Grossbritannien will Passwörter wie "123456" für smarte Geräte verbieten

26. November 2021, 10:53
image

Herstellern und Händlern soll verboten werden, internetfähige Devices mit simplem Standard-Passwort auszuliefern. Der Gesetzesentwurf kommt spät, er sollte Schule machen.

Die britische Regierung will einfache Standardpasswörter für Internet-of-Things-Geräte verbieten. Hersteller, Importeure und Verkäufer sollen künftig internetfähige Kühlschränke, Fernseher, Lautsprecher aber auch Kameras, Router oder Gamekonsolen nicht mehr mit Passwörtern wie "123456" ausliefern dürfen. Unternehmen, die sich nicht an die Bestimmung halten, müssen dann mit hohen Geldstrafen rechnen. Ein solcher Entscheid könnte richtungsweisend sein… sollte er zumindest.
Es ist ein altbekanntes Security-Problem, dass die Default-Passwörter von Geräten, die ans Internet gehängt werden, simple illegale Zugriffe per Bruteforce-Attacken oder sogar wegen bekannten Kombinationen erlauben. Über diese Eintrittspforte gelangen Kriminelle in die Systeme von Heimnetzwerken und können sich dort ausbreiten. Die Anzahl dieser Geräte steigt enorm, bis 2030 sollen bis zu 50 Milliarden am Netz angeschlossen sein, wie britische Behörden in der Erläuterung zum Gesetz schreiben.
Bis letztes Jahr machten zudem regelmässig riesige Bot-Netze wie "Mirai" mit hunderttausenden gekaperten IoT-Geräten von sich Reden, mit denen immense DDoS-Angriffe gefahren wurden. Derzeit kämpfen verschiedene Botnets um die Vorherrschaft, so dass sie jeweils nicht über ein paar Tausend Geräte hinauskommen. Das muss aber nicht so bleiben, wie Security-Forscher warnten.
Der Entwurf des Cybersecurity-Gesetzes aus Grossbritannien ist darum wichtig und schliesslich gibt es auch Regeln für die physische Produktesicherheit. Der entsprechende Teil der "Product Security and Telecommunications Infrastructure Bill" besteht im Wesentlichen aus drei Regeln:
  • Einfache Standardpasswörter, die auf den Geräten vorinstalliert sind, sind verboten. Alle Produkte benötigen eindeutige Passwörter, die nicht auf die Werkseinstellungen zurückgesetzt werden können.
  • Kunden müssen beim Kauf eines Geräts darüber informiert werden, wie lange es mindestens mit wichtigen Sicherheitsupdates und Patches versorgt wird. Wenn ein Produkt beides nicht erhält, muss dies offengelegt werden.
  • Sicherheitsforscher erhalten von den Herstellern im Rahmen einer Vulnerability Disclosure Policy einen offiziellen Kontakt, um auf Schwachstellen und Fehler in deren Geräte hinzuweisen.
Die Einhaltung der Regeln sollen von einer Aufsichtsbehörde überwacht werden, die ernannt wird, wenn das Gesetz in Kraft tritt. Diese wird die Befugnis für erhebliche Geldstrafen erhalten: Bei Verstössen können bis zu 10 Millionen Pfund (rund 12,3 Millionen Franken) oder 4% des globalen Umsatzes einer Firma als Strafe verhängt werden. Reagiert das Unternehmen nicht umgehend, könne weitere fast 25'000 Franken pro Tag fällig werden.
Ausgenommen vom Gesetz sind Laptops und Desktop-Computer sowie Second-Hand-Geräte. User können also weiterhin auf ihren Geräten und Accounts einfache Passwörter benutzen. Die Rangliste der Schweizer Sorglosigkeiten haben wir kürzlich besprochen.

Loading

Mehr zum Thema

image

Steht das Vorzeige-Startup Ava vor dem Aus?

Die ehemalige Ava-Chefin Lea von Bidder hat den neuen Eigentümer betrieben. Der Chef von Femtec Health reagiert mit Drohungen.

publiziert am 30.1.2023
image

Cyberkriminelle erbeuten Kundendaten der Online-Apotheke DocMorris

Bei dem Cyberangriff haben unbekannte Täter 20'000 Kundenkonten kompromittiert. Die Online-Apotheke gehört zur Schweizer "Zur Rose"-Gruppe.

publiziert am 27.1.2023
image

Wegen Whatsapp: Bank wälzt Millionen-Busse auf Angestellte ab

Finanzregulatoren hatten mehreren Banken wegen der Nutzung von Whatsapp hohe Bussen auferlegt. Morgan Stanley reicht diese nun an Mitarbeitende weiter.

publiziert am 27.1.2023
image

Schwerer Schlag gegen eine der erfolgreichsten Ransomware-Banden

Die Gruppe Hive hatte unter anderen Emil Frey und Media Markt attackiert. Jetzt haben das FBI, Europol und weitere Behörden die Hive-Infrastruktur ausgeschaltet.

publiziert am 27.1.2023