Der US-Bundesstaat  verabschiedete jetzt ein Gesetz, das in vernetzten Geräten Standardpasswörter verbietet. Damit ist eine der großen Schwachstellen, die unteranderem von der bekannten Mirai-Malware genutzt wird abgestellt.

Erst kürzlich stellten Experten des österreichischen Sicherheitsunternehmen SEC Consult fest, dass millionen Kameras und Videorekorder, die der chinesischen Hersteller Xiongmai unter mehr als 100 averschiedenen Markennamen vertreibt, über verschiedene Schwachstellen angreifbar sind. Eine davon sind die jetzt in Kalifornien gesetzlich verbotenen  Standartpasswörter. Das Standartpasswort für den Administrator (Benutzername „admin“) der Geräte war leer und in der Software ist auch ein undokumentierter Nutzer (Benutzername „default“) angelegt, dessen Passwort   „tluafed“, also „default“ rückwärts geschrieben, lautet. Beide Passwörter sind also nicht randomisiert, noch besonders abstrakt. Das die Geräte sich auch noch über einen firmeneigenen Cloud-Dienst (XMEye P2P Cloud) vom Nutzer weltweit über das Internet zugänglich sind macht den Einfallsweg noch einfacher.

Mit gesetzlichen Maßnahmen, wie sie jetzt in Kalifornien beschlossen wurden, können diese Schwachstellen leicht und effektiv beseitigen. Auch für die Hersteller ist die Lösung attraktiv, da sie die Maßnahme sicherlich günstiger kommt, als gesetzlich verpflichtende Sicherheitsupdates, die neben höheren Kosten auch bürokratische und organisatorische Hürden beinhalten würden.

Auch wenn das Gesetz nur für einen Bundesstaat gilt, könnte das Gesetz weit darüber hinaus Auswirkungen haben. Das nun viele Hersteller spezielle Versionen ihrer Geräte nur für Kalifornien produzieren und im Rest der Welt unsicherere Varianten verkauft ist nicht anzunehmen. Es dürfte billiger und einfacher sein dieselben Schutzmaßnahmen für alle Geräte weltweit durchzuführen.

Mehr dazu erfahren Sie auf unseren StrategieTagen Internet of Things am 22. und 23. November 2018.