"1234", "default", "password": Viele IT-Hersteller setzen bei Produktauslieferung an ihre Kunden auf Standardpasswörter. Doch diese werden von Cyberkriminellen und staatlichen Akteuren ebenfalls gerne genutzt, um sich Zugang zum Unternehmensnetzwerk zu verschaffen, wie die Cybersecurity & Infrastructure Security Agency warnt. Die US-Behörde ruft Technologieanbieter daher dazu auf, Standardpasswörter bei der Entwicklung, Freigabe und Aktualisierung von Produkten abzuschaffen. "Jahrelang hat sich gezeigt, dass es nicht ausreicht, sich darauf zu verlassen, dass Tausende von Kunden ihre Passwörter ändern, und dass nur eine konzertierte Aktion der Technologiehersteller den schwerwiegenden Risiken, denen kritische Infrastrukturorganisationen ausgesetzt sind, angemessen begegnen kann."
In einem Schreiben mahnt die Behörde, stets dem Secure-by-Design-Ansatz zu folgen, und gibt verschiedene Tipps, wie gemeinsam eine grösstmögliche Sicherheit erzielt werden kann. So sei es wichtig, dass die IT-Branche auch die Verantwortung für die Sicherheitsresultate auf Kundenseite übernimmt. Konkret nennt die Behörde das Beispiel, statt einem Standardpasswort für jedes Produkt instanzspezifische oder zeitlich begrenzte Einrichtungskennwörter bereitzustellen.
Hersteller müssen gewährleisten, dass Kunden nicht die Hauptsicherheitslast tragen. Ziel ist es laut dem
Schreiben stattdessen, dauerhafte Sicherheit für die langfristige Verwaltung von Produkten zu schaffen – und das bereits während des Installationsprozesses. "Hersteller sollten nicht davon ausgehen, dass die Benutzer wissen, dass sie unsichere Standardkonfigurationen deaktivieren müssen." Zudem können sie laut der Behörde Feldtests durchführen, um zu verstehen, wie Kunden die Produkte genau in ihren Umgebungen einsetzen, um eine mögliche Lücke zwischen Entwicklerannahmen und der tatsächlichen Praxis zu schliessen.
Zwar konzentriert sich der aktuelle Aufruf vor allem auf Standardpasswörter. Die Cybersecurity & Infrastructure Security Agency weist jedoch darauf hin, dass entsprechende Massnahmen nur Bausteine in einem viel breiter angelegten Secure-by-Design-Ansatz sein können.
Übrigens: "123456" ist nach wie häufigstes Passwort der Welt, dicht gefolgt von "admin" und anderen unsicheren Kombinationen wie "barcelona" oder "Supermario12" ("Swiss IT Magazine"
berichtete).
(sta)