Schlechte Passwörter machen Cyberkriminellen allzu leichtes Spiel. Das ist altbekannt. Aber kann man die User zum Wählen „besserer“ Passwörter zwingen? Ja, kann man – in Kalifornien: Dort wurde nämlich vor kurzem per Gesetz beschlossen, dass Standard-Passwörter keine Existenzberechtigung haben. Im Sinne der erhöhten Sicherheit von vernetzten Geräten müssen deren Hersteller bis 2020 einige Maßnahmen umsetzen. Darunter jene, dass jedes Gerät ein einmaliges Passwort haben muss. Oder, das etwas schwierigere Ansinnen, dass der User nicht das Standardpasswort auf seinem Gerät belassen darf. Er muss dazu gezwungen werden, dieses zu ändern, wenn er die Arbeit damit startet.
Inhaltsverzeichnis
Mirai-Botnetz: Massive Attacken via Standard-Zugangsdaten
Das neue Gesetz nennt sich „SB-327 Information privacy: connected devices“ und wurde Ende September verabschiedet. Ziel ist es, dass vernetzte Geräte über bestimmte Schutzfunktionen verfügen, um Sicherheitslücken auszuschließen. Mit dem Mirai-Botnetz ist es Cyberkriminellen 2016 ja gelungen, unzählige Geräte zu hacken, die eben leider nur mit Standardpasswörtern geschützt waren. Also sehr schlecht: Die Hacker konnten sich mit wirklich einfachsten Nutzernamen und Passwörtern Zugang zu Geräten verschaffen. admin/admin wäre so ein Beispiel. Nicht gerade weltbewegend sicher, oder? Zumal es für viele Geräte online leicht herauszufinden ist, wie die Standard-Zugangsdaten lauten.
Wie denn nun genau dieser neue Schutz von vernetzten Geräten auszusehen hat, ist nicht ganz klar umrissen. Eines ist allerdings fix: Die Passwörter müssen stärker sein. Entweder muss jedes Gerät sein eigenes Passwort haben oder eben eine Funktion, die dem User „befiehlt“ das Werks-Passwort sofort zu ändern. Denn wie der Mensch so ist: Auch wenn du weißt, dass du das Passwort ändern solltest – du verschiebst es vielleicht etc. Also: Zwang muss her.
Klagsmöglichkeit nur für Kommunen und Staatsanwälten
Das neue Gesetz gilt für sämtliche Geräte mit Bluetooth- oder IP-Adresse, die mit dem Internet verbunden werden können. Prinzipiell müssen kalifornische Hersteller also für mehr Sicherheit ihrer Geräte sorgen. Was aber, wenn jemand ein gebrauchtes Gerät kauft? Oder von einer nicht-kalifornischen Marke? Eigentlich sind also viel mehr User als nur die Kalifornier betroffen. Verbraucher können übrigens nachlässige Hersteller nicht selbst klagen. Diese Möglichkeit verbleibt nur Staatsanwälten und Kommunen. Und auch der Vertrieb nicht ausreichend geschützter Geräte selbst ist nicht haftbar.
Gesetzlich vorgeschrieben oder nicht: Eines ist klar, du tust dir selbst jedenfalls einen großen Gefallen, wenn du Standardpasswörter nicht mehr auf deinen Geräten zulässt!
Quelle: golem.de
Erstellt am: 12. Oktober 2018
