen Passwort auszustatten, oder die Geräte müssen so gestaltet sein, dass das initiale Passwort geändert werden muss, bevor das Gerät in Betrieb genommen wird.

Geräte mit Standardpasswörtern haben in der Vergangenheit zu massiven Sicherheitsproblemen geführt. Im Jahr 2016 sorgte etwa das sogenannte Mirai-Botnetz für Ärger und zeigte, welche Gefahren das Internet der Dinge mit sich bringt.

Massenhaft wurden dabei vernetzte Geräte wie Router oder IP-Kameras mit der Mirai-Malware infiziert und anschließend für Denial-of-Service-Angriffe missbraucht. Zu den Opfern von Mirai gehörten die Webseite des Journalisten Brian Krebs, der französische Hosting-Provider OVH und der DNS-Service Dyn.

Der Grund, warum sich Mirai so rasant ausbreiten konnte: Auf vielen Geräten konnte man sich mit trivialen Standardnutzernamen und Passwörtern wie admin/admin einloggen. Selbst wenn eine Änderung der Standardpasswörter möglich ist, hilft das nicht viel, da viele Nutzer das Passwort nicht ändern. Im Netz kursieren zahlreiche Listen mit Standard-Logindaten für viele Geräte. Solche Geräte dürfen nach dem neuen Gesetz in Kalifornien bald nicht mehr verkauft werden.



Anzeige
Hardware-Angebote
  1. 1.299,00€
  2. (reduzierte Überstände, Restposten & Co.)

plutoniumsulfat 09. Okt 2018

Eben nicht, bei einmalig kann man alle Geräte mit demselben PW ausstatten.

_spyro_88_ 09. Okt 2018

... ist wohl die beste Idee: UI: "Sie müssen jetzt Ihr Kennwort ändern": User...

Tantalus 09. Okt 2018

Was haben Sicherheitsvorschriften für Geräte mit Sozialismus zu tun? Gruß Tantalus

frostbitten king 09. Okt 2018

Ja wenn die hersteller zu blöd sind und für den random generator als Seed nur die Mac...

Avarion 08. Okt 2018

Dann gibts eine Geldstrafe für die Hersteller. Weil diese Art der Sicherung nicht dem...


Folgen Sie uns
       


Golem.de besucht Pininfarina (Reportage)

Golem.de hat bei Pininfarina in Turin hinter die Kulissen geschaut und sich mit den Designern des Elektrosportwagens PF0 unterhalten.

Golem.de besucht Pininfarina (Reportage) Video aufrufen
Gaming-Tastaturen im Test: Neue Switches für Gamer und Tipper
Gaming-Tastaturen im Test
Neue Switches für Gamer und Tipper

Corsair und Roccat haben neue Gaming-Tastaturen auf den Markt gebracht, die sich vor allem durch ihre Switches auszeichnen. Im Test zeigt sich, dass Roccats Titan Switch besser zum normalen Tippen geeignet ist, aber nicht an die Geschwindigkeit des Corsair-exklusiven Cherry-Switches herankommt.
Ein Test von Tobias Költzsch

  1. Azio RCK Retrotastatur wechselt zwischen Mac und Windows-Layout
  2. OLKB Planck im Test Winzig, gerade, programmierbar - gut!
  3. Alte gegen neue Model M Wenn die Knickfedern wohlig klackern

Google Nachtsicht im Test: Starke Nachtaufnahmen mit dem Pixel
Google Nachtsicht im Test
Starke Nachtaufnahmen mit dem Pixel

Gut einen Monat nach der Vorstellung der neuen Pixel-Smartphones hat Google die Kamerafunktion Nachtsicht vorgestellt. Mit dieser lassen sich tolle Nachtaufnahmen machen, die mit denen von Huaweis Nachtmodus vergleichbar sind - und dessen Qualität bei Selbstporträts deutlich übersteigt.
Ein Test von Tobias Költzsch

  1. Pixel 3 Google patcht Probleme mit Speichermanagement
  2. Smartphone Google soll Pixel 3 Lite mit Kopfhörerbuchse planen
  3. Google Dem Pixel 3 XL wächst eine zweite Notch

Drahtlos-Headsets im Test: Ohne Kabel spielt sich's angenehmer
Drahtlos-Headsets im Test
Ohne Kabel spielt sich's angenehmer

Sie nerven und verdrehen sich in den Rollen unseres Stuhls: Kabel sind gerade bei Headsets eine Plage. Doch gibt es so viele Produkte, die darauf verzichten können. Wir testen das Alienware AW988, das Audeze Mobius, das Hyperx Cloud Flight und das Razer Nari Ultimate - und haben einen Favoriten.
Ein Test von Oliver Nickel

  1. Sieben Bluetooth-Ohrstöpsel im Test Jabra zeigt Apple, was den Airpods fehlt
  2. Ticpods Free Airpods-Konkurrenten mit Touchbedienung kosten 80 Euro
  3. Bluetooth-Ohrstöpsel im Vergleichstest Apples Airpods lassen hören und staunen

    •  /