Schwache Passwörter für Smart Home-Geräte sollen in Europa verboten werden

Die Standardpasswörter für Smart-Home-Geräte und drahtlose Router müssen verstärkt werden, um den neuen Cybersicherheitsgesetzen sowohl im Vereinigten Königreich als auch in der EU zu entsprechen ..

Wenn Sie ein Smart-Home-Gerät kaufen - oder sogar ein so wichtiges Gerät wie einen drahtlosen Router - wird es oft mit einem vorkonfigurierten Passwort geliefert, und dieses Passwort ist oft lächerlich schwach. Bei einigen Routern sind beispielsweise sowohl der Benutzername als auch das Passwort auf "admin" voreingestellt.

Dies ist in Europa nicht mehr zulässig, nachdem sowohl das Vereinigte Königreich als auch die EU eigene Gesetze zur Cybersicherheit verabschiedet haben.

The Record berichtet über das britische Gesetz.

Am Montag wurde das Vereinigte Königreich zum ersten Land der Welt, das standardmäßig erratbare Benutzernamen und Passwörter für diese IoT-Geräte verbietet. Der Product Security and Telecommunications Infrastructure Act 2022 (PSTI) führt neue Mindestsicherheitsstandards für Hersteller ein und verlangt, dass diese Unternehmen gegenüber den Verbrauchern offen darüber sind, wie lange ihre Produkte Sicherheitsupdates erhalten [...]Im Rahmen des PSTI sind schwache oder leicht zu erratende Standardpasswörter wie "admin" oder "12345" ausdrücklich verboten, und die Hersteller sind außerdem verpflichtet, Kontaktdaten zu veröffentlichen, damit die Nutzer Fehler melden können.Produkte, die gegen die Vorschriften verstoßen, könnten zurückgerufen werden, und den verantwortlichen Unternehmen droht eine Geldstrafe von maximal 10 Millionen Pfund (12,53 Millionen Dollar) oder 4 % ihres weltweiten Umsatzes, je nachdem, welcher Betrag höher ist.

Zum Vergrößern anklicken....

Der Cyber Resilience Act (CRA) der EU ist noch nicht in Kraft getreten, wird aber eine ähnliche Anforderung für eine bessere Standardsicherheit enthalten.

Die CRA zielt darauf ab, Verbraucher und Unternehmen zu schützen, die Produkte oder Software mit einer digitalen Komponente kaufen oder verwenden. Das Gesetz sieht vor, dass unzureichende Sicherheitsmerkmale mit der Einführung verbindlicher Cybersicherheitsanforderungen für Hersteller und Einzelhändler solcher Produkte der Vergangenheit angehören, wobei sich dieser Schutz über den gesamten Produktlebenszyklus erstreckt.

Zum Vergrößern anklicken....

Letzteres wird voraussichtlich noch in diesem Jahr in Kraft treten.

In den USA gibt es noch nichts Vergleichbares, aber globale Marken werden wahrscheinlich die gleichen Standards für ihre weltweit verkauften Produkte anwenden.

Foto von Sebastian Scholz (Nuki) auf Unsplash

Zusammenfassung

• Das Vereinigte Königreich ist das erste Land der Welt, das den Einsatz von vorhersehbaren Standardbenutzernamen und Passwörtern für IoT-Geräte verbietet.
• Der PSTI Act 2022 führt neue Mindestsicherheitsstandards für Hersteller ein und verpflichtet sie, offenzulegen, wie lange ihre Produkte Sicherheitsupdats erhalten.
• Schwache oder leicht zu erratende Standardpasswörter wie "admin" oder "12345" sind explizit verboten und Hersteller müssen Kontaktdetails veröffentlichen.
• Produkte, die den Bestimmungen nicht entsprechen, könnten zurückgerufen werden und die verantwortlichen Unternehmen könnten mit einer Geldstrafe von bis zu £10 Mio. oder 4% ihres globalen Umsatzes belegt werden, je nachdem, welcher Betrag höher ist.
• Die EU wird voraussichtlich eine ähnliche Anforderung für bessere Standards bei Standard-Sicherheit einführen.