Vernetzte Haushaltsgeräte Bundesamt will Nutzer zum Passwortwechsel erziehen

Angreifer haben vernetzte Kameras, Drucker und Babyfone für eine massive Computerattacke zweckentfremdet. Genau davor warnen Experten seit Langem. Jetzt machen Behörden Druck - auch auf deutsche Kunden.

Webcam im Einsatz
REUTERS

Webcam im Einsatz


Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Hersteller und Nutzer von internetfähigen Geräten aufgefordert, die Sicherheit ihrer Produkte zu verbessern. Die Behörde will, dass Geräte mit individuellen Passwörtern aus der Fabrik kommen sollen. Wenn das nicht der Fall ist, sollen die Nutzer gezwungen werden, die Passwörter selbst zu ändern.

Hintergrund ist ein großer Cyber-Angriff in der vergangenen Woche. Am Freitag hatten Unbekannte mit einer sogenannten DDoS-Attacke Dienste wie Twitter, Spotify, Netflix, PayPal und Amazon für Millionen Nutzer in den USA, Europa und Japan lahmgelegt. Die unbekannten Täter kaperten dafür massenhaft internetfähige Geräte wie Drucker, Router und Babyfone.

Bislang wurden in der Regel fremdgesteuerte PC für solche Angriffe genutzt. Doch mit dem Boom der vernetzten Heimelektronik stehen Angreifern neue Waffen zur Verfügung. Experten warnen seit langem vor Sicherheitsmängeln im sogenannten Internet der Dinge. Das reicht vom smarten Kühlschrank, der sich meldet, wenn die Milch alle ist, bis zu vernetzten Überwachungskameras.

Bei der Attacke wurden Hunderttausende Geräte mit einem einfachen Schadprogramm infiziert. Es nutzt unter anderem die Tatsache aus, dass viele internetfähige Geräte nur mit einem voreingestellten Passwort geschützt sind. Ab Fabrik werden die Geräte oft nur mit ungenügenden Codes wie "12345" oder "password" gesichert. In vielen Fällen dürften die Besitzer trotzdem einfach das Herstellerpasswort übernommen haben.

"Passwortwechsel erzwingen"

Unter anderem wurden für das Botnetz, über das der Angriff ablief, Webcams der chinesischen Firma Hangzhou Xiongmai Technology benutzt. Der Konzern kündigte am Montag an, einige in den USA verkaufte Webcams vom Markt zurückzurufen. Xiongmai betonte, dass seine Produkte im Allgemeinen gut gegen Angriffe geschützt seien. Das größte Problem sei, dass die Nutzer die voreingestellten Passwörter nicht ändern würden.

Beim BSI heißt es nun, die Hersteller sollten unter anderem folgende Sicherheitsanforderung berücksichtigen: "Sind die voreingestellten Passwörter nicht für jedes Gerät individualisiert, so ist bei der Inbetriebnahme ein Passwortwechsel zu erzwingen." Auch sollen Hersteller "regelmäßig, schnell und über einen hinreichenden Nutzungszeitraum" Sicherheitsupdates auf verschlüsseltem Wege bereitstellen.

Es sollen also Standards geschaffen werden, an denen sich Hersteller und Kunden orientieren können - ob das Eindruck auf viele Hersteller aus China macht, dürfte auch den Beteiligen unklar sein. BSI-Präsident Arne Schönbohm blieb allgemein, er will "den Dialog mit den Herstellern und Verbänden verstärken, um gemeinsam Lösungsansätze zu entwickeln."

EU arbeitet an Standards

Die EU-Kommission arbeitet bereits an Standards, nach denen solche vernetzten Alltagsgeräte künftig zertifiziert und gekennzeichnet werden sollen. EU-Digitalkommissar Günther Oettinger sagt: "Natürlich brauchen wir im Bereich Internet of Things noch stärkere Sicherheitsvorkehrungen." Die Europaabgeordnete Martina Werner, industriepolitische Sprecherin der Europa-SPD, sagte der "Welt": "Viele Geräte für das Internet der Dinge landen viel zu schnell auf dem Markt, ohne dass ihre Sicherheit ausreichend getestet wurde."

Doch bei den Vorhaben in Brüssel gibt es zahlreiche offene Fragen. So ist im Stab von EU-Digitalkommissar Oettinger noch unklar, ob verpflichtende Vorgaben gemacht werden können oder ob man auf eine Selbstregulierung der Industrie setzt.

Das BSI bietet bereits eine Zertifizierung an, betont aber auf Anfrage, dass es "im Bereich des Internet of Things keinen Universalstandard gebe." Zum einen gebe es viele verschiedene Anbieter mit eigenen Lösungen. Zum anderen seien ihre Geräte auf unterschiedliche Anwendungsfälle zugeschnitten.

fab

© SPIEGEL ONLINE 2016
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.