RSA SecurID – was tun?
Die Nachricht schlug im März ein wie eine Bombe: Hacker hatten sich Zugang zum Rechenzentrum verschafft, in dem ausgerechnet RSA, ein renommierter Anbieter von IT-Sicherheitslösungen, seine Kronjuwelen aufbewahrt: Die Identitätsnummern seiner SecurID genannten Hardware-Token, mit dem sich so genannte Einmal-Passwörter generieren lassen und mit dem Unternehmen und Regierungsstellen auf der ganzen Welt Netzwerke und Systeme vor unbefugtem Zugriff schützen.
Doch das war nur der Anfang. Im Juni haben nacheinander gleich drei große US-Waffenhersteller Angriffe gemeldet, die offensichtlich mit Hilfe der beim RSA-Hack erbeuteten Token-IDs von »äußerst geschickten« Hackern durchgeführt worden sind. Bei Lockheed Martin, Erbauer des Tarnbombers F-22, und L-3, ein Hersteller von unbemannten Kampfdrohnen, wurde erfolgreich eingebrochen. Northrop Grumman, der zweitgrößte Rüstungskonzern Amerikas, gab lediglich eine kurze Mitteilung heraus, nach der man einen »Domainnamen- und Passwort-Reset im gesamten Unternehmen« durchgeführt habe. Insider ahnten sofort: Das kann nur mit SecurID zu tun haben.
Verunsicherte RSA-Kunden
Unternehmenskunden von RSA auf der ganzen Welt sind aufgescheucht. Wie sicher sind unsere Systeme, fragen Sie mit Recht. Doch was tun? SecureID ist viel zu tief in die Firmen-DNA der meisten großen Firmen hinein verwoben, als dass man es einfach abschalten und auf ein anderes System überwechseln könnte. Selbst Lockheed-Martin gab lediglich bekannt, dass man rund 70 000 Tokens habe austauschen lassen. Das System wechseln wollte (oder konnte?) man nicht.
RSA hüllt sich bislang zu dem Vorfall weitgehend in Schweigen – verständlicherweise, da jede weitere Information den Hackern womöglich in die Hände spielen würde. Doch damit wächst bei den Kunden die Unruhe nur weiter. Doch bevor man jetzt die Notbremse zieht und panikartig auf ein anderes System umsteigt, was in vielen Fällen schon aus logischsten und Kostengründen gar nicht möglich ist, sollten SecurID-Anwender lieber in aller Ruhe die Lage sondieren und geeignete Maßnahmen überlegen, von denen es eine ganze Reihe gibt.
Die Analysten von KuppingerCole raten zunächst dazu, mit organisatorischen Mitteln an das Thema heranzugehen. Als allererstes gilt es, eine gründliche Risikoanalyse durchzuführen um festzustellen, was überhaupt im schlimmsten Fall für Schäden entstehen können und wie viel man investieren kann und soll, um ihnen vorzubeugen. Das Risiko sei vor allem dort am größten, wo SecurID-Token als einziger Schutzmechanismus eingesetzt werden, da ein Angreifer lediglich den Benutzernamen des Anwenders ausfindig machen muss, um ins System zu gelangen. Dies ist heute mit so genannten »sozialen Angriffen« möglich, etwa Phishing oder Spearphishing (individualisierte Angriffe auf Anwender innerhalb einer Organisation, die sich als Mails von Systemadministratoren oder Mitarbeiter der IT-Abteilung tarnen und den »lieben Kollegen« bitten, mal schnell den Benutzernamen, zum Beispiel wegen anstehender Wartungsarbeiten, anzugeben). In diesem Zusammenhang rät KuppingerCole dazu, verstärkt an die eigenen Mitarbeiter zu appellieren, die Stärke ihrer Passwörter zu erhöhen und niemals ihr Passwort an andere weiter zu geben.
Da seit dem Hackerangriff grundsätzlich alle RSA SecurID Tokens als unsicher zu gelten haben, ist ferner zu überlegen, ob sie kurzfristig durch geeignete Maßnahmen wie zum Beispiel die Verwendung eines zusätzlichen Domain-Passworts abgesichert werden können. Andere technische Lösungen brauchen in der Regel zu lange, bis sie greifen, um kurzfristig wirkungsvollen Schutz zu bieten. Martin Kuppinger, Lead Analyst und Mitbegründer von KuppingerCole, sieht vier mögliche Ansätze, um potenziell kompromittierte Systeme schnell und wirkungsvoll zu sichern:
SecurID abschalten und für Anwendungen wie Remote Desktop Access kurzfristig auf webbasierte Schnittstellen mit konventioneller Benutzername/Passwort-Kombination umstellen. Alternativ seien auch zertifikats-basierte Sicherheitssysteme, zum Beispiel für Laptops, ohne allzu großen Aufwand realisierbar.
RSA-Tokens austauschen. Der Hersteller hat ersten Kunden bereits ein entsprechendes Angebot gemacht. Eine solche Rückrufaktion ist zwar mit viel Aufwand verbunden und kann zu einer vorübergehenden Verlangsam von Unternehmensprozessen führen, ist aber überall dort anzuraten, wo hohe Sicherheitsanforderungen vorliegen.
In manchen Fällen mag auch ein Austausch des Passworts oder der Seed-Informationen im Token möglich sein, was mit deutlich weniger Aufwand verbunden wäre.
Nur in begründeten Ausnahmefällen ist anzuraten, von RSA SecurID auf ein anderes Produkt zur Zweifaktor-Authentifizierung umzusteigen. Dies ist in der Regel nur dann kurzfristig sinnvoll und möglich, wenn Platformen zur so genannten Versatile Authentication bereits installiert sind, oder wenn das RADIUS-Protokoll als Brücke zwischen der Anwendung und einem Autorisierungs-Service verwendet wird.
Mittelfristig müssen Unternehmen nach Ansicht von KuppingerCole ihre Strategie in Sachen Strong Authentication auf den Prüfstand heben. Allzu häufig ist der Autorisierungsmechanismus heute fester Bestandteil der Anwendung, was zu vermeidbaren Mehrkosten in der Softwareentwicklung und zu erhöhten Sicherheitsrisiken führen kann. Durch das Entkoppeln des Authentifizierungsmechanismus von der eigentlichen Anwendung kann die Einführung neuer Applikationen signifikant beschleunigt und die Anwendungssicherheit erhöht werden.
Das Entkoppeln von Authentifizierung und Anwendung versetzt Organisationen vor allen Dingen in die Lage, schnell zu reagieren, wenn sich ein verwendeter Sicherheitsmechanismus als zu aufwändig und teuer, oder wie im Fall von RSA SecurID plötzlich über Nacht als potenzielle Gefahrenquelle für die IT-Systeme entpuppt.
Tim Cole ist Gründer und Leiter des US-Büros von KuppingerCole, einer deutschen Analystengruppe, die sich auf Identity Management, Compliance und Cloud Security spezialisiert hat.