Abo
  • Services:

Passwörter: Eine vernünftige Maßnahme gegen den IoT-Irrsinn

Kalifornien verabschiedet ein Gesetz, das Standardpasswörter verbietet. Das ist ein Schritt in die richtige Richtung, denn es setzt beim größten Problem von IoT-Geräten an und ist leicht umsetzbar.

Ein IMHO von Hanno Böck veröffentlicht am
Die Mirai-Malware, deren Quellcode hier zu sehen ist, nutzte bekannte Standardpasswörter, um möglichst viele IoT-Geräte zu hacken.
Die Mirai-Malware, deren Quellcode hier zu sehen ist, nutzte bekannte Standardpasswörter, um möglichst viele IoT-Geräte zu hacken. (Bild: Mirai-Quellcode/Screenshot: Golem.de)

Es war ein Angriff auf die Pressefreiheit: Das Blog des Journalisten Brian Krebs wurde Opfer einer sogenannten Distributed-Denial-of-Service-Attacke (DDoS). Der Grund für den Angriff dürfte gewesen sein, dass Krebs regelmäßig über dubiose Firmen berichtet, die solche Attacken als Dienstleistung verkaufen.

Stellenmarkt
  1. Heitmann IT GmbH, Hamburg
  2. netvico GmbH, Stuttgart

Der Angriff auf Krebs hatte eine neue Dimension. Akamai, eine Firma, die bis dahin Brian Krebs' Blog kostenlos vor solchen Atacken geschützt hatte, nahm dessen Webseite daraufhin vom Netz. Der Angriff erfolgte durch unzählige vernetzte Geräte wie Kameras und Home-Router, die gehackt wurden, weil man sich auf sie mit Standardpasswörtern einloggen konnte.

Herstellern ist Sicherheit oft völlig egal

Krebs war damit das erste prominente Opfer einer neuen Welle von Angriffen, die vom sogenannten Internet der Dinge ausgingen. Egal ob Kameras, Kaffeemaschinen oder Glühbirnen: Immer mehr Geräte lassen sich heutzutage mit dem Internet verbinden. Und die Sicherheit? Die ist vielen Herstellern völlig egal. Diese Nachlässigkeit bedroht das freie Netz und die Pressefreiheit.

Es ist daher erfreulich, dass die Gesetzgeber in Kalifornien nun einen Versuch starten, dieses Problem zumindest etwas einzudämmen. In einem relativ kurz gehaltenen Gesetz werden Hersteller angewiesen, Geräte mit Standardpasswörtern, die anschließend nicht geändert werden, nicht mehr zu verkaufen.

Sicher wird das Gesetz nicht dafür sorgen, dass alle Sicherheitsprobleme mit IoT-Geräten gelöst werden. Und vereinzelt wird nun Kritik laut, dass das Gesetz nicht noch weiter geht und die Hersteller nicht zu Sicherheitsupdates verpflichtet. Doch es ist ein sinnvoller und schlauer erster Schritt.

Standardpasswörter sind zwar nicht das einzige Problem von IoT-Geräten, sie sind aber bislang das größte. Malware-Botnetze wie Mirai sind wegen sehr einfach ausnutzbarer Sicherheitslücken so groß geworden. Standardpasswörter sind dafür ideal: Sie erlauben es Angreifern oft, mit einfachsten Mitteln Malware auf den Geräten zu installieren.

Es spricht wenig dagegen, Standardpasswörter zu verbieten

Weiterhin gibt es wenig, was dagegen spricht, zumindest dieses Sicherheitsproblem zu verhindern. Standardpasswörter zu vermeiden, dürfte kaum zu unzumutbaren Kosten oder Belastungen für die Hersteller führen.

Hätte man versucht, im selben Gesetz Hersteller zu Sicherheitsupdates zu verpflichten, wären die Hersteller vermutlich Sturm gelaufen. Zudem hätte man viele Details klären müssen. Wie lange müssen Updates bereitgestellt werden? Wie schnell muss ein Hersteller reagieren? Müssen die Updates automatisch durchgeführt werden? Wie schwerwiegend muss eine Sicherheitslücke sein, damit ein Hersteller reagieren muss? Welche Kosten kämen auf die Hersteller zu und wie viel teurer würden Geräte dadurch werden?

Es ist durchaus sinnvoll, diese Diskussion zu führen. Doch eins ist klar: Ein solches Gesetz hätte zu einer Lobbyschlacht und zu einer langen Diskussion über die genauen Details geführt. Und es hätte das ganze Projekt um Jahre verzögert.

Der Vorteil der Regulierung von Standardpasswörtern: Es ist ein relativ klar umrissenes Problem und Gegenmaßnahmen sind leicht umsetzbar.

Auch wenn das Gesetz nur in Kalifornien gilt, ist zu hoffen, dass das Gesetz weit darüber hinaus Auswirkungen haben wird. Es ist nicht anzunehmen, dass viele Hersteller nun ihre Geräte in einer speziellen Version für Kalifornien anbieten und im Rest der Welt weiterhin eine unsichere Variante verkaufen. Denn es dürfte billiger sein, die Schutzmaßnahmen einmal durchzuführen und dann dasselbe Gerät überall zu verkaufen.

IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach).



Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. ab 99,98€
  3. ab 399€

chefin 11. Okt 2018 / Themenstart

selbst 1234 ist besser als QweR5t& für alle Geräte eines Herstellers. Den mit QweR5t...

Burnz84 10. Okt 2018 / Themenstart

Es geht darum, dass jedes einzelne IoT-Geräte ein einzigartiges PW bekommt. Damit ist...

nuclear 09. Okt 2018 / Themenstart

Und zwar genau so wie bei unseren Kunden. Die Geräte müssen vor der ersten Inbetriebname...

/mecki78 09. Okt 2018 / Themenstart

Hier werden schon wieder Probleme unnötig aufgebauscht, die eigentlich gar keine sind. So...

kn4llfrosch 09. Okt 2018 / Themenstart

"Es wird genau so viel gemacht werden, dass man den Wortlaut des Gesetzes entspricht. Auf...

Kommentieren


Folgen Sie uns
       


FritzOS 7 - Test

FritzOS 7 steckt voller sinnvoller Neuerungen: Im Test gefallen uns der einfach einzurichtende WLAN-Gastzugang und die praktische Mesh-Übersicht. Nachholbedarf gibt es aber noch bei der NAS-Funktion.

FritzOS 7 - Test Video aufrufen
Athlon 200GE im Test: Celeron und Pentium abgehängt
Athlon 200GE im Test
Celeron und Pentium abgehängt

Mit dem Athlon 200GE belebt AMD den alten CPU-Markennamen wieder: Der Chip gefällt durch seine Zen-Kerne und die integrierte Vega-Grafikeinheit, die Intel-Konkurrenz hat dem derzeit preislich wenig entgegenzusetzen.
Ein Test von Marc Sauter

  1. AMD Threadripper erhalten dynamischen NUMA-Modus
  2. HP Elitedesk 705 Workstation Edition Minitower mit AMD-CPU startet bei 680 Euro
  3. Ryzen 5 2600H und Ryzen 7 2800H 45-Watt-CPUs mit Vega-Grafik für Laptops sind da

Neuer Kindle Paperwhite im Hands On: Amazons wasserdichter E-Book-Reader mit planem Display
Neuer Kindle Paperwhite im Hands On
Amazons wasserdichter E-Book-Reader mit planem Display

Amazon bringt einen neuen Kindle Paperwhite auf den Markt und verbessert viel. Der E-Book-Reader steckt in einem wasserdichten Gehäuse, hat eine plane Displayseite, mehr Speicher und wir können damit Audible-Hörbücher hören. Noch nie gab es so viel Kindle-Leistung für so wenig Geld.
Ein Hands on von Ingo Pakalski


    Apple Watch im Test: Auch ohne EKG die beste Smartwatch
    Apple Watch im Test
    Auch ohne EKG die beste Smartwatch

    Apples vierte Watch verändert das Display-Design leicht - zum Wohle des Nutzers. Die Uhr bietet immer noch mit die beste Smartwatch-Erfahrung, auch wenn eine der neuen Funktionen in Deutschland noch nicht funktioniert.
    Ein Test von Tobias Költzsch

    1. Skydio R1 Apple Watch zur Drohnensteuerung verwendet
    2. Smartwatch Apple Watch Series 4 mit EKG und Sturzerkennung
    3. Smartwatch Apple Watch Series 4 nur mit sechs Modellen

      •  /