Großbritannien: Standardkennwörter für Geräte sind verboten
von caschy | 10 Kommentare
Foto von Clay Banks auf Unsplash
Angestoßen wurde es schon vor Jahren, nun tritt in Großbritannien ein neues Gesetz in Kraft. Das unter dem Namen „Product Security and Telecommunications Infrastructure Act“ (PSTI-Gesetz) bekannte Gesetz soll Verbrauchern helfen, sichere Smart-Home-Geräte auszuwählen, die langfristigen Schutz vor Cyberangriffen bieten.
Laut diesem Gesetz müssen Hersteller garantieren, dass ihre intelligenten Geräte grundlegende Sicherheitsstandards erfüllen. Konkret bedeutet dies:
– Hersteller dürfen keine Geräte auf den Markt bringen, die leicht zu erratende Standardpasswörter verwenden. Solche Passwörter können online schnell gefunden werden, was es Kriminellen ermöglichen kann, sich Zugang zu Smartgeräten zu verschaffen und eventuell das lokale Netzwerk für Cyberangriffe zu nutzen.
– Hersteller sind verpflichtet, eine Kontaktstelle einzurichten, über die Sicherheitsprobleme gemeldet werden können. Wird dies vernachlässigt, könnten die Geräte zum Ziel von Cyberkriminellen werden.
– Hersteller müssen auch die Mindestdauer festlegen, für die Sicherheitsupdates für die Geräte bereitgestellt werden. Ohne fortlaufende Updates könnten die Geräte einfacher gehackt werden oder nicht mehr wie beabsichtigt funktionieren.
Das Gesetz gilt für jedes „intelligente Verbrauchergerät“, das entweder eine Verbindung zum Internet oder zu einem Heimnetzwerk (z. B. über WLAN) herstellt. Dies kann Folgendes umfassen:
- Smart-Lautsprecher, Smart-TVs und Streaming-Geräte
- intelligente Türklingeln, Babyphone und Überwachungskameras
- Mobiltelefon-Tablets, Smartphones und Spielekonsolen
- tragbare Fitness-Tracker (einschließlich Smartwatches)
- Intelligente Haushaltsgeräte (wie Glühbirnen, Steckdosen, Wasserkocher, Thermostate, Öfen, Kühlschränke, Reiniger und Waschmaschinen)
Die Geräte werden außerhalb des Vereinigten Königreichs hergestellt, aber das PSTI-Gesetz gilt auch für alle Organisationen, die Produkte für den britischen Markt importieren oder verkaufen. Die Nichteinhaltung des Gesetzes stellt eine Straftat dar und kann mit Geldstrafen von bis zu 10 Millionen Pfund oder 4 % des qualifizierten weltweiten Umsatzes (je nachdem, welcher Betrag höher ist) geahndet werden, so die Behörden.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Immerhin ein Ansatz zu mehr Verbraucherfreundlichkeit. In den Vereinigten Staaten geht der Verbraucherschutz noch etwas weiter. Dort steht in den Gebrauchsanleitungen für Waschmaschinen zum Beispiel, daß man keine Haustiere (schmutzige Katzen oder Hunde) in der Maschine waschen soll.
Prinzip gut. Man kann es mit den Passwörter auch übertreiben. Bei Telekom bzw. AVM Routern habe ich meist 16-20 stellige WLAN Passwörter aus Zahlen, Buchstaben und Sonderzeichen. Gib sowas mal in deine zahlreichen WLAN Geräte im Haushalt ein.
Nicht jeder kann das Passwort ändern oder WPA3 nutzen. 8 Stellen aus Zahlen, Buchstaben und Sonderzeichen sollten genügen.
Du kannst es ja ändern. Die Fritzbox druckt dir sogar einen QR Code aus. Und WPS ist auch ein Ding.
8 Zeichen sind nicht mehr Zeitgemäß. Das ist nur noch eine Frage von Stunden bis das geknackt ist.
Ich schreibe ja „Nicht jeder kann das Passwort ändern oder WPA3 nutzen.“
Meine Schwester nutzt in ihrem Haushalt noch das 20 stellige Passwort.
Wer versucht schon über Stunden ein Passwort zu knacken? Da hilft dann eher eine automatische Blockade bei 3 Versuchen in 10Min oder so (habe ich u.a. bei meiner Synology DS drin)
Die NSA und Co kommen ohnehin rein wenn sie es drauf anlegen. 99,99% der Nutzer sind von diesen Passwörter in der Regel genervt.
Wie willst du ein Gerät sperren, dass jederzeit bspw. seine MAC ändern kann?
Paar Stunden lang versuchen ein Passwort zu knacken ist btw recht wenig. Da müssen das schon mindestens eine Woche, bestenfalls mehrere sein.
Dass man die PW freundlicher machen kann stimme ich dir aber zu (Passphrases bspw.), aber 8 Zeichen sind ein Witz.
Da fragt man sich doch, was das Parlament so lange aufgehalten hat so etwas zu beschließen?
Wow, das ist komplett an mir vorbeigegangen, obwohl es für mich tatsächlich beruflich interessant ist. Daher danke für die Infos!
Die Regelung geht noch sehr viel weiter. Die Punkte, die hier aufgezählt sind, sind nur diejenigen, die man als Nutzer selbst verifizieren kann. Als Hersteller ist man noch zu viel mehr verpflichtet, z.B. das sichere Speichern von Keys, Kommunikationsverschlüsselung, Integritätsschutz, usw.
Was die Passwörter angeht, reicht es nicht, schwierige Passwörter zu nehmen, sondern sie müssen geräteindividuell oder vom Nutzer festgelegt sein. Man könnte daher sogar admin-admin wählen, wenn der Nutzer sofort gezwungen wird, ein neues zu wählen.
Das Standard Passwort Admin beim User Admin wäre OK wenn man bei der ersten Anmeldung gezwungen wird das Passwort zu ändern.
Natürlich ist es besser wenn der Hersteller für jedes Gerät ein eigenes Passwort generiert, aber hier besteht die Gefahr das der Hersteller das Passwort per zu einfachen Algorithmus z.B. aus der Seriennummer generiert.
Ich finde es gut das die Sicherheit dadurch erhöht werden soll. Besonders auch das es eine Up-Date Klause gibt. Die Hersteller müssen gezwungen werden Geräte aktuell zu halten. Was soll ein Smart-TV für mehrere Tausend Euro wenn nach 2 oder 3 Jahren keine Sicherheits-Updates mehr kommen?
Wenn hier argumentiert wird das nicht jeder das Passwort ändern kann, dann ist die Schlussfolgerung doch das nicht jeder diese Dinge betreiben sollte.
Jeder kann ein Smartphone kaufen, aber nicht jeder weiß das es auch Updates gibt und das sie installiert werden sollten. Hier hat der Staat und auch die Industrie ein weites Feld der Schulung vor sich, leider kommen nur immer Parolen und selten wirkliche Angebote und Taten.
Ein sehr wichtiger und zeitgemäßer Schritt, der von Großbritannien mit dem neuen PSTI-Gesetz unternommen wird. Es ist ermutigend zu sehen, dass solide Maßnahmen ergriffen werden, um die Sicherheit von Smart-Home-Geräten zu gewährleisten. Das Verbot von Standardpasswörtern, die Einrichtung einer Meldungsstelle für Sicherheitsprobleme und die Verpflichtung zu Sicherheitsupdates sind entscheidende Schritte zur Sicherung der digitalen Infrastruktur. Hoffentlich führt dies zu einem weltweiten Trend, der die Hersteller dazu anregt, die Sicherheitsstandards überall zu erhöhen. Solche gesetzlichen Rahmenbedingungen sind entscheidend, um Verbraucher effektiv zu schützen.