Internet der Dinge: Kalifornien verbietet Standardpasswörter – ein Modell für Deutschland?

Geräte, die am Internet hängen, müssen in Kalifornien bald ein sicheres Passwort bekommen. Expert*innen halten das aber bestenfalls für einen ersten Schritt in Richtung größerer IT-Sicherheit.

Wohnzimmer-Regal mit Flachbildschirm, Büchern und Gadgets.
Ein moderner Haushalt steckt voller vernetzter Geräte. Besser, wenn die meisten von ihnen mit einem stärkeren Passwort als „123456“ gesichert sind. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Siniz Kim

„123456“, „admin“ oder „password“: Solche zeitlosen Standardpasswörter sind im US-Bundesstaat Kalifornien ab dem 1. Januar 2020 verboten. Das verfügt ein neues Cybersecurity-Gesetz, das Kaliforniens Gouverneur Jerry Brown vergangene Woche unterzeichnet hat. Spätestens ab diesem Datum muss jedes neue Gerät, das in Kalifornien auf den Markt kommt und „direkt oder indirekt“ mit dem Netz verbunden ist – vom Router bis zur smarten Glühbirne – mit Sicherheitsfunktionen ausgestattet sein, die einen unzulässigen Zugriff von Außen verhindern. Geräte, die außerhalb eines lokalen Netzwerkes per Passwort erreichbar sind, müssen entweder mit einem einzigartigen Passwort ausgeliefert werden oder Nutzerinnen und Nutzer dazu zwingen, vor der ersten Verwendung ein eigenes Passwort festzulegen.

Die Absicht dahinter: Außenstehende sollen schwache Passwörter nicht einfach erraten und sich so Zugang zu Geräten verschaffen können. In der Vergangenheit waren schlecht gesicherte Heimgeräte wie Router oder smarte Kühlschränke immer wieder von Hacker*innen für sogenannte Botnetze gekapert worden – eine Art Zombie-Armee, die ohne das Wissen und Zutun ihrer Besitzer*innen Spam verschickt, Webseiten mit Überlastungs-Angriffen in die Knie zwingt oder Schadsoftware streut. Das funktioniert unter anderem deswegen, weil Geräte mit bekannten Standardpasswörtern ausgeliefert werden und Nutzer*innen sich nicht die Mühe machen, diese nachträglich zu ändern.

Sicherheitsexpert*innen sind sich uneinig darin, ob das Gesetz eine Verbesserung oder Verschlimmbesserung der Situation darstellt. Manche wie Bruce Schneier halten es für einen wichtigen ersten Schritt. „Vermutlich geht es nicht weit genug – aber das ist kein Grund, es nicht zu verabschieden,“ sagte er der Washington Post. Der Sicherheitsexperte Robert Graham zerlegt den Gesetzestext hingegen als zu vage und bemängelt, der Fokus auf die Passwörter gehe am Problem vorbei. Vernetzte Geräte hätten schließlich nicht nur ein Passwort, sondern eine Reihe von Schnittstellen mit unterschiedlichen Authentifizierungssystemen. Das berüchtigte Botnetz Mirai, das im Jahr 2016 Angriffe fuhr, hatte vor allem andere Schwachstellen genutzt, um die Kontrolle über Geräte zu erlangen. Diese müssten Hersteller*innen auch mit dem neuen Gesetz nicht beheben.

Minimalstandards: „Ein erster kleiner Schritt in die richtige Richtung“

Das kalifornische Gesetz dürfte Vorbildwirkung für den Rest der USA oder zumindest andere demokratisch dominierte Bundesstaaten haben. Schließlich handelt es sich nicht nur um einen der größten und reichsten US-Staaten, bekanntlich sitzt auch das Silicon Valley in Kalifornien. Das Gesetz könnte sich damit zum de-facto-Standard entwickeln – wer in der achtgrößten Volkswirtschaft der Erde ein Produkt auf den Markt bringen will, muss die Standards ja ohnehin umsetzen. Es spricht wenig dafür, anderen Kund*innen die bereits implementierten Standards vorzuenthalten.

Allerdings gälte das nicht für Produkte, die nur in Deutschland oder der EU verkauft werden. Wäre ein vergleichbares Verbot von Standardpasswörtern auch in Deutschland denkbar? Frank Rieger, Sprecher des Chaos Computer Clubs (CCC), sagt: „Minimalstandards für die IT-Sicherheit auch hier in Deutschland gesetzlich festzulegen, ist definitiv ein erster kleiner Schritt in die richtige Richtung. Dass solche Selbstverständlichkeiten wie individualisierte Passwörter in ein Gesetz geschrieben werden müssen, ist ein klarer Hinweis darauf, dass vielen Herstellern die Sicherheit ihrer Kunden immer noch egal ist.“

Das Bundesministerium der Justiz und für Verbraucherschutz (BMJV) sagt auf Anfrage: „Die Einführung der skizzierten Regelung für Hersteller von vernetzten Geräten in Deutschland bzw. in der Europäischen Union würde das BMJV begrüßen.“ Auf EU-Ebene wird derzeit über einen „Cybersecurity Act (CSA)“ verhandelt, der unter anderem die Sicherheit vernetzter Geräte in den Fokus nimmt. Ähnlich wie das für andere Produkte längst der Fall ist, soll in Zukunft auch Software in Geräten mit einem Gütesiegel zertifiziert werden. Expert*innen kritisieren die Lösung jedoch als zahnlos, weil das Siegel freiwillig bleiben soll und Hersteller*innen, die Auflagen nicht erfüllen, keine Sanktionen füchten müssen. Ralf Bendrath, Politikberater für die Grünen um EU-Parlament, sagt, seine Fraktion habe verpfichtende Mindeststandards vorgeschlagen, aber die Kommission scheue sich „vor zu vielen Auflagen für die Industrie“.

Auf das größte Problem in diesem Zusammenhang hatte Jan-Peter Kleinhans hingewiesen, der sich für den Think Tank Stiftung Neue Verantwortung mit dem Internet der Dinge befasst: Die virtuelle Welt ändert sich ständig. Für Software werden teils mehrmals die Woche neue Updates geschrieben. Anders als etwa ein Vorhang, der einmal als feuerfest und schadstofffrei zertifiziert werden kann, kann die Zertifizierung einer Software deswegen „immer nur eine Momentaufnahme sein,“ sagt Kleinhans. Was interessiert es aber eine Kundin im Laden, ob der Router vor einem Jahr als sicher galt? Sein Vorschlag: Jedes Gerät sollte mit einem QR-Code versehen werden, über den Nutzer*innen den aktuellen Sicherheitsstatus in einer Datenbank einsehen könnten. Im aktuellen Entwurf ist eine solche Lösung nicht vorgesehen.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

7 Ergänzungen

  1. Hacker*innen
    Nutzer*innen
    Hersteller*innen
    Besitzer*innen
    Sicherheitsexpert*innen
    Expert*innen

    –> Da fehlt noch einiges:

    „admin*innen“
    Markt*innen
    Router*innen
    Zugriff*innen
    „Nutzerinnen und Nutzer“ –> Nutzer*innen
    Leserinnen und Leser –> „Leser*innen“
    Zugang*innen
    Kühlschränke*innen
    Zombie*innen-Armee
    Angriffen*innen
    Grund*innen
    Fokus*innen
    Bundesministerium der Justiz und für Verbraucher*innenschutz (BMJV)
    Think Tank*innen
    Kundin im Laden –> was ist mit dem Kunden?

      1. Überhaupt bin ich für eine Quote in der Sprache bzw. für JEDEN Text, also gleich viele männliche, webiliche und transgender, aka sächliche Wörter. Gegebenenfalls muss man in das Text einige das Wörter entsprechend umgeschlechten, damit der Verteilung von dem Quoter stimmt.

        Gleichberechtigungin fängt beim das Sprache an. Ehrlich jetzt.

    1. Jaja, dieselben schlechten Witze unter Artikeln mit gendersensibler Schreibweise sind auch nach Jahren total originell und zum Brüllen komisch.

      Aber mal im Ernst, ich bin mega froh, dass netzpolitik daran Anteil hat, dass nicht nur der extrem misogyne, rassistische Nerdmob über technische Themen anspruchsvoll berichtet. Ich freu mich über ein sehr breit gefächertes Themenspektrum und über alle Autor*innen die sich trotz ewig gleicher Kommentare nicht entmutigen lassen!

  2. @minze

    Sorry, habe ich übersehen.

    Aber ehrlich mal, das mit diesem *innen ist einfach total bescheuert und wenn man das jetzt weiterdenkt, dann ist der Artikel sexistisch.

    Im ganzen Artikel werden Menschengruppen mit *innen gekennzeichnet. Das Problem dabei ist, dass die Frauengruppen doppelt vertreten sind. Benachteiligt sind ja die Männer. Weil bei nicht spezifizierten Gruppen, z.B. „die Nutzer“ sowohl Männer wie auch Frauen enthalten sind während zusätzlich die Frauen noch einen Spezialbegriff haben „Nutzerinnen“. Es gibt kein Wort, dass eine Gruppe von Nutzern bezeichnet, die ausschliesslich aus Männern besteht.

    Darüber hinaus gibt auch noch folgender Satz Grund zur Klage: „Was interessiert es aber eine Kundin im Laden, ob der Router vor einem Jahr als sicher galt?“ Da im Artikel (fast) ausnahmslos immer von xxx*innen gesprochen wird, jetzt aber genau dort nur von Kundin gesprochen wird, bedeutet das doch, dass sich Männer darum kümmern und bewusst kaufen, während Frauen sich für das Thema nicht interesseieren?

    1. mich würde mal deine Meinung zum Inhalt, zu den eingeholten Statements, Einordnungen etc. interessieren. oder hast du nur ctrl+f „*“ eigegeben?

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.