/Internet der Dinge: Kalifornien verbietet Standardpasswörter – ein Modell für Deutschland?

Internet der Dinge: Kalifornien verbietet Standardpasswörter – ein Modell für Deutschland?

Wohnzimmer-Regal mit Flachbildschirm, Büchern und Gadgets.Ein moderner Haushalt steckt voller vernetzter Geräte. Besser, wenn die meisten von ihnen mit einem stärkeren Passwort als "123456" gesichert sind. Gemeinfrei-ähnlich freigegeben durch unsplash.com Siniz Kim

„123456“, „admin“ oder „password“: Solche zeitlosen Standardpasswörter sind im US-Bundesstaat Kalifornien ab dem 1. Januar 2020 verboten. Das verfügt ein neues Cybersecurity-Gesetz, das Kaliforniens Gouverneur Jerry Brown vergangene Woche unterzeichnet hat. Spätestens ab diesem Datum muss jedes neue Gerät, das in Kalifornien auf den Markt kommt und „direkt oder indirekt“ mit dem Netz verbunden ist – vom Router bis zur smarten Glühbirne – mit Sicherheitsfunktionen ausgestattet sein, die einen unzulässigen Zugriff von Außen verhindern. Geräte, die außerhalb eines lokalen Netzwerkes per Passwort erreichbar sind, müssen entweder mit einem einzigartigen Passwort ausgeliefert werden oder Nutzerinnen und Nutzer dazu zwingen, vor der ersten Verwendung ein eigenes Passwort festzulegen.

Die Absicht dahinter: Außenstehende sollen schwache Passwörter nicht einfach erraten und sich so Zugang zu Geräten verschaffen können. In der Vergangenheit waren schlecht gesicherte Heimgeräte wie Router oder smarte Kühlschränke immer wieder von Hacker*innen für sogenannte Botnetze gekapert worden – eine Art Zombie-Armee, die ohne das Wissen und Zutun ihrer Besitzer*innen Spam verschickt, Webseiten mit Überlastungs-Angriffen in die Knie zwingt oder Schadsoftware streut. Das funktioniert unter anderem deswegen, weil Geräte mit bekannten Standardpasswörtern ausgeliefert werden und Nutzer*innen sich nicht die Mühe machen, diese nachträglich zu ändern.

Sicherheitsexpert*innen sind sich uneinig darin, ob das Gesetz eine Verbesserung oder Verschlimmbesserung der Situation darstellt. Manche wie Bruce Schneier halten es für einen wichtigen ersten Schritt. „Vermutlich geht es nicht weit genug – aber das ist kein Grund, es nicht zu verabschieden,“ sagte er der Washington Post. Der Sicherheitsexperte Robert Graham zerlegt den Gesetzestext hingegen als zu vage und bemängelt, der Fokus auf die Passwörter gehe am Problem vorbei. Vernetzte Geräte hätten schließlich nicht nur ein Passwort, sondern eine Reihe von Schnittstellen mit unterschiedlichen Authentifizierungssystemen. Das berüchtigte Botnetz Mirai, das im Jahr 2016 Angriffe fuhr, hatte vor allem andere Schwachstellen genutzt, um die Kontrolle über Geräte zu erlangen. Diese müssten Hersteller*innen auch mit dem neuen Gesetz nicht beheben.

Minimalstandards: „Ein erster kleiner Schritt in die richtige Richtung“

Das kalifornische Gesetz dürfte Vorbildwirkung für den Rest der USA oder zumindest andere demokratisch dominierte Bundesstaaten haben. Schließlich handelt es sich nicht nur um einen der größten und reichsten US-Staaten, bekanntlich sitzt auch das Silicon Valley in Kalifornien. Das Gesetz könnte sich damit zum de-facto-Standard entwickeln – wer in der achtgrößten Volkswirtschaft der Erde ein Produkt auf den Markt bringen will, muss die Standards ja ohnehin umsetzen. Es spricht wenig dafür, anderen Kund*innen die bereits implementierten Standards vorzuenthalten.

Allerdings gälte das nicht für Produkte, die nur in Deutschland oder der EU verkauft werden. Wäre ein vergleichbares Verbot von Standardpasswörtern auch in Deutschland denkbar? Frank Rieger, Sprecher des Chaos Computer Clubs (CCC), sagt: „Minimalstandards für die IT-Sicherheit auch hier in Deutschland gesetzlich festzulegen, ist definitiv ein erster kleiner Schritt in die richtige Richtung. Dass solche Selbstverständlichkeiten wie individualisierte Passwörter in ein Gesetz geschrieben werden müssen, ist ein klarer Hinweis darauf, dass vielen Herstellern die Sicherheit ihrer Kunden immer noch egal ist.“

Das Bundesministerium der Justiz und für Verbraucherschutz (BMJV) sagt auf Anfrage: „Die Einführung der skizzierten Regelung für Hersteller von vernetzten Geräten in Deutschland bzw. in der Europäischen Union würde das BMJV begrüßen.“ Auf EU-Ebene wird derzeit über einen „Cybersecurity Act (CSA)“ verhandelt, der unter anderem die Sicherheit vernetzter Geräte in den Fokus nimmt. Ähnlich wie das für andere Produkte längst der Fall ist, soll in Zukunft auch Software in Geräten mit einem Gütesiegel zertifiziert werden. Expert*innen kritisieren die Lösung jedoch als zahnlos, weil das Siegel freiwillig bleiben soll und Hersteller*innen, die Auflagen nicht erfüllen, keine Sanktionen füchten müssen. Ralf Bendrath, Politikberater für die Grünen um EU-Parlament, sagt, seine Fraktion habe verpfichtende Mindeststandards vorgeschlagen, aber die Kommission scheue sich „vor zu vielen Auflagen für die Industrie“.

Auf das größte Problem in diesem Zusammenhang hatte Jan-Peter Kleinhans hingewiesen, der sich für den Think Tank Stiftung Neue Verantwortung mit dem Internet der Dinge befasst: Die virtuelle Welt ändert sich ständig. Für Software werden teils mehrmals die Woche neue Updates geschrieben. Anders als etwa ein Vorhang, der einmal als feuerfest und schadstofffrei zertifiziert werden kann, kann die Zertifizierung einer Software deswegen „immer nur eine Momentaufnahme sein,“ sagt Kleinhans. Was interessiert es aber eine Kundin im Laden, ob der Router vor einem Jahr als sicher galt? Sein Vorschlag: Jedes Gerät sollte mit einem QR-Code versehen werden, über den Nutzer*innen den aktuellen Sicherheitsstatus in einer Datenbank einsehen könnten. Im aktuellen Entwurf ist eine solche Lösung nicht vorgesehen.


Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.