Trotz RSA-Hack: SecurID bleibt weiter Pflicht

Datendiebe sind bei RSA eingebrochen und konnten Daten des SecurID-Systems entwenden. Durch die Zwei-Faktor-Authentifizierung ist das System zwar noch sicher, trotzdem sollten nun die Passwörter der SecurID-Nutzer auf den Prüfstand.

von Wayne Rash 1

Das Zweifaktor-Authentifizierungsverfahren wird von vielen als der Goldstandard zur Absicherung des Zugangs zur Firmen-IT angesehen. Das Konzept dahinter ist, dass zwei Komponenten zum Einloggen nötig sind: etwas, das man besitzen muss (wie etwa ein Token) und etwas, das man wissen muss (wie etwa ein Passwort).

In vielen Firmen beispielsweise ist die Verwendung einer Smartcard mit integriertem ID-Chip zusammen mit einem Kartenlesegerät nötig, damit Angestellte Zugriff auf die EDV erhalten. Nach dem Einschieben der Smartcard in das Lesegerät wird die Passworteingabe freigegeben.

Das SecurID-Sicherheitssystem von RSA besteht aus einem Token, der nicht mit dem Computer verbunden werden muss. Der Token zeigt dem Benutzer eine Nummer an, die sich alle 30 Sekunden ändert. Der Benutzer kann durch das Eintippen der angezeigten Nummer bei der SecurID-Eingabeaufforderung nachweisen, dass er ein Token besitzt; danach folgt die Passwortabfrage. In der Tatsache, dass RSA ganz genau weiß, welche Nummer zum jeweiligem Zeitpunkt korrekt ist, liegt zumindest teilweise die Stärke des Verfahrens begründet – die Rechner müssen nicht extra mit Kartenlesegeräten ausgestattet werden, damit auf das Zweifaktor-Authentifizierungsverfahren zurückgegriffen werden kann.

Haben Hacker den SecurID-Algorithmus geklaut?

Der Algorithmus, mit dessen Hilfe RSA die Nummern überprüft, könnte Teil des Datenmaterials sein, das Hackern aufgrund einer Sicherheitslücke im Rechnersystem von RSA in die Hände fiel. RSA bemüht sich nun nach Kräften, alle Kunde davon zu überzeugen, dass ihre Daten nach wie vor sicher sind. Wahrscheinlich hat RSA recht. Der reine Besitz des Algorithmus reicht nicht aus, um jemandem den Einbruch in ein bestehendes, abgesichertes Computersystem zu ermöglichen.

Der Algorithmus kann Aufschluss geben über den Mechanismus, der dahintersteckt, aber deswegen sind die Hacker noch lange nicht im Besitz der Nummern, die sich alle 30 Sekunden ändern. Selbst wenn man einen Firmenschlüssel von RSA stehlen würde, hätte dies keine Auswirkungen, da er keine Informationen über die richtige Token-Nummer für den jeweiligen Zeitpunkt preisgibt.

Wahrscheinlicher ist, dass jemand darauf brannte, mehr über das RSA SecurID-Sicherheitssystem zu erfahren, entweder um ein eigenes Konkurrenzprodukt zu entwickeln oder um mittels Reverse-Engineering-Analysen am Ende Zugang zu den geschützten Informationen eines Tokens zu erlangen. Aber Tatsache ist: wir können nur Mutmaßungen anstellen, denn RSA hat lediglich mitgeteilt, dass Daten in Zusammenhang mit SecurID gestohlen wurden, aber das Unternehmen schweigt sich darüber aus, um was für Daten es sich dabei handelte.

Passwörter müssen sicher sein

Konkret bedeutet dies, dass keine unmittelbare Bedrohung besteht, selbst wenn diejenigen, die die Daten von RSA gestohlen haben, herausfinden, wie man den SecurID-Code knackt. Es bedeutet auch, dass die IT-Verantwortlichen darauf achten müssen, dass neben der Benutzung von SecurID-Token sichere Passwörter gewählt werden und die Verwendung solcher Passwörter obligatorisch ist.

Zudem ist ein Großteil der Hacker, die in das Computersystem Ihrer Firma einbrechen wollen, wahrscheinlich nicht identisch mit denjenigen Hackern, die bei RSA eingebrochen sind. Aber selbst wenn es dieselben sind, hindert sie die Passwortabfrage am unbefugten Zugriff. Jetzt ist die Zeit gekommen, zu überprüfen, dass bei der Passwortwahl nur sichere Passwörter zugelassen sind (was genau ein sicheres Passwort ausmacht, ist allerdings strittig), dass Passwörter je nach Bedarf geändert werden müssen und dass Mitarbeiter keine Passwörter auf Notizzettel schreiben und an ihren Monitor kleben.

avast! Antivirus

Mehr als 200 Millionen Nutzer vertrauen avast! beim Schutz Ihrer Geräte - mehr als jedem anderen Antiviren-Programm. Und jetzt ist avast! noch besser. Jetzt herunterladen!

Möchten nicht auch Sie wissen, wie zufrieden andere Anwender mit der Nutzung ihrer CRM-Anwendung imSaaS-Modell sind, warum sie sich dagegen entschieden haben oder sich gar nicht damit beschäftigen wollen? Diesen und anderen Fragen geht Hassan Hosseini von The-Industry-Analyst.com in Kooperation mit dem Herausgeber von silicon.de in der aktuellen Umfrage zur CRM Nutzung als "Software as a Service" in Deutschland nach.

Jetzt teilnehmen!

Letzter Kommentar




Eine Antwort zu Trotz RSA-Hack: SecurID bleibt weiter Pflicht

  • 20. April 2011 à 23:04 von Tommy

    RSA ist gehackt und damit untragbar geworden. Sicherheit ist da nicht mehr zu finden. Auch wenn man versucht, das schön zureden.

Hinterlasse eine Antwort

  • Erforderliche Felder sind markiert *,
    Deine E-Mail-Adresse wird nicht veröffentlicht.

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>