Internet der Dinge: Kalifornien verbietet schlechte Passwörter

Heutzutage gibt es viele Dinge, die vernetzt werden: Spielzeug-Puppen sind genauso darunter wie elektrische Zahnbürsten, smarte Lampen oder Herzschrittmacher. Viele Hersteller im Gadget- und Smart-Home-Bereich schenken dem Thema IT-Security dabei meist nur eine geringe Aufmerksamkeit und liefern die Produkte mit ungesicherten Bluetooth-Verbindungen und einem fixen Standard-Passwort, das nicht vom Kunden geändert werden kann, aus.

Das ist jedoch zunehmend ein Problem, denn genau diese Standard-Passwörter tauchen im Netz auf und Fremde können sich aus der Ferne in Geräte einloggen und diese entweder fremdsteuern, oder zumindest mitlauschen. Außerdem können die Geräte, ohne dass die Besitzer etwas davon ahnen, in sogenannte Botnets integriert werden. Dann folgt die Spielzeug-Puppe plötzlich einem fremden Auftraggeber und wird genutzt, um Spam zu versenden oder andere vernetzte Geräte mit Schadprogrammen zu infizieren.

Sicherheitsfeatures

Kalifornien hat nun als erster US-Bundesstaat ein Cybersecurity-Gesetz für das Internet der Dinge verabschiedet, mit dem derartige Entwicklungen verhindert werden sollen. Ab 1. Jänner 2020 müssen Hersteller von internetfähigen Geräten diese mit „verhältnismäßigen“ Sicherheitsfeatures ausstatten. Sie müssen verhindern, dass auf die Dinge unautorisiert zugegriffen wird oder diese verändert werden können.

Wenn die vernetzten Dinge außerhalb eines lokalen Netzwerkes mit einem Passwort zugänglich gemacht werden, müssen diese entweder mit einem einzigartigen Passwort, das für jedes Gerät anders ist, ausgestattet werden oder Nutzer müssen vom Hersteller dazu gezwungen werden, das ausgelieferte Standard-Passwort vor der ersten Nutzung in ein selbstgewähltes zu ändern. Damit soll verhindert werden, dass diverse Passwort-Listen im Netz landen und es Angreifern leicht gemacht wird, die vernetzte Zahnbürste oder die smarte Lampe zu übernehmen.

Reaktionen und Auswirkungen

Das neue Gesetz in Kalifornien wird von vielen Sicherheitsforschern als „erster guter Schritt“ bezeichnet. Sowohl der Cybersecurity-Experte Robert Graham als auch der IT-Spezialist Bruce Schneier finden vor allem das Passwort-Feature als sehr hilfreich, um Angriffe auf derartiger Dinge, die im Netz sind, zu erschweren. Laut Graham dürfe man aber nicht die anderen Authentifizierungsverfahren vergessen, die keine Passwörter sind. Man könne trotzdem Sicherheitslücken in Produkte einbauen, die zu Botnets führen können, heißt es in einem Bericht von The Verge.

Auch wenn das Gesetz vorerst nur in einem US-Bundesstaat gelten wird, werden Hersteller diese Sicherheitsvorteile auch in anderen US-Staaten implementieren, vielleicht sogar weltweit. Nach dem Einführen der EU-Datenschutzverordnung haben viele Unternehmen die Privatsphäre-Features auch in den USA eingeführt und ausgerollt. Es bleibt zu hoffen, dass ein derartiges Gesetz in Kalifornien auch eine ähnliche Wirkung auf Europa haben könnte.

Auf US-Bundesebene ist es bislang im Cybersecurity-Bereich für vernetzte Dinge zu keiner Einigung gekommen. Zwar gibt es den „IoT Cybersecurity Improvement Act“ von 2017, der minimale Standards vorschreibt, aber dieser wurde noch nicht verabschiedet.

Entwicklungen in Europa

Auch in Europa wird derzeit an einem „Cybersecurity Act“ gearbeitet, der allerdings nicht spezifisch auf vernetzte Geräte abzielt, sondern weiter gefasst ist. Es geht dabei darum, alle IT-Produkte für Bürger, Unternehmen und öffentliche Verwaltung sicherer zu machen. Dazu will die EU einen gemeinsamen Rahmen in einem Verordnungsvorschlag schaffen. Vorgesehen ist das Anbieten einer freiwilligen Zertifizierung von den Herstellern, die dann damit werben können, dass sie ein „Sicherheitszertifikat“ vorweisen können.  

Dies ist allerdings bestenfalls ein „erster Schritt“, denn die Zertifizierung eines Produkts „kann immer nur eine Momentaufnahme sein“, wie Jan-Peter Kleinhans, IoT-Experte bei der Stiftung Neue Verantwortung, in einer Analyse schreibt. Um das IT-Sicherheitsniveau für internetfähige Produkte in Europa anzuheben, müsste sie ähnlich wie in Kalifornien weniger auf „Freiwilligkeit“ und mehr auf Mindeststandards setzen. Nur so würden sich Verbraucher und Unternehmen besser vor unüberschaubaren Risiken schützen können. Diese dazu praktisch herstellerseitig dazu zu zwingen, ihre Passwörter zu ändern, wäre auch in Europa ein guter, erster Schritt.