Kalifornien verlangt einzigartige Passwörter für vernetzte Geräte
Vernetzbare Geräte müssen im größten US-Staat ab 2020 "geschützt" werden, was sich weltweit auswirkt. Unerwünschte Nebenwirkungen sind absehbar.
(Bild: Sergei Gutnikov CC BY-SA 3.0)
Ab 2020 müssen alle vernetzbaren Geräte, die in Kalifornien zum Verkauf gelangen, mit "angemessenen" Sicherheitsvorkehrungen ausgestattet sein. Das sieht ein neues Gesetz vor, welches viele Fragen offen lässt. Vorgeschrieben wird Schutz gegen unbefugte(n) Zugriff, Zerstörung, Nutzung, Veränderung und Offenlegung; dieser Schutz muss "Art und Funktion" des Gerätes sowie den auf dem Gerät unter Umständen enthaltenen sowie den dort gesammelten oder übertragenen Informationen "entsprechen".
Betroffen sind alle Geräte mit IP- oder Bluetooth-Adresse, die direkt oder indirekt mit dem Internet verbunden werden können, und nicht unter spezifische US-Bundesvorschriften fallen. Was "angemessen" (reasonable) oder "entsprechend" (appropriate) ist, bleibt offen. Die neuen Pflichten treffen den Hersteller oder dessen Auftraggeber. Sie müssen sich aber ausdrücklich nicht darum kümmern, welche Auswirkungen vom Kunden installierte Software aus dritter Hand haben könnte.
Potemkinsche Passwörter
Nur für vernetzte Geräte mit Authentifizierungsfunktion, die von außerhalb des lokalen Netzes genutzt werden kann, gibt es eine spezielle Regelung: Jedenfalls als "angemessene" Sicherheitsvorkehrung gilt, wenn der Hersteller im Voraus ein Passwort einstellt, das für jedes einzelne Geräte einzigartig ist, oder wenn er den Nutzer dazu zwingt, vor dem ersten Zugriff eine "neue Authentifizierungsmethode zu generieren".
Absurder Weise fehlen jegliche weitere Regelungen dazu. Ein einzigartiges Passwort ist weitgehend sinnlos, wenn es nicht durch einen passenden Sicherheitsrahmen geschützt wird. Hersteller können dem zivilrechtlichen Gesetz also mit potemkinschen Passwörtern Genüge tun, und sind auch nicht zu Sicherheitsupdates angehalten. Genau das ist aber die Achillesferse des Internet of Things (IoT).
App-Zwang absehbar
Hinzu kommt, dass Gerätekategorien umfasst werden, bei denen Verbraucher keinen Zugriffsschutz erwarten oder möchten. Müssen vernetzbare Lichtschalter oder Aufzüge vor der Verwendung durch Einbrecher geschützt werden? Müssen vernetzbare Steckdosen vor Stromabzapfern geschützt werden? Müssen vernetzbare Vibratoren zusätzlich zum App-Login eine Authentifizierungsschnittstelle am Gerät selbst aufweisen?
Die Pflicht zu "Art und Funktion entsprechendem" Schutz ist ein veritabler Gummiparagraph. Eine absehbare Auswirkung ist, dass immer mehr Geräte nur noch mit App- und Server-Verbindung nutzbar sein werden. Das ist kaum im Interesse kalifornischer Verbraucher, deren Schutz das neue Gesetz dienen soll.
Weltweite Auswirkungen
Selten wird sich abschätzen lassen, ob ein Gerät eines Tages auch in Kalifornien verkauft werden wird. Da das Gesetz keine Ausnahme für gebrauchte Geräte kennt, wird es seine faktische Wirkung weit über die Grenzen Kaliforniens hinaus entfalten.
Händler trifft übrigens weder eine Pflicht zur Überprüfung noch zur Durchsetzung der neuen Vorschriften. Der Vertrieb nicht-rechtskonformer Geräte bleibt also erlaubt. Gleichzeitig sind Verbrauchern die Hände gebunden; nur Staatsanwälte Kaliforniens oder dessen Kommunen dürfen gegen Hersteller vor kalifornische Zivilgerichte ziehen. (ds)
