Standard-Passwörter: US-Bundesbehörde CISA klopft Herstellern auf die Finger
Die Cybersecurity & Infrastructure Security Agency geht mit Hardware-Herstellern ins Gericht und sagt Standard-Passwörtern in IT-Geräten den Kampf an.
(Bild: Song_about_summer/Shutterstock.com)
In vielen Fällen sind keine Sicherheitslücken oder über gut gemachte Phishingmails auf Glatteis geführte Kollegen Einfallstore für Cyberattacken, sondern Stand-Kennwörter in Geräten wie Routern. Das ist seitens der Hersteller eigentlich vermeidbar, das Sicherheitsproblem existiert aber nach wie vor. Darauf weist die US-Behörde Cybersecurity & Infrastructure Security Agency (CISA) nun abermals ausdrücklich hin.
Verantwortung abgeben
Oft statten Hersteller öffentlich über das Internet erreichbare IT-Geräte mit Standard-Kennwörtern wie "1234" oder "admin" aus und legen die Verantwortung, das Passwort durch ein starkes zu ersetzen, in die Hände von Admins. Häufig kommt es sogar vor, dass gar nicht klar ist, dass werkseitig schwache Log-in-Daten vergeben wurden.
Das ist für Angreifer natürlich ein leichtes Ziel. Schließlich befinden sich die bekannten Passwörter längst in Listen, die Angreifer im Zuge von Wörterbuch-Attacken automatisiert durchprobieren. Auch 2023 funktioniert das immer wieder und Angreifer verschaffen sich so mit vergleichsweise wenig Aufwand Zugang zu IT-Systemen von Unternehmen oder sogar kritischen Infrastrukturen.
Das betrifft keinen einzelnen Hersteller und Produkte, sondern leider sehr viele. Darunter sind unter anderem Atlassian Confluence, Cisco, Magento und Qnap.
Standard-Passwörter inakzeptabel
In einem Schreiben mit verschiedenen Tipps zur Steigerung der Sicherheit wendet sich die CISA nun an die Hersteller. Darin rufen sie die Prämisse Secure by Design in Erinnerung und fordern die Hersteller dazu auf, ihr zu folgen und standardmäßig optimal abgesicherte Produkte an Kunden zu liefern. Das Vergeben von Standard-Passwörtern sei vor dem Hintergrund der derzeitigen IT-Bedrohungslage inakzeptabel.
Um dem entgegenzutreten, gibt die CISA den Herstellern verschiedene Tipps. So plädiert sie etwa dafür, pro Gerät individuell erzeugte Kennwörter oder im Zuge des Set-ups ablaufende Passwörter zu vergeben. Außerdem sollten Hersteller nicht davon ausgehen, dass jeder bei neuen Geräten direkt das Kennwort ändert. Schließlich liegt die Verantwortung für die Sicherheit des ausgelieferten Produkts bei ihnen.
(des)
