Original-URL des Artikels: https://www.golem.de/news/iot-sicherheitsluecken-kalifornien-verbietet-standard-passwoerter-1810-136988.html    Veröffentlicht: 08.10.2018 12:50    Kurz-URL: https://glm.io/136988

IoT-Sicherheitslücken

Kalifornien verbietet Standard-Passwörter

Ein kürzlich verabschiedetes Gesetz in Kalifornien soll für mehr Sicherheit bei vernetzten Geräten sorgen. Der wichtigste Punkt: Geräte müssen entweder einmalige Passwörter haben oder die Nutzer bei Inbetriebnahme zum Passwortwechsel zwingen.

Im US-Bundesstaat Kalifornien wurde ein Gesetz verabschiedet, das die Sicherheit von vernetzten Geräten reguliert. Insbesondere ist dabei vorgesehen, dass ab 2020 Geräte nicht mehr mit Standardpasswörtern ausgeliefert werden dürfen. Eine Motivation für dieses Gesetz dürfte das Mirai-Botnetz sein, bei dem vernetzte Geräte mit Standardpasswörtern massenhaft gehackt wurden.

Das Gesetz mit dem Titel "SB-327 Information privacy: connected devices" wurde Ende September vom kalifornischen Senat verabschiedet. Es sieht demnach vor, dass vernetzte Geräte mit Sicherheitsfunktionen ausgestattet sind, die für die jeweilige Funktion und die vom Gerät verarbeiteten Daten angemessen sind.

Einmaliges Passwort oder Änderung bei Inbetriebnahme

Neben dieser vagen Anforderung, die sicherlich einigen Interpretationsspielraum lässt, gibt es eine sehr konkrete Anforderung an Passwörter: Hersteller haben demnach entweder die Möglichkeit, jedes Gerät mit einem einmaligen Passwort auszustatten, oder die Geräte müssen so gestaltet sein, dass das initiale Passwort geändert werden muss, bevor das Gerät in Betrieb genommen wird.

Geräte mit Standardpasswörtern haben in der Vergangenheit zu massiven Sicherheitsproblemen geführt. Im Jahr 2016 sorgte etwa das sogenannte Mirai-Botnetz für Ärger und zeigte, welche Gefahren das Internet der Dinge mit sich bringt.

Massenhaft wurden dabei vernetzte Geräte wie Router oder IP-Kameras mit der Mirai-Malware infiziert und anschließend für Denial-of-Service-Angriffe missbraucht. Zu den Opfern von Mirai gehörten die Webseite des Journalisten Brian Krebs, der französische Hosting-Provider OVH und der DNS-Service Dyn.

Der Grund, warum sich Mirai so rasant ausbreiten konnte: Auf vielen Geräten konnte man sich mit trivialen Standardnutzernamen und Passwörtern wie admin/admin einloggen. Selbst wenn eine Änderung der Standardpasswörter möglich ist, hilft das nicht viel, da viele Nutzer das Passwort nicht ändern. Im Netz kursieren zahlreiche Listen mit Standard-Logindaten für viele Geräte. Solche Geräte dürfen nach dem neuen Gesetz in Kalifornien bald nicht mehr verkauft werden.  (hab)


Verwandte Artikel:
Passwörter geleakt: Datenschützer prüft Sanktionen gegen Knuddels   
(11.09.2018, https://glm.io/136501 )
Hochspannungsleitung: Drohne verursacht Blackout   
(12.06.2017, https://glm.io/128315 )
Microsoft: Oktober-Update von Windows 10 IoT bringt zehn Jahre Support   
(08.10.2018, https://glm.io/136987 )
Sicherheit: Fünf von sechs Routern enthalten bekannte Sicherheitslücken   
(05.10.2018, https://glm.io/136957 )
Zero-Day: Überwachungskameras können übernommen und manipuliert werden   
(18.09.2018, https://glm.io/136621 )

© 1997–2019 Golem.de, https://www.golem.de/