Standardpasswort (Default password)

Was ist ein Standardpasswort (Default password)?

Ein Standardpasswort ist ein vorkonfiguriertes Standardkennwort für ein Gerät oder eine Software. Solche Passwörter sind die Standardkonfiguration für viele Geräte und stellen, wenn sie unverändert bleiben, ein ernsthaftes Sicherheitsrisiko dar. Typische Beispiele für sehr einfache Standardkennwörter sind admin, password oder auch guest. Einzelne Hersteller verwenden durchaus komplexere Standardpasswörter, das macht die Sache allerdings nicht zwangsweise sicherer. Häufig verwendet ein Anbieter oder Hersteller ein einziges Standardpasswort oder eine leicht nachvollziehbare Regel für die verwendete Nomenklatur.

Wozu werden Standardpasswörter verwendet?

Standardpasswörter kommen bei einer Vielzahl von Gerätekategorien zum Einsatz wie etwa Routern, NAS, Firewalls, Netzwerkdruckern oder Multifunktionsgeräten. Das gleiche gilt natürlich auch für industrielle Steuerungsgeräte oder andere IoT-Devices, etwa im Smart-Home-Bereich sowie für Terminalzugänge via Telnet.

Warum sind Standardkennwörter ein Sicherheitsrisiko?

Unveränderte Standardpasswörter bieten eine einfache Angriffsmöglichkeit für Netzwerkgeräte; wenn der Besitzer auch eine Verbindung zu einem Unternehmensnetzwerk herstellt, erstreckt sich dieses Risiko auch auf das Unternehmen. Ein Angreifer, der sich erfolgreich bei einem Gerät anmeldet, hat wahrscheinlich Zugriff auf die Verwaltungsebene. Dies gibt ihm die vollständige Kontrolle über das Gerät und alle angeschlossenen Netzwerke.

Bleibt das ab Werk eingerichtete Passwort unverändert oder der damit verbundene Zugang trotz zusätzlichem Nutzer bestehen, ist die Angriffsfläche denkbar groß. Insbesondere wenn das Gerät via Netzwerk womöglich auch noch von außen zugänglich ist. Mit einem derartigen Passwort bewegt man sich üblicherweise mit Administratorrechten in der Konfiguration des Gerätes.

Dies gilt insbesondere für industrielle Lösungen, Embedded Systems oder auch IoT-Geräte für Endverbraucher. Ursprünglich waren viele dieser Lösungen nicht darauf ausgerichtet, via Netzwerk und Internet zugänglich zu sein, dementsprechend wurde auch die Sicherheit nicht daraufhin implementiert. Inzwischen gibt es jedoch kaum noch Geräte, die nicht auf die oder andere Weise vernetzt sind, was sich entsprechend in der Security niederschlagen muss.

Wie kann das Risiko durch Standardpasswörter verringert werden?

Standardpasswörter sind ein bekanntes Sicherheitsrisiko, das sich leicht durch die Änderung in sichere, eindeutige Passwörter abmildern lässt. Dies sollte für jedes Gerät in einem Netzwerk, einschließlich Router, Switches und Access Points, durchgeführt werden. Bei sensibleren Geräten, wie beispielsweise solchen, die für die ICS-Sicherheit (Industrielle Steuerungssysteme) oder die übergeordnete Steuerung und Datenerfassung (SCADA) verwendet werden, ist es ebenfalls wichtig, den Standardbenutzernamen zu ändern.

Standardkennwörter sind eine Art Platzhalter und sollten nur bei der Erstkonfiguration zum Einsatz kommen. In dieser Phase ist das Gerät tunlichst noch nicht via Netzwerk erreichbar. Inzwischen fordern viele Setup-Routinen den Nutzer zum Abändern des Standardpasswortes auf, aber eben nicht alle.

Admins und Anwender sollten in jedem Fall bei der ersten Konfiguration das Standardkennwort ändern, um das Risiko zu reduzieren. Einige Hersteller liefern ihre Geräte mit relativ starken, individualisierten Kennwörtern aus. Auch dies reduziert das Risiko. Eindeutige Standardpasswörter können je nach Art der Implementierung die Sicherheit bieten.

Wie sollten Passwörter gespeichert werden?

Passwörter sollten in einem Passwortmanager oder einer IAM-Lösung gespeichert werden. Dabei handelt es sich um eine Software, die Passwörter sicher speichert und so verschlüsselt, dass sie nur mit einem Master-Passwort zugänglich sind. Ein Passwortmanager kann sichere Passwörter generieren und dabei helfen, verschiedene Passwörter für verschiedene Konten zu verwalten. Bei der Auswahl eines Passwortmanagers sollte darauf geachtet werden, dass dieser eine Zwei-Faktor-Authentifizierung (2FA) oder eine Multi-Faktor-Authentifizierung (MFA) bietet.