Original-URL des Artikels: https://www.golem.de/news/passwoerter-eine-vernuenftige-massnahme-gegen-den-iot-irrsinn-1810-136995.html    Veröffentlicht: 09.10.2018 11:05    Kurz-URL: https://glm.io/136995

Passwörter

Eine vernünftige Maßnahme gegen den IoT-Irrsinn

Kalifornien verabschiedet ein Gesetz, das Standardpasswörter verbietet. Das ist ein Schritt in die richtige Richtung, denn es setzt beim größten Problem von IoT-Geräten an und ist leicht umsetzbar.

Es war ein Angriff auf die Pressefreiheit: Das Blog des Journalisten Brian Krebs wurde Opfer einer sogenannten Distributed-Denial-of-Service-Attacke (DDoS). Der Grund für den Angriff dürfte gewesen sein, dass Krebs regelmäßig über dubiose Firmen berichtet, die solche Attacken als Dienstleistung verkaufen.



Der Angriff auf Krebs hatte eine neue Dimension. Akamai, eine Firma, die bis dahin Brian Krebs' Blog kostenlos vor solchen Atacken geschützt hatte, nahm dessen Webseite daraufhin vom Netz. Der Angriff erfolgte durch unzählige vernetzte Geräte wie Kameras und Home-Router, die gehackt wurden, weil man sich auf sie mit Standardpasswörtern einloggen konnte.

Herstellern ist Sicherheit oft völlig egal

Krebs war damit das erste prominente Opfer einer neuen Welle von Angriffen, die vom sogenannten Internet der Dinge ausgingen. Egal ob Kameras, Kaffeemaschinen oder Glühbirnen: Immer mehr Geräte lassen sich heutzutage mit dem Internet verbinden. Und die Sicherheit? Die ist vielen Herstellern völlig egal. Diese Nachlässigkeit bedroht das freie Netz und die Pressefreiheit.

Es ist daher erfreulich, dass die Gesetzgeber in Kalifornien nun einen Versuch starten, dieses Problem zumindest etwas einzudämmen. In einem relativ kurz gehaltenen Gesetz werden Hersteller angewiesen, Geräte mit Standardpasswörtern, die anschließend nicht geändert werden, nicht mehr zu verkaufen.

Sicher wird das Gesetz nicht dafür sorgen, dass alle Sicherheitsprobleme mit IoT-Geräten gelöst werden. Und vereinzelt wird nun Kritik laut, dass das Gesetz nicht noch weiter geht und die Hersteller nicht zu Sicherheitsupdates verpflichtet. Doch es ist ein sinnvoller und schlauer erster Schritt.

Standardpasswörter sind zwar nicht das einzige Problem von IoT-Geräten, sie sind aber bislang das größte. Malware-Botnetze wie Mirai sind wegen sehr einfach ausnutzbarer Sicherheitslücken so groß geworden. Standardpasswörter sind dafür ideal: Sie erlauben es Angreifern oft, mit einfachsten Mitteln Malware auf den Geräten zu installieren.

Es spricht wenig dagegen, Standardpasswörter zu verbieten

Weiterhin gibt es wenig, was dagegen spricht, zumindest dieses Sicherheitsproblem zu verhindern. Standardpasswörter zu vermeiden, dürfte kaum zu unzumutbaren Kosten oder Belastungen für die Hersteller führen.

Hätte man versucht, im selben Gesetz Hersteller zu Sicherheitsupdates zu verpflichten, wären die Hersteller vermutlich Sturm gelaufen. Zudem hätte man viele Details klären müssen. Wie lange müssen Updates bereitgestellt werden? Wie schnell muss ein Hersteller reagieren? Müssen die Updates automatisch durchgeführt werden? Wie schwerwiegend muss eine Sicherheitslücke sein, damit ein Hersteller reagieren muss? Welche Kosten kämen auf die Hersteller zu und wie viel teurer würden Geräte dadurch werden?

Es ist durchaus sinnvoll, diese Diskussion zu führen. Doch eins ist klar: Ein solches Gesetz hätte zu einer Lobbyschlacht und zu einer langen Diskussion über die genauen Details geführt. Und es hätte das ganze Projekt um Jahre verzögert.

Der Vorteil der Regulierung von Standardpasswörtern: Es ist ein relativ klar umrissenes Problem und Gegenmaßnahmen sind leicht umsetzbar.

Auch wenn das Gesetz nur in Kalifornien gilt, ist zu hoffen, dass das Gesetz weit darüber hinaus Auswirkungen haben wird. Es ist nicht anzunehmen, dass viele Hersteller nun ihre Geräte in einer speziellen Version für Kalifornien anbieten und im Rest der Welt weiterhin eine unsichere Variante verkaufen. Denn es dürfte billiger sein, die Schutzmaßnahmen einmal durchzuführen und dann dasselbe Gerät überall zu verkaufen.

IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach).  (hab)


Verwandte Artikel:
WLAN-Standards umbenannt: Ein Schritt nach vorn ist nicht weit genug   
(04.10.2018, https://glm.io/136936 )
IoT-Sicherheitslücken: Kalifornien verbietet Standard-Passwörter   
(08.10.2018, https://glm.io/136988 )
Hochspannungsleitung: Drohne verursacht Blackout   
(12.06.2017, https://glm.io/128315 )
Passwörter geleakt: Datenschützer prüft Sanktionen gegen Knuddels   
(11.09.2018, https://glm.io/136501 )
Active Directory: Microsoft bewirbt passwortlose Anmeldung in Azure   
(26.09.2018, https://glm.io/136798 )

© 1997–2018 Golem.de, https://www.golem.de/