Vernetzte Kühlschränke lassen sich mit Passwort 1234 abschalten

Tausende Kühlschränke mit Software des US-Herstellers Resource Data Management können über das Internet ferngesteuert werden. Der Zugang ist relativ einfach möglich: Die voreingestellten Log-in-Daten, inklusive Passwort „1234“, sind auf den meisten Geräten noch gesetzt. Das hat das Security-Unternehmen Safety Detective in Zusammenarbeit mit israelischen Sicherheitsforschern herausgefunden. 

Demnach lassen sich allein über die IoT-Suchmaschine Shodan 7419 betroffene Geräte auffinden. Diese sind offenbar auf der ganzen Welt im Einsatz, unter anderem in Supermärkten, Krankenhäusern und bei Pharmakonzernen. Zu den betroffenen Ländern zählen unter anderem Deutschland, Großbritannien, Australien, die Niederlande und Island. Ob auch österreichische Unternehmen die Systeme von Resource Data Management verwenden, ist unklar.

Die Web-Oberfläche ist über eine unverschlüsselte HTTP-URL und den Port 9000 erreichbar, in einigen Fällen sogar über die Ports 8080, 8100 oder 80. Über diese lässt sich die Temperatur auf allen vernetzten Kühlgeräten anpassen und diese sogar relativ einfach abschalten. Details, wie sich die URL auffinden lässt, verrieten die Sicherheitsforscher jedoch nicht.

Kunden selbst für Passwörter verantwortlich

Diese versuchten auch den Hersteller zu warnen, der jedoch mit großem Desinteresse reagierte. Zunächst reagierte man nicht, bei einer Anfrage auf Social Media bat man sogar darum, die Kontaktaufnahme zu unterlassen. Nach Veröffentlichung des Blogeintrages gab man jedoch ein Statement ab.

Dabei verweist man auf die Eigenverantwortung ihrer Kunden: „Wir haben keine Kontrolle darüber, wie unsere Systeme eingerichtet werden, weswegen wir davon ausgehen, dass ihr Artikel an unsere Nutzer und Kunden gerichtet ist.“ Man werde jedoch alle Kunden kontaktieren und sie daran erinnern, wie wichtig es ist, ein selbst gewähltes Passwort zu setzen.

Im US-Bundesstaat Kalifornien verbietet ein kürzlich verabschiedetes Gesetz ab 2020, dass vernetzte Geräte für den Massenmarkt mit derartigen Standard-Passwörtern ausgeliefert werden. Zudem müssen Nutzer beim Einrichten zum Setzen eines neuen Passwortes gezwungen werden.