Embedded Devices kommen mittlerweile in sämtlichen Bereichen des täglichen Lebens zum Einsatz. Anwendungsbereiche sind unter anderem industrielle Steuerungskomponenten (z. B. Speicher-programmierbare Steuerungen), Netzwerktechnik (Router und Switche), Bürogeräte (Drucker, Scanner, Kopierer), Unterhaltungselektronik (Set-Top Boxen) sowie Automotive oder Flugzeugbau.
Hierbei handelt es sich häufig um netzwerkfähige Komponenten, in denen dieselben Dienste implementiert werden, die auch bei Serversystemen zu finden sind (HTTP(S), FTP, TELNET, SNMP, etc.).
Embedded Devices werden meist mit vorkonfigurierten Standardpasswörtern ausgeliefert. Diese Standardpasswörter lassen sich anhand der oftmals online verfügbaren Produktdokumentation oder über Onlineforen einfach in Erfahrung bringen. Die Benutzernamen sind über diese Quellen ebenso leicht zu eruieren oder sogar direkt aus der Webschnittstelle herauslesbar (z. B. wenn die existierenden Benutzernamen in Form einer Dropdownliste dargestellt werden). Da eine Änderung der vordefinierten Passwörter/Benutzernamen im Rahmen der Integration und Inbetriebnahme der Geräte häufig nicht stattfindet, kann ein Angreifer somit (Voll-)zugriff auf ein solches Gerät erlangen, ohne Schadsoftware oder dedizierte Tools einsetzen zu müssen.

Diese BSI-Veröffentlichung zur Cyber-Sicherheit beschäftigt sich mit Empfehlungen für Hersteller, Integratoren und Betreiber von Embedded Devices und liefert Hinweise zum Umgang mit solchen Passwörtern.

[English Version]