Schärfere Regeln für Passwörter auf Smart Devices in GB
Seit dem 29. April 2024 ist in Großbritannien die Verwendung von Standardpasswörtern auf intelligenten Geräten verboten. Das britische National Cyber Security Centre (NCSC) fordert die einschlägigen Hersteller dringend auf, sich an die neue Gesetzgebung zu halten – ansonsten drohen empfindliche Strafen.
Der Product Security and Telecommunications Infrastructure Act (PSTI Act) soll nach dem Willen des NCSC Verbrauchern helfen, sich für intelligente Geräte zu entscheiden, die kontinuierlichen Schutz gegen Cyberangriffe bieten. Hersteller müssen dem Gesetz zufolge vermeiden, Geräte mit leicht erratbaren Standardpasswörtern anzubieten, eine Kontaktstelle für Sicherheitsprobleme einrichten und angeben, wie lange ihre Geräte Sicherheitsupdates erhalten.
Dieses Gesetz zielt darauf ab, Mindestsicherheitsstandards durchzusetzen und zu verhindern, dass anfällige Geräte in DDoS-Botnetze wie Mirai gelangen, und betrifft Produkte, die mit dem Internet verbunden werden können. Darunter sind:
- Intelligente Lautsprecher, intelligente Fernsehgeräte und Streaming-Geräte,
- Intelligente Türklingeln, Babyphones und Sicherheitskameras,
- Mobiltelefone, Smartphones und Spielkonsolen,
- Wearable Fitness-Tracker (einschließlich intelligenter Uhren) und
- Intelligente Haushaltsgeräte (wie Glühbirnen, Steckdosen, Wasserkocher, Thermostate, Öfen, Kühlschränke, Staubsauger und Waschmaschinen).
Unternehmen, die sich nicht an die Bestimmungen des PSTI-Gesetzes halten, müssen mit Rückrufen und Geldstrafen rechnen, die bis zu 10 Millionen Pfund (11,7 Millionen Euro) oder vier Prozent ihres weltweiten Jahresumsatzes betragen können, je nachdem, welcher Betrag höher ist.
Damit ist Großbritannien das erste Land der Welt, das die Verwendung von Standard-Benutzernamen und Passwörtern in IoT-Geräten verbietet.