Britische Regierung erklärt Cyberkriminalität den Krieg: Schwache Standardkennwörter werden verboten

UK Bans IoT Devices With Default Passwords

Gestern sagte Matt Warman, der Minister des britischen Ministeriums für Digital, Kultur, Medien und Sport (DCMS), gegenüber The Telegraph, dass er und sein Team Großbritannien zum sichersten Ort machen wollen, um online zu sein. Das hört sich gut an, aber fragen Sie jeden Politiker in jedem Land, und er wird Ihnen genau das Gleiche über das Stück Land sagen, für das er verantwortlich ist. Die gewählten britischen Beamten glauben jedoch, dass sie wissen, wie es geht.

DCMS gab bekannt, dass es an einem Gesetz arbeitet, das den Verkauf von IoT-Geräten in Großbritannien verbietet, die mit schwachen und standardmäßigen Passwörtern ausgestattet sind. Die Abteilung wird einen Gesetzesentwurf vorschlagen, der, wie sie hofft, von den Abgeordneten gut angenommen und in ein Gesetz umgewandelt wird. "So bald wie möglich" war das, was einem ETA am nächsten kam, das die Regierung einfallen lassen konnte. Dies ist zwar kein wirklich solider Zeitrahmen, aber es ist auf der positiven Seite, dass das Verbot von Standardkennwörtern in intelligenten Minianwendungen immer dann gilt, wenn es passiert gute nachricht, oder?

Die britische Regierung versteht das Problem bis zu einem gewissen Grad

Die wirklich gute Nachricht ist, dass immer mehr Menschen erkennen, worum es geht. Die unaufhörliche Welle von Dingen, die mit dem Internet verbunden sind, hat unser tägliches Leben verändert, aber sie hat die Online-Bedrohungslandschaft wohl noch stärker beeinflusst. Viele der IoT-Geräte, die wir millionenfach kaufen, sind unglaublich einfach zu kompromittieren und können als Vehikel für (relativ) harmlose Streiche bis hin zu störenden DDoS-Angriffen und Cyberstalking dienen.

Das Hacken in eine intelligente Glühbirne, ein Babyphone oder eine andere IoT-Technologie ist oft so einfach wie die Verwendung einer speziellen Suchmaschine und das Durchsuchen von Marke und Modell, um die Standardanmeldeinformationen zu erhalten. In bestimmten Fällen genügt es, einfache Kombinationen wie "123456"auszuprobieren. DCMS ist der Ansicht, dass das Verbieten von schwachen und Standardkennwörtern das Leben von Hackern erheblich erschweren kann. Aber wird das vorgeschlagene Gesetz wirklich die gewünschte Wirkung haben?

Standard- und schwache Passwörter sind nur ein Teil des Problems

Das Standardkennwort wurde oft als Hauptgrund für die bedenkliche Sicherheit des IoT angepriesen. Dies liegt (zumindest teilweise) daran, dass die Öffentlichkeit leichter verstehen kann, wie diese Art von Angriff funktioniert. Das ist auch der Grund, warum der Gesetzgeber das leicht verfügbare Passwort als Erstes fordert. Die Wahrheit ist jedoch, dass die Standardanmeldeinformationen nur ein Teil des Problems sind.

Im vergangenen Jahr hat die Europäische Kommission beispielsweise einen Rückruf für eine Reihe von Kinder-Smartwatches aus Datenschutzgründen veröffentlicht. In diesem Fall war das Problem nicht das Standardkennwort, sondern die Tatsache, dass die Minianwendungen große Mengen vertraulicher Informationen übertragen, ohne diese in irgendeiner Weise zu verschlüsseln. Es gibt eine Reihe anderer Beispiele, die nichts mit dem Authentifizierungsprozess zu tun haben, aber dennoch als Beweis dafür dienen, wie schlecht die Sicherheit einiger IoT-Geräte ist.

Die Gründe für den aktuellen Stand der Dinge sind für jeden, der sich intensiv mit der sogenannten IoT-Revolution beschäftigt, ziemlich klar. Die Anbieter sind in einem Wettlauf um die Befriedigung eines kürzlich entdeckten Wunsches, Alltagsgegenstände so schnell und kostengünstig wie möglich mit dem Internet zu verbinden. Die Designs sind schnell und auf kleinstem Raum aufgebaut. Da all diese Neuerungen ein wenig Neuheit bringen sollen, hat die Benutzerfreundlichkeit Vorrang vor Datenschutz- und Sicherheitsbedenken.

Die britische Regierung weiß, dass das Problem über das Standardkennwort hinausgeht. Das vorgeschlagene Verbot von Geräten mit schwachen Anmeldeinformationen ist Teil eines umfassenderen Best-Practice-Codes zur IoT-Sicherheit. Es wurde 2018 erstellt und enthält eine Reihe weiterer Punkte, die im Moment lediglich Empfehlungen sind. Wenn sie in ein Gesetz umgewandelt werden, müssen IoT-Anbieter über öffentliche Plattformen für die Meldung von Sicherheitslücken verfügen. Möglicherweise müssen sie sogar Warnschilder auf ihren Produkten anbringen, um die Benutzer darüber zu informieren, dass intelligente Geräte von Hackern angegriffen werden können. Leider sind wir uns nicht sicher, ob dies ausreichen würde.

Anbieter und Benutzer müssen die Sicherheit ernst nehmen

Das Internet der Dinge (IoT) war bereits im Mittelpunkt mehrerer schwerwiegender Cybersicherheitsvorfälle, und die britische Regierung ist nicht die erste Regulierungsbehörde, die erkennt, dass etwas getan werden muss. Tatsächlich wurde bereits 2018 im US-Bundesstaat Kalifornien ein Gesetz zum Verbot der Verwendung von Standardkennwörtern verabschiedet, das am 1. Januar in Kraft trat. Wir müssen noch abwarten, wie effektiv es sein wird, aber wir sind ziemlich sicher, dass auch andere lokale und nationale Regierungen diesem Beispiel folgen werden.

Das Problem ist, dass die Gesetzgebung Sie nur so weit bringen kann. Die Anzahl der Faktoren, die die Sicherheit eines einzelnen IoT-Geräts bestimmen, ist umwerfend und es ist einfach nicht möglich, alle zu regulieren. Wenn sich die Situation verbessern soll, müssen wir die Art und Weise, wie Anbieter und Benutzer denken, grundlegend ändern.

Selbst wenn wir davon ausgehen, dass die jüngsten Gesetze die Hersteller zu einem sichereren Anmeldesystem zwingen werden, gibt es nichts, was sie davon abhält, den Rest ihrer Backend-Infrastruktur so schnell, kostengünstig und unsicher wie möglich aufzubauen. Die Sicherheitslücken, die in vielen IoT-Geräten zu finden sind, zeigen, dass einige Anbieter erkennen müssen, dass sie für die Sicherheit ihrer Kunden verantwortlich sind, und ihre Prioritätenlisten entsprechend neu ordnen. Davon abgesehen können wir nicht alle Lieferanten beschuldigen.

Die "es wird mir nicht passieren" -Mentalität, die viele Menschen angenommen haben, tut uns keinen Gefallen. IoT-Anbieter tendieren dazu, ihre Produkte mit einem Standardkennwort zu versenden, da dies das erstmalige Einrichten eines Geräts einfacher und schneller macht. Sie enthalten auch eine Funktion, mit der das Standardkennwort geändert werden kann, und die einfache Tatsache ist, dass viele Kunden es nicht verwenden.

Das Ziel des IoT ist es, nur positive Veränderungen in unser Leben zu bringen, aber es ist ziemlich klar, dass es in seiner gegenwärtigen Form auch einige Probleme verursacht. Der britische und der kalifornische Gesetzgeber versuchen, einige von ihnen zu lösen, aber die wirkliche Veränderung kann nur von den Menschen kommen, die die intelligenten Geräte entwerfen und verwenden.

January 28, 2020
Lade...

Cyclonis Backup Details & Terms

Mit dem Free Basic Cyclonis Backup-Plan erhalten Sie 2 GB Cloud-Speicherplatz mit voller Funktionalität! Keine Kreditkarte benötigt. Benötigen Sie mehr Stauraum? Kaufen Sie noch heute einen größeren Cyclonis Backup-Plan! Um mehr über unsere Richtlinien und Preise zu erfahren, sehen SieNutzungsbedingungen, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.