CISA fordert Hersteller zur Verbesserung der Gerätesicherheit auf: Standardpasswörter erleichtern Cyberattacken

Cyberattacken werden nicht immer durch Sicherheitslücken oder geschickt gestaltete Phishingmails verursacht, sondern oft durch unveränderte Standardkennwörter in Geräten wie Routern. Dies erleichtert Angreifern den Zugang zu diesen Geräten. Obwohl Hersteller die Möglichkeit haben, diese Sicherheitsprobleme zu vermeiden, bestehen sie weiterhin. Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) betont erneut die Wichtigkeit dieses Themas.

Häufig verwenden Hersteller standardmäßig leicht zugängliche IT-Geräte mit einfachen Kennwörtern wie “1234” oder “admin” und überlassen es den Administratoren, das Passwort durch ein sicheres zu ersetzen. Oftmals besteht sogar Unklarheit darüber, ob werkseitig schwache Anmeldedaten vergeben wurden. Natürlich erleichtert dies Angreifern ihre Aufgabe erheblich. Die bekannten Passwörter befinden sich letztendlich in Listen, die Angreifer automatisch im Rahmen von Wörterbuch-Attacken ausprobieren. Selbst im Jahr 2023 gelingt es immer wieder, dass Angreifer mit vergleichsweise geringem Aufwand Zugang zu IT-Systemen von Unternehmen oder sogar kritischen Infrastrukturen erhalten. Dieses Problem betrifft nicht nur einen bestimmten Hersteller oder ein bestimmtes Produkt, sondern leider viele. Zu den betroffenen Herstellern zählen unter anderem Atlassian Confluence, Cisco, Magento und Qnap.

Die CISA hat nun in einem Schreiben mit unterschiedlichen Empfehlungen zur Verbesserung der Sicherheit direkt an diese Hersteller appelliert. Die US-Behörde betont die Bedeutung der Prämisse “Secure by Design” und fordert die Hersteller auf, standardmäßig optimal abgesicherte Produkte an Kunden zu liefern. Angesichts der gegenwärtigen Bedrohungslage ist es nicht akzeptabel, Standardpasswörter zu verwenden.

Um diesem Problem entgegenzuwirken, bietet die CISA den Herstellern verschiedene Ratschläge an. Als Beispiel befürwortet sie die Vergabe von individuell generierten Kennwörtern für jedes Gerät oder das Ablaufenlassen von Passwörtern während des Setups. Des Weiteren sollten die Hersteller nicht automatisch davon ausgehen, dass jeder das Passwort bei neuen Geräten umgehend ändert. Letztendlich tragen die Hersteller die Verantwortung für die Sicherheit des gelieferten Produkts.

Schlagwörter: CISA + Glatteis + Cybersecurity + Infrastructure Security Agency + Admins

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 19. Dezember 2023