Suchen

Sicherheitslücke bei RSA Lernen Security-Anbieter aus Diebstahl geheimer SecureID-Token-Daten?

| Autor / Redakteur: Martin Kuppinger / Stephan Augsten

Erst kürzlich musste RSA Security bekanntgeben, dass es einen Angriff auf die so genannten Seeds der RSA SecurID-Tokens gegeben hat. Seeds sind jene von RSA gespeicherten geheimen Informationen, aus denen die Einmal-Kennwörter generiert werden. Das Schadensausmaß ist zwar noch unklar, doch lassen sich aus dem Vorfall einige Lehren ziehen.

Firma zum Thema

Nicht unantastbar: Der Datendiebstahl bei RSA zeigt, dass Unternehmen sich mehrere Security-Optionen offen halten sollten.
Nicht unantastbar: Der Datendiebstahl bei RSA zeigt, dass Unternehmen sich mehrere Security-Optionen offen halten sollten.
( Archiv: Vogel Business Media )

Im Fall Seed-Diebstahl bei RSA ist nicht bekannt, in welchem Umfang Informationen abgezogen wurden. Die Identität des Angreifers ist ebenfalls unbekannt – und auch die Frage, welche Angriffe darauf basierend erfolgt sind oder erfolgen könnten, ist noch offen. Dennoch gibt es ein klares Sicherheitsrisiko, weil eben ein Faktor der Starken Authentifizierung nicht mehr sicher ist.

Die Geräte und gegebenenfalls ergänzend genutzte Login-Daten wie Benutzernamen, Kennwörter oder PINs sind natürlich nicht direkt betroffen. Über Phishing-Angriffe könnte ein Angreifer jetzt aber versuchen, diese Informationen abzugreifen und damit erfolgreiche Angriffe auf über die RSA SecurID geschützte Systeme zu fahren.

Das offensichtliche Problem ist, dass geheime Informationen eben doch nicht gut genug geschützt waren. Letztlich gibt es keine absolute Sicherheit – ein Restrisiko besteht immer, wie auch in diesem Fall. Damit stellt sich aber die Frage, wie man mit Sicherheit umgehen kann.

Wie RSA-Kunden reagieren können

Deutlich wird, dass es riskant ist, sich auf einen spezifischen Mechanismus zu verlassen. Wer heute Lösungen auf Basis der RSA SecurID-Tokens einsetzt, muss sich überlegen, wie er nun reagiert. Es gilt, das Risiko neu zu bewerten und Maßnahmen zu ergreifen.

Die logischen Maßnahmen sind schärfere Audits der Systeme, auf die zugegriffen wird, um etwaige Angriffe schnellstmöglich zu erkennen. Ein Austausch des Verfahrens ist dagegen meist schwierig, weil es in vielen Fällen sehr eng mit Anwendungen integriert ist und kein unmittelbar, ohne großen logistischen Aufwand nutzbares Alternativverfahren zur Verfügung steht.

Das gilt übrigens nicht nur für die RSA SecurID, sondern letztlich für alle Mechanismen – ein Restrisiko besteht immer. Und für diesen Fall muss man gewappnet sein.

Seite 2: Flexible Authentifizierung bringt Alternativen ins Spiel

(ID:2050718)