Internet der Dinge: Kalifornien verbietet Standardpasswörter
Ein Modell für Deutschland?
von Chris Köver
Geräte, die am Internet hängen, müssen in Kalifornien bald ein sicheres Passwort bekommen. Expert*innen halten das aber bestenfalls für einen ersten Schritt in Richtung größerer IT-Sicherheit.
„123456“, „admin“ oder „password“: Solche zeitlosen Standardpasswörter sind im US-Bundesstaat Kalifornien ab dem 1. Januar 2020 verboten. Das verfügt ein neues Cybersecurity-Gesetz, das Kaliforniens Gouverneur Jerry Brown vergangene Woche unterzeichnet hat. Spätestens ab diesem Datum muss jedes neue Gerät, das in Kalifornien auf den Markt kommt und „direkt oder indirekt“ mit dem Netz verbunden ist – vom Router bis zur smarten Glühbirne – mit Sicherheitsfunktionen ausgestattet sein, die einen unzulässigen Zugriff von Außen verhindern. Geräte, die außerhalb eines lokalen Netzwerkes per Passwort erreichbar sind, müssen entweder mit einem einzigartigen Passwort ausgeliefert werden oder Nutzerinnen und Nutzer dazu zwingen, vor der ersten Verwendung ein eigenes Passwort festzulegen.
Die Absicht dahinter: Außenstehende sollen schwache Passwörter nicht einfach erraten und sich so Zugang zu Geräten verschaffen können. In der Vergangenheit waren schlecht gesicherte Heimgeräte wie Router oder smarte Kühlschränke immer wieder von Hacker*innen für sogenannte Botnetze gekapert worden – eine Art Zombie-Armee, die ohne das Wissen und Zutun ihrer Besitzer*innen Spam verschickt, Webseiten mit Überlastungs-Angriffen in die Knie zwingt oder Schadsoftware streut. Das funktioniert unter anderem deswegen, weil Geräte mit bekannten Standardpasswörtern ausgeliefert werden und Nutzer*innen sich nicht die Mühe machen, diese nachträglich zu ändern.
Sicherheitsexpert*innen sind sich uneinig darin, ob das Gesetz eine Verbesserung oder Verschlimmbesserung der Situation darstellt. Manche wie Bruce Schneier halten es für einen wichtigen ersten Schritt. „Vermutlich geht es nicht weit genug – aber das ist kein Grund, es nicht zu verabschieden,“ sagte er der Washington Post. Der Sicherheitsexperte Robert Graham zerlegt den Gesetzestext hingegen als zu vage und bemängelt, der Fokus auf die Passwörter gehe am Problem vorbei. Vernetzte Geräte hätten schließlich nicht nur ein Passwort, sondern eine Reihe von Schnittstellen mit unterschiedlichen Authentifizierungssystemen. Das berüchtigte Botnetz Mirai, das im Jahr 2016 Angriffe fuhr, hatte vor allem andere Schwachstellen genutzt, um die Kontrolle über Geräte zu erlangen. Diese müssten Hersteller*innen auch mit dem neuen Gesetz nicht beheben.
_____________
Ablauf der Entstehung und Verwendung von Botnetzen:
(1) Infizierung ungeschützter Computer, (2) Eingliederung in das Botnet,
(3) Botnetbetreiber verkauft Dienste des Botnets, (4) Ausnutzung des Botnets, etwa für den Versand von Spam
► Minimalstandards: „Ein erster kleiner Schritt in die richtige Richtung“
Das kalifornische Gesetz dürfte Vorbildwirkung für den Rest der USA oder zumindest andere demokratisch dominierte Bundesstaaten haben. Schließlich handelt es sich nicht nur um einen der größten und reichsten US-Staaten, bekanntlich sitzt auch das Silicon Valley in Kalifornien. Das Gesetz könnte sich damit zum de-facto-Standard entwickeln – wer in der achtgrößten Volkswirtschaft der Erde ein Produkt auf den Markt bringen will, muss die Standards ja ohnehin umsetzen. Es spricht wenig dafür, anderen Kund*innen die bereits implementierten Standards vorzuenthalten.
Allerdings gälte das nicht für Produkte, die nur in Deutschland oder der EU verkauft werden. Wäre ein vergleichbares Verbot von Standardpasswörtern auch in Deutschland denkbar? Frank Rieger, Sprecher des Chaos Computer Clubs (CCC), sagt:
„Minimalstandards für die IT-Sicherheit auch hier in Deutschland gesetzlich festzulegen, ist definitiv ein erster kleiner Schritt in die richtige Richtung. Dass solche Selbstverständlichkeiten wie individualisierte Passwörter in ein Gesetz geschrieben werden müssen, ist ein klarer Hinweis darauf, dass vielen Herstellern die Sicherheit ihrer Kunden immer noch egal ist.“
Das Bundesministerium der Justiz und für Verbraucherschutz (BMJV) sagt auf Anfrage:
„Die Einführung der skizzierten Regelung für Hersteller von vernetzten Geräten in Deutschland bzw. in der Europäischen Union würde das BMJV begrüßen.“
Auf EU-Ebene wird derzeit über einen „Cybersecurity Act" (CSA) verhandelt, der unter anderem die Sicherheit vernetzter Geräte in den Fokus nimmt. Ähnlich wie das für andere Produkte längst der Fall ist, soll in Zukunft auch Software in Geräten mit einem Gütesiegel zertifiziert werden. Expert*innen kritisieren die Lösung jedoch als zahnlos, weil das Siegel freiwillig bleiben soll und Hersteller*innen, die Auflagen nicht erfüllen, keine Sanktionen füchten müssen. Ralf Bendrath, Politikberater für die Grünen um EU-Parlament, sagt, seine Fraktion habe verpfichtende Mindeststandards vorgeschlagen, aber die Kommission scheue sich „vor zu vielen Auflagen für die Industrie“.
Auf das größte Problem in diesem Zusammenhang hatte Jan-Peter Kleinhans, Projektleiter "IT-Sicherheit im Internet der Dinge", hingewiesen, der sich für den Think Tank »Stiftung Neue Verantwortung« mit dem Internet der Dinge befasst: Die virtuelle Welt ändert sich ständig. Für Software werden teils mehrmals die Woche neue Updates geschrieben. Anders als etwa ein Vorhang, der einmal als feuerfest und schadstofffrei zertifiziert werden kann, kann die Zertifizierung einer Software deswegen „immer nur eine Momentaufnahme sein,“ sagt Kleinhans. Was interessiert es aber eine Kundin im Laden, ob der Router vor einem Jahr als sicher galt? Sein Vorschlag: Jedes Gerät sollte mit einem QR-Code versehen werden, über den Nutzer*innen den aktuellen Sicherheitsstatus in einer Datenbank einsehen könnten. Im aktuellen Entwurf ist eine solche Lösung nicht vorgesehen.
Chris Köver
__________
Chris Köver schreibt zu Datenschutz, Netzkultur und sozialen Bewegungen. Sie hat als Autorin für Die Zeit, De:bug und Spiegel Online gearbeitet. Von 2008 bis 2014 war sie Chefredakteurin des Missy Magazine, später arbeitete sie in der Redaktion von WIRED Germany. Seit Sommer 2018 ist sie Redakteurin bei Netzpolitik.org. Kontakt: E-Mail, OpenPGP, Twitter.
netzpolitik.org ist eine Plattform für digitale Freiheitsrechte. Die Betreiber und deren Autoren thematisieren die wichtigen Fragestellungen rund um Internet, Gesellschaft und Politik und zeigen Wege auf, wie man sich auch selbst mithilfe des Netzes für digitale Freiheiten und Offenheit engagieren kann. Mit netzpolitik.org beschreiben sie, wie die Politik das Internet durch Regulation verändert. Und wie das Netz Politik, Öffentlichkeiten und alles andere verändert. Sie verstehen sich als journalistisches Angebot, sind jedoch nicht neutral. Ihr Haltung ist: Engagement für digitale Freiheitsrechte und ihre politische Umsetzung.
► Quelle: Erstveröffentlicht am 09. Oktober auf NETZPOLITIK.org >> Artikel. Lizenz: Die von NETZPOLITIK verfassten Inhalte stehen, soweit nicht anders vermerkt, unter der Lizenz Creative Commons (Namensnennung - Nicht-kommerziell - Weitergabe unter gleichen Bedingungen 4.0 International (CC BY-NC-SA 4.0). Die Bilder im Artikel sind nicht Bestandteil des Originalartikels und wurden von KN-ADMIN Helmut Schnug eingefügt. Für sie gelten ggf. andere Lizenzen, s.u..
► Bild- und Grafikquellen:
1. Hacker / Cybercriminal. X. Foto: Richard Patterson > www.comparitech.com. Quelle: Flickr. Verbreitung mit CC-Lizenz Namensnennung 2.0 Generic (CC BY 2.0).
2. Ablauf der Entstehung und Verwendung von Botnetzen: (1) Infizierung ungeschützter Computer, (2) Eingliederung in das Botnet, (3) Botnetbetreiber verkauft Dienste des Botnets, (4) Ausnutzung des Botnets, etwa für den Versand von Spam. Urheber: Tom-b. Quelle: Wikimedia Commons. Diese Datei ist unter der Creative-Commons-Lizenz „Namensnennung – Weitergabe unter gleichen Bedingungen 3.0 nicht portiert“ lizenziert.
