Passwörter: Eine vernünftige Maßnahme gegen den IoT-Irrsinn

Kalifornien verabschiedet ein Gesetz, das Standardpasswörter verbietet. Das ist ein Schritt in die richtige Richtung, denn es setzt beim größten Problem von IoT-Geräten an und ist leicht umsetzbar.

Ein IMHO von Hanno Böck veröffentlicht am
Die Mirai-Malware, deren Quellcode hier zu sehen ist, nutzte bekannte Standardpasswörter, um möglichst viele IoT-Geräte zu hacken.
Die Mirai-Malware, deren Quellcode hier zu sehen ist, nutzte bekannte Standardpasswörter, um möglichst viele IoT-Geräte zu hacken. (Bild: Mirai-Quellcode/Screenshot: Golem.de)

Es war ein Angriff auf die Pressefreiheit: Das Blog des Journalisten Brian Krebs wurde Opfer einer sogenannten Distributed-Denial-of-Service-Attacke (DDoS). Der Grund für den Angriff dürfte gewesen sein, dass Krebs regelmäßig über dubiose Firmen berichtet, die solche Attacken als Dienstleistung verkaufen.

Stellenmarkt
  1. Administrator (m/w/d) für die IT-forensische Ausbildung
    intersoft consulting services AG, Hamburg
  2. Web-Entwickler (m/w/d) für E-Commerce & Webshop B2C
    Ricosta Schuhfabriken GmbH, Donaueschingen
Detailsuche

Der Angriff auf Krebs hatte eine neue Dimension. Akamai, eine Firma, die bis dahin Brian Krebs' Blog kostenlos vor solchen Atacken geschützt hatte, nahm dessen Webseite daraufhin vom Netz. Der Angriff erfolgte durch unzählige vernetzte Geräte wie Kameras und Home-Router, die gehackt wurden, weil man sich auf sie mit Standardpasswörtern einloggen konnte.

Herstellern ist Sicherheit oft völlig egal

Krebs war damit das erste prominente Opfer einer neuen Welle von Angriffen, die vom sogenannten Internet der Dinge ausgingen. Egal ob Kameras, Kaffeemaschinen oder Glühbirnen: Immer mehr Geräte lassen sich heutzutage mit dem Internet verbinden. Und die Sicherheit? Die ist vielen Herstellern völlig egal. Diese Nachlässigkeit bedroht das freie Netz und die Pressefreiheit.

Es ist daher erfreulich, dass die Gesetzgeber in Kalifornien nun einen Versuch starten, dieses Problem zumindest etwas einzudämmen. In einem relativ kurz gehaltenen Gesetz werden Hersteller angewiesen, Geräte mit Standardpasswörtern, die anschließend nicht geändert werden, nicht mehr zu verkaufen.

Sicher wird das Gesetz nicht dafür sorgen, dass alle Sicherheitsprobleme mit IoT-Geräten gelöst werden. Und vereinzelt wird nun Kritik laut, dass das Gesetz nicht noch weiter geht und die Hersteller nicht zu Sicherheitsupdates verpflichtet. Doch es ist ein sinnvoller und schlauer erster Schritt.

Standardpasswörter sind zwar nicht das einzige Problem von IoT-Geräten, sie sind aber bislang das größte. Malware-Botnetze wie Mirai sind wegen sehr einfach ausnutzbarer Sicherheitslücken so groß geworden. Standardpasswörter sind dafür ideal: Sie erlauben es Angreifern oft, mit einfachsten Mitteln Malware auf den Geräten zu installieren.

Es spricht wenig dagegen, Standardpasswörter zu verbieten

Weiterhin gibt es wenig, was dagegen spricht, zumindest dieses Sicherheitsproblem zu verhindern. Standardpasswörter zu vermeiden, dürfte kaum zu unzumutbaren Kosten oder Belastungen für die Hersteller führen.

Hätte man versucht, im selben Gesetz Hersteller zu Sicherheitsupdates zu verpflichten, wären die Hersteller vermutlich Sturm gelaufen. Zudem hätte man viele Details klären müssen. Wie lange müssen Updates bereitgestellt werden? Wie schnell muss ein Hersteller reagieren? Müssen die Updates automatisch durchgeführt werden? Wie schwerwiegend muss eine Sicherheitslücke sein, damit ein Hersteller reagieren muss? Welche Kosten kämen auf die Hersteller zu und wie viel teurer würden Geräte dadurch werden?

Es ist durchaus sinnvoll, diese Diskussion zu führen. Doch eins ist klar: Ein solches Gesetz hätte zu einer Lobbyschlacht und zu einer langen Diskussion über die genauen Details geführt. Und es hätte das ganze Projekt um Jahre verzögert.

Der Vorteil der Regulierung von Standardpasswörtern: Es ist ein relativ klar umrissenes Problem und Gegenmaßnahmen sind leicht umsetzbar.

Auch wenn das Gesetz nur in Kalifornien gilt, ist zu hoffen, dass das Gesetz weit darüber hinaus Auswirkungen haben wird. Es ist nicht anzunehmen, dass viele Hersteller nun ihre Geräte in einer speziellen Version für Kalifornien anbieten und im Rest der Welt weiterhin eine unsichere Variante verkaufen. Denn es dürfte billiger sein, die Schutzmaßnahmen einmal durchzuführen und dann dasselbe Gerät überall zu verkaufen.

IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach).

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Screenshots zeigen neue Oberfläche
Windows 11 geleakt

Durch einen Leak der ISO von Microsofts Betriebssystem Windows 11 sind Details der Benutzeroberfläche inklusive des Startmenüs bekannt geworden.

Screenshots zeigen neue Oberfläche: Windows 11 geleakt
Artikel
  1. Suchmaschinen: Huawei könnte bei Google-Konkurrent Qwant einsteigen
    Suchmaschinen
    Huawei könnte bei Google-Konkurrent Qwant einsteigen

    Die französische Suchmaschine Qwant macht weiterhin mehr Verluste als Umsatz. Das Geld von Huawei kann sie daher dringend gebrauchen.

  2. Mikromobilität: Im Rhein liegen Hunderte E-Scooter
    Mikromobilität
    Im Rhein liegen Hunderte E-Scooter

    Sie aus dem Wasser holen zu lassen ist zumindest einem Vermieter der E-Scooter zu teuer.

  3. Elon Musk: Tesla-Chef verkauft sein letztes Haus in Kalifornien
    Elon Musk
    Tesla-Chef verkauft sein letztes Haus in Kalifornien

    Seit Mitte 2020 trennt sich Elon Musk nach und nach von seinen Immobilien. Nun verkauft er sein letztes Anwesen - eine Villa in Kalifornien.

chefin 11. Okt 2018

selbst 1234 ist besser als QweR5t& für alle Geräte eines Herstellers. Den mit QweR5t...

Burnz84 10. Okt 2018

Es geht darum, dass jedes einzelne IoT-Geräte ein einzigartiges PW bekommt. Damit ist...

nuclear 09. Okt 2018

Und zwar genau so wie bei unseren Kunden. Die Geräte müssen vor der ersten Inbetriebname...

/mecki78 09. Okt 2018

Hier werden schon wieder Probleme unnötig aufgebauscht, die eigentlich gar keine sind. So...

kn4llfrosch 09. Okt 2018

"Es wird genau so viel gemacht werden, dass man den Wortlaut des Gesetzes entspricht. Auf...


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Crucial MX500 500GB 48,99€ • Amazon-Geräte günstiger • WD Black SN850 500GB PCIe 4.0 89€ • Apple iPhone 12 mini 64GB Rot 589€ • Far Cry 6 + Steelbook PS5 69,99€ • E3-Aktion: Xbox-Spiele bei MM günstiger • Amazon Music Ultd. 6 Mon. gratis bei Kauf eines Echo Dot (4. Gen.) [Werbung]
    •  /