IoT-Sicherheitslücken: Kalifornien verbietet Standard-Passwörter

Ein kürzlich verabschiedetes Gesetz in Kalifornien soll für mehr Sicherheit bei vernetzten Geräten sorgen. Der wichtigste Punkt: Geräte müssen entweder einmalige Passwörter haben oder die Nutzer bei Inbetriebnahme zum Passwortwechsel zwingen.

Artikel veröffentlicht am , Hanno Böck
Login mit admin/admin? Solche Standardzugangsdaten will Kalifornien mit einem Gesetz verbieten.
Login mit admin/admin? Solche Standardzugangsdaten will Kalifornien mit einem Gesetz verbieten. (Bild: Albaniaman/Wikimedia Commons/CC-BY-SA 3.0)

Im US-Bundesstaat Kalifornien wurde ein Gesetz verabschiedet, das die Sicherheit von vernetzten Geräten reguliert. Insbesondere ist dabei vorgesehen, dass ab 2020 Geräte nicht mehr mit Standardpasswörtern ausgeliefert werden dürfen. Eine Motivation für dieses Gesetz dürfte das Mirai-Botnetz sein, bei dem vernetzte Geräte mit Standardpasswörtern massenhaft gehackt wurden.

Stellenmarkt
  1. DevOps Engineer (m/w/d)
    J. Schmalz GmbH, Glatten
  2. DevOps Engineer (w/m/d)
    Statistisches Bundesamt, Wiesbaden
Detailsuche

Das Gesetz mit dem Titel "SB-327 Information privacy: connected devices" wurde Ende September vom kalifornischen Senat verabschiedet. Es sieht demnach vor, dass vernetzte Geräte mit Sicherheitsfunktionen ausgestattet sind, die für die jeweilige Funktion und die vom Gerät verarbeiteten Daten angemessen sind.

Einmaliges Passwort oder Änderung bei Inbetriebnahme

Neben dieser vagen Anforderung, die sicherlich einigen Interpretationsspielraum lässt, gibt es eine sehr konkrete Anforderung an Passwörter: Hersteller haben demnach entweder die Möglichkeit, jedes Gerät mit einem einmaligen Passwort auszustatten, oder die Geräte müssen so gestaltet sein, dass das initiale Passwort geändert werden muss, bevor das Gerät in Betrieb genommen wird.

Geräte mit Standardpasswörtern haben in der Vergangenheit zu massiven Sicherheitsproblemen geführt. Im Jahr 2016 sorgte etwa das sogenannte Mirai-Botnetz für Ärger und zeigte, welche Gefahren das Internet der Dinge mit sich bringt.

Golem Akademie
  1. Unity Basiswissen: virtueller Drei-Tage-Workshop
    7.–9. Februar 2022, Virtuell
  2. ITIL 4® Foundation: virtueller Zwei-Tage-Workshop
    24.–25. Januar 2022, virtuell
Weitere IT-Trainings

Massenhaft wurden dabei vernetzte Geräte wie Router oder IP-Kameras mit der Mirai-Malware infiziert und anschließend für Denial-of-Service-Angriffe missbraucht. Zu den Opfern von Mirai gehörten die Webseite des Journalisten Brian Krebs, der französische Hosting-Provider OVH und der DNS-Service Dyn.

Der Grund, warum sich Mirai so rasant ausbreiten konnte: Auf vielen Geräten konnte man sich mit trivialen Standardnutzernamen und Passwörtern wie admin/admin einloggen. Selbst wenn eine Änderung der Standardpasswörter möglich ist, hilft das nicht viel, da viele Nutzer das Passwort nicht ändern. Im Netz kursieren zahlreiche Listen mit Standard-Logindaten für viele Geräte. Solche Geräte dürfen nach dem neuen Gesetz in Kalifornien bald nicht mehr verkauft werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


plutoniumsulfat 09. Okt 2018

Eben nicht, bei einmalig kann man alle Geräte mit demselben PW ausstatten.

_spyro_88_ 09. Okt 2018

... ist wohl die beste Idee: UI: "Sie müssen jetzt Ihr Kennwort ändern": User...

Tantalus 09. Okt 2018

Was haben Sicherheitsvorschriften für Geräte mit Sozialismus zu tun? Gruß Tantalus

frostbitten king 09. Okt 2018

Ja wenn die hersteller zu blöd sind und für den random generator als Seed nur die Mac...

Avarion 08. Okt 2018

Dann gibts eine Geldstrafe für die Hersteller. Weil diese Art der Sicherung nicht dem...



Aktuell auf der Startseite von Golem.de
Bundesservice Telekommunikation  
Die dubiose Adresse in Berlin-Treptow

Angeblich hat das Innenministerium nichts mit dem Bundesservice Telekommunikation zu tun. Doch beide teilen sich offenbar ein Bürogebäude.
Ein Bericht von Friedhelm Greis

Bundesservice Telekommunikation: Die dubiose Adresse in Berlin-Treptow
Artikel
  1. Reddit: IT-Arbeiter automatisiert seinen Job angeblich vollständig
    Reddit
    IT-Arbeiter automatisiert seinen Job angeblich vollständig

    Ein anonymer IT-Spezialist will unbemerkt seinen Job vollständig automatisiert haben. Dem Arbeitgeber sei dies seit einem Jahr nicht aufgefallen.

  2. E-Mail: Outlook-Suche in MacOS 12.1 ist noch immer kaputt
    E-Mail
    Outlook-Suche in MacOS 12.1 ist noch immer kaputt

    Seit Wochen ärgern sich Outlook-User darüber, dass die E-Mail-Suche unter MacOS 12.1 nicht mehr richtig funktioniert. Ein Fix ist in Arbeit.

  3. Spielebranche: Microsoft will Activision Blizzard übernehmen
    Spielebranche
    Microsoft will Activision Blizzard übernehmen

    Diablo und Call of Duty gehören bald zu Microsoft: Der Softwarekonzern will Activision Blizzard für rund 70 Milliarden US-Dollar kaufen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 wohl am 19.01. bestellbar • RTX 3080 12GB bei Mindfactory 1.699€ • Samsung Gaming-Monitore (u.a. G5 32" WQHD 144Hz Curved 299€) • MindStar (u.a. GTX 1660 6GB 499€) • Sony Fernseher & Kopfhörer • Samsung Galaxy A52 128GB 299€ • CyberGhost VPN 1,89€/Monat [Werbung]
    •  /