Standardpasswörter sind des Hackers Freud und des Nutzers Leid! Passwörter wie “123456”, “admin” oder “password” sind nicht erst seit dem Internet-of-Things ein Problem in der IT-Sicherheit. Kriminelle Hacker verwenden solche einfachen Passwörter bereits seit Jahren, um in Systeme einzudringen. Seit dem Erscheinen des Internet-of-Things hat das Problem der Standardpasswörter jedoch ein bisher unbekanntes Ausmaß erreicht. Im Jahr 2016 kompromittierte beispielsweise die Mirai genannte Schadsoftware bis zu 600.000 Internet-of-Things-Geräte, wie Router oder Überwachungskameras, über Standardpasswörter und nutzte die Geräte um großangelegte Denial-of-Service-Angriffe durchzuführen.

Um solche Vorfälle zu verhindern, hat die Regierung des US-Bundesstaates Kalifornien nun ein Gesetz verabschiedet, dass die Verwendung von Standardpasswörtern in IoT-Geräten untersagt. Konkret fordert das Gesetz, dass Hersteller internetfähiger Geräte Sicherheitsmaßnahmen vorsehen müssen, die angemessen sind, die Geräte vor unberechtigtem Zugriff zu schützen und deren Missbrauch zu verhindern. Geräte, die auch außerhalb eines lokalen Netzwerkes verwendet werden können, müssen vom Hersteller mit einem einzigartigen Passwort versehen werden oder einen Mechanismus zur Änderung des Passwortes durch den Nutzer vor erstmaliger Inbetriebnahme vorsehen.

Was heißt das jetzt im Idealfall?

Internetfähige Geräte, die in Kalifornien vertrieben werden sollen, besitzen ab dem 01.01.2020 keine Standardpasswörter mehr. Allerdings bleibt das Gesetz relativ vage und der Fokus auf Passwörter ist zu strikt. Größere Probleme wie fehlende Isolation dieser Geräte oder Sicherheitslücken durch unzureichende Versorgung mit Sicherheitsupdates werden nicht angegangen. So nutzen verschiedene andere Varianten von Mirai oder ähnlicher Schadsoftware vermehrt andere öffentlich bekannte Schwachstellen, die aufgrund von mangelndem Support nicht durch Sicherheitsupdates geschlossen wurden.

Es ist jedoch definitiv ein Schritt in die richtige Richtung. Ohne großflächig eingesetzte Standardpasswörter gibt es einen (leichten) Angriffsweg weniger, den kriminelle Hacker ausnutzen können. Somit ist das Gesetz ein Minimalstandard. Es zwingt Hersteller dazu sich zumindest grundlegend mit Sicherheitsmechanismen zu beschäftigen, bei denen Sicherheitsfragen sonst komplett unter den Tisch gefallen wären. Eine Erweiterung und Konkretisierung des Gesetzes bzw. ein weltweiter Standard wären jedoch wünschenswert.