AuthentifizierungBig DataData & StorageDossiersIT-ManagementIT-ProjekteSicherheitSicherheitsmanagement

Trotz RSA-Hack: SecurID bleibt weiter Pflicht

0 0 1 Kommentar

Datendiebe sind bei RSA eingebrochen und konnten Daten des SecurID-Systems entwenden. Durch die Zwei-Faktor-Authentifizierung ist das System zwar noch sicher, trotzdem sollten nun die Passwörter der SecurID-Nutzer auf den Prüfstand.

Das Zweifaktor-Authentifizierungsverfahren wird von vielen als der Goldstandard zur Absicherung des Zugangs zur Firmen-IT angesehen. Das Konzept dahinter ist, dass zwei Komponenten zum Einloggen nötig sind: etwas, das man besitzen muss (wie etwa ein Token) und etwas, das man wissen muss (wie etwa ein Passwort).

In vielen Firmen beispielsweise ist die Verwendung einer Smartcard mit integriertem ID-Chip zusammen mit einem Kartenlesegerät nötig, damit Angestellte Zugriff auf die EDV erhalten. Nach dem Einschieben der Smartcard in das Lesegerät wird die Passworteingabe freigegeben.

Das SecurID-Sicherheitssystem von RSA besteht aus einem Token, der nicht mit dem Computer verbunden werden muss. Der Token zeigt dem Benutzer eine Nummer an, die sich alle 30 Sekunden ändert. Der Benutzer kann durch das Eintippen der angezeigten Nummer bei der SecurID-Eingabeaufforderung nachweisen, dass er ein Token besitzt; danach folgt die Passwortabfrage. In der Tatsache, dass RSA ganz genau weiß, welche Nummer zum jeweiligem Zeitpunkt korrekt ist, liegt zumindest teilweise die Stärke des Verfahrens begründet – die Rechner müssen nicht extra mit Kartenlesegeräten ausgestattet werden, damit auf das Zweifaktor-Authentifizierungsverfahren zurückgegriffen werden kann.

Haben Hacker den SecurID-Algorithmus geklaut?

Der Algorithmus, mit dessen Hilfe RSA die Nummern überprüft, könnte Teil des Datenmaterials sein, das Hackern aufgrund einer Sicherheitslücke im Rechnersystem von RSA in die Hände fiel. RSA bemüht sich nun nach Kräften, alle Kunde davon zu überzeugen, dass ihre Daten nach wie vor sicher sind. Wahrscheinlich hat RSA recht. Der reine Besitz des Algorithmus reicht nicht aus, um jemandem den Einbruch in ein bestehendes, abgesichertes Computersystem zu ermöglichen.

Der Algorithmus kann Aufschluss geben über den Mechanismus, der dahintersteckt, aber deswegen sind die Hacker noch lange nicht im Besitz der Nummern, die sich alle 30 Sekunden ändern. Selbst wenn man einen Firmenschlüssel von RSA stehlen würde, hätte dies keine Auswirkungen, da er keine Informationen über die richtige Token-Nummer für den jeweiligen Zeitpunkt preisgibt.

Wahrscheinlicher ist, dass jemand darauf brannte, mehr über das RSA SecurID-Sicherheitssystem zu erfahren, entweder um ein eigenes Konkurrenzprodukt zu entwickeln oder um mittels Reverse-Engineering-Analysen am Ende Zugang zu den geschützten Informationen eines Tokens zu erlangen. Aber Tatsache ist: wir können nur Mutmaßungen anstellen, denn RSA hat lediglich mitgeteilt, dass Daten in Zusammenhang mit SecurID gestohlen wurden, aber das Unternehmen schweigt sich darüber aus, um was für Daten es sich dabei handelte.

Passwörter müssen sicher sein

Konkret bedeutet dies, dass keine unmittelbare Bedrohung besteht, selbst wenn diejenigen, die die Daten von RSA gestohlen haben, herausfinden, wie man den SecurID-Code knackt. Es bedeutet auch, dass die IT-Verantwortlichen darauf achten müssen, dass neben der Benutzung von SecurID-Token sichere Passwörter gewählt werden und die Verwendung solcher Passwörter obligatorisch ist.

Zudem ist ein Großteil der Hacker, die in das Computersystem Ihrer Firma einbrechen wollen, wahrscheinlich nicht identisch mit denjenigen Hackern, die bei RSA eingebrochen sind. Aber selbst wenn es dieselben sind, hindert sie die Passwortabfrage am unbefugten Zugriff. Jetzt ist die Zeit gekommen, zu überprüfen, dass bei der Passwortwahl nur sichere Passwörter zugelassen sind (was genau ein sicheres Passwort ausmacht, ist allerdings strittig), dass Passwörter je nach Bedarf geändert werden müssen und dass Mitarbeiter keine Passwörter auf Notizzettel schreiben und an ihren Monitor kleben.

Der Einbruch bei RSA bedeutet auch, dass verstärkt darauf geachtet werden muss, dass Mitarbeiter die Richtlinien für den sicheren Umgang mit Computern beachten, was sie sowieso tun sollten. Vielleicht müssen sie daran erinnert werden, keine Anhänge von E-Mails, die von unbekannten Absendern stammen, zu öffnen und ihre Passwörter niemandem preiszugeben. Darüber hinaus sollten leitende Sicherheitsbeauftragte ein Auge auf gescheiterte Zugangsversuche haben und ebenfalls auf alle Änderungen von Privilegien und Zugriffsrechten achten; alles Dinge, die sowieso gang und gäbe sein sollten.

Obwohl die Zweifaktor-Authentifizierung äußerst sicher ist, kann sie schlechte Sicherheitspraktiken nicht wettmachen. Anders ausgedrückt, SecurID ist kein Allheilmittel, nur ein äußerst praktisches Sicherheitstoken. Aber dabei bleibt es immer noch nur ein Token. Selbst ohne den Datendiebstahl bei RSA besteht Potenzial für die falsche Verwendung von Token. Token sind ebenfalls anfällig für Social-Engineering-Attacken oder können einfach gestohlen werden. Der Nachteil bei einer so effektiven Sicherheitslösung wie SecurID ist, dass sie leicht zu selbstgefälligem Verhalten verführt. Dies wiederum führt dazu, dass der Schutz gegen Zugriffe, die mit oder ohne SecurID erst gar nicht vorkommen sollten, verloren geht.

Das SecurID-Token bleibt weiterhin Pflicht

Für den Moment besteht wohl keine Gefahr. Die ungewisse Identität der Datendiebe sowie ihre Beweggründe sollten Ihnen jedoch Sorge bereiten. Es liegt auf der Hand, dass dieser Angriff von technisch hoch versierten Hackern durchgeführt wurde und dass diejenigen, die sich solche Mühe gemacht haben, sicher einen guten Grund dafür hatten. Versuchten sie, die Betriebsgeheimnisse von RSA zu stehlen, um ein Konkurrenzprodukt zu entwickeln? Handelte es sich dabei um Russen, Chinesen, Terroristen, Verbrecherbanden oder eine andere Gruppierung, die Regierungsgeheimnisse ausspionieren wollte? Erst, wenn wir wissen, was gestohlen wurde, wer die Daten geraubt hat und weshalb, dann wird es einfacher, sich gegen einen solchen Angriff zu schützen.

Verwenden Sie Ihr SecurID-Sicherheitssystem vorerst weiter. Aber setzen Sie diejenigen Sicherheitsrichtlinien, die in der Branche als Standard gelten, in die Praxis um – dies sollte in Ihrer Firma sowieso schon der Fall sein. Sie sollten darüber nachdenken, einen zweiten Typ der Zweifaktor-Authentifizierung einzuführen, nur für den Fall des Falles, obwohl es derzeit keinen Beweis gibt, dass die bestehenden Authentifizierungssysteme tatsächlich geknackt wurden. Letzten Endes ist es jedoch eine gute Idee, ein Sicherheitssystem als Reserve vorzuhalten, falls eines davon seinen Dienst versagt.