Das deutsche BSI will mehr Sicherheit von den Herstellern

Wegen des kürzlich erfolgten Cyber-Angriffs auf den Internet-Dienstleister Dyn fordert das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Produzenten von online-fähigen dazu Geräten auf, ausreichende Sicherheitsvorkehrungen zu implementieren. Die meisten der Haushaltsgeräte, die für diesen Angriff zum Einsatz kamen, sind bei Auslieferung nur ungenügend gegen Cyber-Angriffe geschützt und daher leicht zu kapern.

Folgende Sicherheitsanforderungen sollten unter anderen seitens der Hersteller berücksichtigt werden:

• Zugangsdaten und Passwörter ab Werk müssen durch den Nutzer änderbar sein
• Bei einheitlichen Passwörtern ab Werk für jedes Gerät ist bei der Inbetriebnahme ein Passwortwechsel zu erzwingen
• Nicht zwingend benötigte Dienste müssen deaktiviert werden können
• Das IoT-Gerät sollte nur mittels kryptografisch geschützter Protokolle erfolgenlte nur mittels kryptografisch geschützter Protokolle wie TLS erfolgen
• Hersteller müssen regelmässig, schnell und über einen ausreichenden Nutzungszeitraum hinweg
  Sicherheitsupdates für die Geräte zur Verfügung stellen
• Die Firmware des IoT-Geräts ist hinreichend zu härten.  

Bsi.de; 27.10.2016
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2016/Cyber-Angriffe_durch_IoT-Botnetze_25102016.html