Abo
  • Services:

Passwörter: Eine vernünftige Maßnahme gegen den IoT-Irrsinn

Kalifornien verabschiedet ein Gesetz, das Standardpasswörter verbietet. Das ist ein Schritt in die richtige Richtung, denn es setzt beim größten Problem von IoT-Geräten an und ist leicht umsetzbar.

Ein IMHO von Hanno Böck veröffentlicht am
Die Mirai-Malware, deren Quellcode hier zu sehen ist, nutzte bekannte Standardpasswörter, um möglichst viele IoT-Geräte zu hacken.
Die Mirai-Malware, deren Quellcode hier zu sehen ist, nutzte bekannte Standardpasswörter, um möglichst viele IoT-Geräte zu hacken. (Bild: Mirai-Quellcode/Screenshot: Golem.de)

Es war ein Angriff auf die Pressefreiheit: Das Blog des Journalisten Brian Krebs wurde Opfer einer sogenannten Distributed-Denial-of-Service-Attacke (DDoS). Der Grund für den Angriff dürfte gewesen sein, dass Krebs regelmäßig über dubiose Firmen berichtet, die solche Attacken als Dienstleistung verkaufen.

Stellenmarkt
  1. Deutsche Post DHL Group, Frankfurt am Main
  2. Bayerischer Verwaltungsgerichtshof, München

Der Angriff auf Krebs hatte eine neue Dimension. Akamai, eine Firma, die bis dahin Brian Krebs' Blog kostenlos vor solchen Atacken geschützt hatte, nahm dessen Webseite daraufhin vom Netz. Der Angriff erfolgte durch unzählige vernetzte Geräte wie Kameras und Home-Router, die gehackt wurden, weil man sich auf sie mit Standardpasswörtern einloggen konnte.

Herstellern ist Sicherheit oft völlig egal

Krebs war damit das erste prominente Opfer einer neuen Welle von Angriffen, die vom sogenannten Internet der Dinge ausgingen. Egal ob Kameras, Kaffeemaschinen oder Glühbirnen: Immer mehr Geräte lassen sich heutzutage mit dem Internet verbinden. Und die Sicherheit? Die ist vielen Herstellern völlig egal. Diese Nachlässigkeit bedroht das freie Netz und die Pressefreiheit.

Es ist daher erfreulich, dass die Gesetzgeber in Kalifornien nun einen Versuch starten, dieses Problem zumindest etwas einzudämmen. In einem relativ kurz gehaltenen Gesetz werden Hersteller angewiesen, Geräte mit Standardpasswörtern, die anschließend nicht geändert werden, nicht mehr zu verkaufen.

Sicher wird das Gesetz nicht dafür sorgen, dass alle Sicherheitsprobleme mit IoT-Geräten gelöst werden. Und vereinzelt wird nun Kritik laut, dass das Gesetz nicht noch weiter geht und die Hersteller nicht zu Sicherheitsupdates verpflichtet. Doch es ist ein sinnvoller und schlauer erster Schritt.

Standardpasswörter sind zwar nicht das einzige Problem von IoT-Geräten, sie sind aber bislang das größte. Malware-Botnetze wie Mirai sind wegen sehr einfach ausnutzbarer Sicherheitslücken so groß geworden. Standardpasswörter sind dafür ideal: Sie erlauben es Angreifern oft, mit einfachsten Mitteln Malware auf den Geräten zu installieren.

Es spricht wenig dagegen, Standardpasswörter zu verbieten

Weiterhin gibt es wenig, was dagegen spricht, zumindest dieses Sicherheitsproblem zu verhindern. Standardpasswörter zu vermeiden, dürfte kaum zu unzumutbaren Kosten oder Belastungen für die Hersteller führen.

Hätte man versucht, im selben Gesetz Hersteller zu Sicherheitsupdates zu verpflichten, wären die Hersteller vermutlich Sturm gelaufen. Zudem hätte man viele Details klären müssen. Wie lange müssen Updates bereitgestellt werden? Wie schnell muss ein Hersteller reagieren? Müssen die Updates automatisch durchgeführt werden? Wie schwerwiegend muss eine Sicherheitslücke sein, damit ein Hersteller reagieren muss? Welche Kosten kämen auf die Hersteller zu und wie viel teurer würden Geräte dadurch werden?

Es ist durchaus sinnvoll, diese Diskussion zu führen. Doch eins ist klar: Ein solches Gesetz hätte zu einer Lobbyschlacht und zu einer langen Diskussion über die genauen Details geführt. Und es hätte das ganze Projekt um Jahre verzögert.

Der Vorteil der Regulierung von Standardpasswörtern: Es ist ein relativ klar umrissenes Problem und Gegenmaßnahmen sind leicht umsetzbar.

Auch wenn das Gesetz nur in Kalifornien gilt, ist zu hoffen, dass das Gesetz weit darüber hinaus Auswirkungen haben wird. Es ist nicht anzunehmen, dass viele Hersteller nun ihre Geräte in einer speziellen Version für Kalifornien anbieten und im Rest der Welt weiterhin eine unsichere Variante verkaufen. Denn es dürfte billiger sein, die Schutzmaßnahmen einmal durchzuführen und dann dasselbe Gerät überall zu verkaufen.

IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach).



Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. täglich neue Deals bei Alternate.de
  3. 23,99€

chefin 11. Okt 2018

selbst 1234 ist besser als QweR5t& für alle Geräte eines Herstellers. Den mit QweR5t...

Burnz84 10. Okt 2018

Es geht darum, dass jedes einzelne IoT-Geräte ein einzigartiges PW bekommt. Damit ist...

nuclear 09. Okt 2018

Und zwar genau so wie bei unseren Kunden. Die Geräte müssen vor der ersten Inbetriebname...

/mecki78 09. Okt 2018

Hier werden schon wieder Probleme unnötig aufgebauscht, die eigentlich gar keine sind. So...

kn4llfrosch 09. Okt 2018

"Es wird genau so viel gemacht werden, dass man den Wortlaut des Gesetzes entspricht. Auf...


Folgen Sie uns
       


Anno 1800 angespielt

Anno 1800 in der Vorschau: Wir konnten Blue Bytes Aufbautitel einige Zeit lang spielen, genauer gesagt, bis einschließlich der dritten von fünf Zivilisationsstufen. Anno 1800 orientiert sich mehr an Anno 1404 und nicht an den in der Zukunft angesiedelten direkten Vorgängern.

Anno 1800 angespielt Video aufrufen
Asana-Gründer im Gespräch: Die Konkurrenz wird es schwer haben, zu uns aufzuschließen
Asana-Gründer im Gespräch
"Die Konkurrenz wird es schwer haben, zu uns aufzuschließen"

Asana ist aktuell recht erfolgreich im Bereich Business-Software - zahlreiche große Unternehmen arbeiten mit der Organisationssuite. Für Mitgründer Justin Rosenstein geht es aber nicht nur ums Geld, sondern auch um die Unternehmenskultur - nicht nur bei Asana selbst.
Ein Interview von Tobias Költzsch


    Radeon VII im Test: Die Grafikkarte für Videospeicher-Liebhaber
    Radeon VII im Test
    Die Grafikkarte für Videospeicher-Liebhaber

    Höherer Preis, ähnliche Performance und doppelt so viel Videospeicher wie die Geforce RTX 2080: AMDs Radeon VII ist eine primär technisch spannende Grafikkarte. Bei Energie-Effizienz und Lautheit bleibt sie chancenlos, die 16 GByte Videospeicher sind eher ein Nischen-Bonus.
    Ein Test von Marc Sauter und Sebastian Grüner

    1. Grafikkarte UEFI-Firmware lässt Radeon VII schneller booten
    2. AMD Radeon VII tritt mit PCIe Gen3 und geringer DP-Rate an
    3. Radeon Instinct MI60 AMD hat erste Grafikkarte mit 7 nm und PCIe 4.0

    Tesla: Kleiner Gewinn, ungewisse Zukunft
    Tesla
    Kleiner Gewinn, ungewisse Zukunft

    Tesla erzielt im vierten Quartal 2018 einen kleinen Gewinn. Doch mit Entlassungen, Schuldenberg, Preisanhebungen beim Laden, Wegfall des Empfehlungsprogramms und zunehmendem Wettbewerb durch andere Hersteller sieht die Zukunft des Elektroauto-Herstellers durchwachsen aus.
    Eine Analyse von Dirk Kunde

    1. Tesla Model 3 Tesla macht alle Varianten des Model 3 günstiger
    2. Kundenprotest Tesla senkt Supercharger-Preise wieder
    3. Stromladetankstellen Tesla erhöht Supercharger-Preise drastisch

      •  /