US-Behörde nimmt IT-Branche bei riskanten Standardpasswörtern in die Pflicht
Quelle: Depositphotos

US-Behörde nimmt IT-Branche bei riskanten Standardpasswörtern in die Pflicht

Standardpasswörter sind bei vielen IT-Produkten nach wie vor gang und gäbe. Damit soll Schluss sein, fordert die Cybersecurity & Infrastructure Security Agency.
20. Dezember 2023

     

"1234", "default", "password": Viele IT-Hersteller setzen bei Produktauslieferung an ihre Kunden auf Standardpasswörter. Doch diese werden von Cyberkriminellen und staatlichen Akteuren ebenfalls gerne genutzt, um sich Zugang zum Unternehmensnetzwerk zu verschaffen, wie die Cybersecurity & Infrastructure Security Agency warnt. Die US-Behörde ruft Technologieanbieter daher dazu auf, Standardpasswörter bei der Entwicklung, Freigabe und Aktualisierung von Produkten abzuschaffen. "Jahrelang hat sich gezeigt, dass es nicht ausreicht, sich darauf zu verlassen, dass Tausende von Kunden ihre Passwörter ändern, und dass nur eine konzertierte Aktion der Technologiehersteller den schwerwiegenden Risiken, denen kritische Infrastrukturorganisationen ausgesetzt sind, angemessen begegnen kann."


In einem Schreiben mahnt die Behörde, stets dem Secure-by-Design-Ansatz zu folgen, und gibt verschiedene Tipps, wie gemeinsam eine grösstmögliche Sicherheit erzielt werden kann. So sei es wichtig, dass die IT-Branche auch die Verantwortung für die Sicherheitsresultate auf Kundenseite übernimmt. Konkret nennt die Behörde das Beispiel, statt einem Standardpasswort für jedes Produkt instanzspezifische oder zeitlich begrenzte Einrichtungskennwörter bereitzustellen.
Hersteller müssen gewährleisten, dass Kunden nicht die Hauptsicherheitslast tragen. Ziel ist es laut dem Schreiben stattdessen, dauerhafte Sicherheit für die langfristige Verwaltung von Produkten zu schaffen – und das bereits während des Installationsprozesses. "Hersteller sollten nicht davon ausgehen, dass die Benutzer wissen, dass sie unsichere Standardkonfigurationen deaktivieren müssen." Zudem können sie laut der Behörde Feldtests durchführen, um zu verstehen, wie Kunden die Produkte genau in ihren Umgebungen einsetzen, um eine mögliche Lücke zwischen Entwicklerannahmen und der tatsächlichen Praxis zu schliessen.

Zwar konzentriert sich der aktuelle Aufruf vor allem auf Standardpasswörter. Die Cybersecurity & Infrastructure Security Agency weist jedoch darauf hin, dass entsprechende Massnahmen nur Bausteine in einem viel breiter angelegten Secure-by-Design-Ansatz sein können.


Übrigens: "123456" ist nach wie häufigstes Passwort der Welt, dicht gefolgt von "admin" und anderen unsicheren Kombinationen wie "barcelona" oder "Supermario12" ("Swiss IT Magazine" berichtete). (sta)


Weitere Artikel zum Thema

Bundesamt für Cybersicherheit leidet unter hoher Fluktuation

7. Dezember 2023 - Aufgrund der kommenden Eingliederung in das Verteidigungsdepartement VBS haben mehrere Mitarbeitende des NCSC gekündigt. Mögliche Gründe sind ethische Konflikte.

Schweiz bleibt bei digitaler Wettbewerbsfähigkeit auf dem fünften Rang

5. Dezember 2023 - In der Weltrangliste zur digitalen Wettbewerbsfähigkeit verbleibt die Schweiz unter 64 Ländern auf dem fünften Rang. Gute Noten gibt es im Bereich Wissen, Schwächen zeigen sich punkto Cybersicherheit und Einstellung der Bevölkerung zu Technologie.

Achtzehn Staaten einigen sich auf KI-Sicherheitsrichtlinien

27. November 2023 - Erstmals haben 18 Länder aus Europa, Amerika, Asien und Afrika eine Vereinbarung für Richtlinien für die Entwicklung sicherer KI-Systeme unterzeichnet.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
GOLD SPONSOREN
SPONSOREN & PARTNER