Abo
  • Services:

Passwörter: Eine vernünftige Maßnahme gegen den IoT-Irrsinn

Kalifornien verabschiedet ein Gesetz, das Standardpasswörter verbietet. Das ist ein Schritt in die richtige Richtung, denn es setzt beim größten Problem von IoT-Geräten an und ist leicht umsetzbar.

Ein IMHO von Hanno Böck veröffentlicht am
Die Mirai-Malware, deren Quellcode hier zu sehen ist, nutzte bekannte Standardpasswörter, um möglichst viele IoT-Geräte zu hacken.
Die Mirai-Malware, deren Quellcode hier zu sehen ist, nutzte bekannte Standardpasswörter, um möglichst viele IoT-Geräte zu hacken. (Bild: Mirai-Quellcode/Screenshot: Golem.de)

Es war ein Angriff auf die Pressefreiheit: Das Blog des Journalisten Brian Krebs wurde Opfer einer sogenannten Distributed-Denial-of-Service-Attacke (DDoS). Der Grund für den Angriff dürfte gewesen sein, dass Krebs regelmäßig über dubiose Firmen berichtet, die solche Attacken als Dienstleistung verkaufen.

Stellenmarkt
  1. WERTGARANTIE Group, Hannover
  2. MOBIL ELEKTRONIK GMBH, Langenbrettach

Der Angriff auf Krebs hatte eine neue Dimension. Akamai, eine Firma, die bis dahin Brian Krebs' Blog kostenlos vor solchen Atacken geschützt hatte, nahm dessen Webseite daraufhin vom Netz. Der Angriff erfolgte durch unzählige vernetzte Geräte wie Kameras und Home-Router, die gehackt wurden, weil man sich auf sie mit Standardpasswörtern einloggen konnte.

Herstellern ist Sicherheit oft völlig egal

Krebs war damit das erste prominente Opfer einer neuen Welle von Angriffen, die vom sogenannten Internet der Dinge ausgingen. Egal ob Kameras, Kaffeemaschinen oder Glühbirnen: Immer mehr Geräte lassen sich heutzutage mit dem Internet verbinden. Und die Sicherheit? Die ist vielen Herstellern völlig egal. Diese Nachlässigkeit bedroht das freie Netz und die Pressefreiheit.

Es ist daher erfreulich, dass die Gesetzgeber in Kalifornien nun einen Versuch starten, dieses Problem zumindest etwas einzudämmen. In einem relativ kurz gehaltenen Gesetz werden Hersteller angewiesen, Geräte mit Standardpasswörtern, die anschließend nicht geändert werden, nicht mehr zu verkaufen.

Sicher wird das Gesetz nicht dafür sorgen, dass alle Sicherheitsprobleme mit IoT-Geräten gelöst werden. Und vereinzelt wird nun Kritik laut, dass das Gesetz nicht noch weiter geht und die Hersteller nicht zu Sicherheitsupdates verpflichtet. Doch es ist ein sinnvoller und schlauer erster Schritt.

Standardpasswörter sind zwar nicht das einzige Problem von IoT-Geräten, sie sind aber bislang das größte. Malware-Botnetze wie Mirai sind wegen sehr einfach ausnutzbarer Sicherheitslücken so groß geworden. Standardpasswörter sind dafür ideal: Sie erlauben es Angreifern oft, mit einfachsten Mitteln Malware auf den Geräten zu installieren.

Es spricht wenig dagegen, Standardpasswörter zu verbieten

Weiterhin gibt es wenig, was dagegen spricht, zumindest dieses Sicherheitsproblem zu verhindern. Standardpasswörter zu vermeiden, dürfte kaum zu unzumutbaren Kosten oder Belastungen für die Hersteller führen.

Hätte man versucht, im selben Gesetz Hersteller zu Sicherheitsupdates zu verpflichten, wären die Hersteller vermutlich Sturm gelaufen. Zudem hätte man viele Details klären müssen. Wie lange müssen Updates bereitgestellt werden? Wie schnell muss ein Hersteller reagieren? Müssen die Updates automatisch durchgeführt werden? Wie schwerwiegend muss eine Sicherheitslücke sein, damit ein Hersteller reagieren muss? Welche Kosten kämen auf die Hersteller zu und wie viel teurer würden Geräte dadurch werden?

Es ist durchaus sinnvoll, diese Diskussion zu führen. Doch eins ist klar: Ein solches Gesetz hätte zu einer Lobbyschlacht und zu einer langen Diskussion über die genauen Details geführt. Und es hätte das ganze Projekt um Jahre verzögert.

Der Vorteil der Regulierung von Standardpasswörtern: Es ist ein relativ klar umrissenes Problem und Gegenmaßnahmen sind leicht umsetzbar.

Auch wenn das Gesetz nur in Kalifornien gilt, ist zu hoffen, dass das Gesetz weit darüber hinaus Auswirkungen haben wird. Es ist nicht anzunehmen, dass viele Hersteller nun ihre Geräte in einer speziellen Version für Kalifornien anbieten und im Rest der Welt weiterhin eine unsichere Variante verkaufen. Denn es dürfte billiger sein, die Schutzmaßnahmen einmal durchzuführen und dann dasselbe Gerät überall zu verkaufen.

IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach).



Anzeige
Blu-ray-Angebote
  1. Jetzt für 150 EUR kaufen und 75 EUR sparen
  2. (u. a. 4 Blu-rays für 20€, 2 TV-Serien für 20€)

chefin 11. Okt 2018 / Themenstart

selbst 1234 ist besser als QweR5t& für alle Geräte eines Herstellers. Den mit QweR5t...

Burnz84 10. Okt 2018 / Themenstart

Es geht darum, dass jedes einzelne IoT-Geräte ein einzigartiges PW bekommt. Damit ist...

nuclear 09. Okt 2018 / Themenstart

Und zwar genau so wie bei unseren Kunden. Die Geräte müssen vor der ersten Inbetriebname...

/mecki78 09. Okt 2018 / Themenstart

Hier werden schon wieder Probleme unnötig aufgebauscht, die eigentlich gar keine sind. So...

kn4llfrosch 09. Okt 2018 / Themenstart

"Es wird genau so viel gemacht werden, dass man den Wortlaut des Gesetzes entspricht. Auf...

Kommentieren


Folgen Sie uns
       


Analyse zum Apple-Event - Golem.de live

Die Golem.de-Redakteure Tobias Költzsch und Michael Wieczorek besprechen die drei neuen iPhones und die Neuerungen bei der Apple Watch 4.

Analyse zum Apple-Event - Golem.de live Video aufrufen
Pixel 3 XL im Test: Algorithmen können nicht alles
Pixel 3 XL im Test
Algorithmen können nicht alles

Google setzt beim Pixel 3 XL alles auf die Kamera, die dank neuer Algorithmen nicht nur automatisch blinzlerfreie Bilder ermitteln, sondern auch einen besonders scharfen Digitalzoom haben soll. Im Test haben wir allerdings festgestellt, dass auch die beste Software keine Dual- oder Dreifachkamera ersetzen kann.
Ein Test von Tobias Költzsch

  1. Android Google-Apps könnten Hersteller bis zu 40 US-Dollar kosten
  2. Google Pixel-Besitzer beklagen nicht abgespeicherte Fotos
  3. Dragonfly Google schweigt zu China-Plänen

Apple Watch im Test: Auch ohne EKG die beste Smartwatch
Apple Watch im Test
Auch ohne EKG die beste Smartwatch

Apples vierte Watch verändert das Display-Design leicht - zum Wohle des Nutzers. Die Uhr bietet immer noch mit die beste Smartwatch-Erfahrung, auch wenn eine der neuen Funktionen in Deutschland noch nicht funktioniert.
Ein Test von Tobias Költzsch

  1. Neues Produkt USB-C-Ladekabel für die Apple Watch vorgestellt
  2. Skydio R1 Apple Watch zur Drohnensteuerung verwendet
  3. Smartwatch Apple Watch Series 4 mit EKG und Sturzerkennung

Probefahrt mit Tesla Model 3: Wie auf Schienen übers Golden Gate
Probefahrt mit Tesla Model 3
Wie auf Schienen übers Golden Gate

Die Produktion des Tesla Model 3 für den europäischen Markt wird gerade vorbereitet. Golem.de hat einen Tag in und um San Francisco getestet, was Käufer von dem Elektroauto erwarten können.
Ein Erfahrungsbericht von Friedhelm Greis

  1. 1.000 Autos pro Tag Tesla baut das hunderttausendste Model 3
  2. Goodwood Festival of Speed Tesla bringt Model 3 erstmals offiziell nach Europa
  3. Elektroauto Produktionsziel des Tesla Model 3 erreicht

    •  /