RSA-Hack könnte Sicherheit von SecurID-Tokens gefährden
Unbekannte haben Daten von den Servern des Herstellers RSA gestohlen. Dies beeinträchtigt offenbar die Sicherheit vieler weltweit eingesetzter Authentifzierungssysteme. RSA warnt nun Kunden.
- Daniel Bachfeld
RSA, einer der weltweit führenden Hersteller von Kryptolösungen, ist Opfer eines Angriffs geworden, bei dem Daten von Unternehmenservern gestohlen wurden. Laut einer Mitteilung des RSA-CEO Art Coviello an RSA-Kunden seien dabei auch Informationen über die verbreiteten SecurID-Produkte ausgespäht worden, was möglicherweise deren Sicherheit gefährde.
SecurID ist eines der ältesten Systeme für Zweifaktor-Authentisierung zur sicheren Anmeldung an Rechnern und den meisten als Hardware-Token bekannt, der alle 60 Sekunden ein One-Time Password (OTP) generiert. Es sollen weltweit 40 Millionen Token bei Angestellten in Unternehmen im Einsatz sein, dazu kommen Schätzungen zufolge 250 Millionen Software-Versionen etwa auf mobilen Geräten.
Laut Coviello könnten die ausgespähten Daten die "Effektivität der Implementierung der Zweifaktor-Authentifizierung" verringern, was die unbekannten Eindringlinge bei späteren Angriffen ausnutzen könnten. Was für Daten genau abhanden gekommen sind, schreibt Coviello nicht. Es wird spekuliert, dass der SecurID-Quellcode oder sogar die sogenannten Seeds kopiert wurden. Mit dem Quellcode ließe sich der Algorithmus zum Erzeugen der OTPs oder sogar Sicherheitslücken in der RSA-Software finden. Aus den Seeds leiten sich alle jemals von einem Token generierten OTPs ab.
Angreifer könnten mit Kenntnis des Algorithmus und der Seeds vermutlich alle OTPs berechnen. Allerdings ist zum Einloggen auf SecurID-Systemen neben dem OTP noch ein Passwort erforderlich. RSA gibt Kunden nach eigenen Angaben jetzt Hinweise, wie sie die Sicherheit ihrer SecurID-System erhöhen können. In einer offiziellen Mitteilung (PDF) an die US-Börsenaufsicht führt das zu EMC gehörende Unternehmen mehrere Empfehlungen auf. Ein möglicher Austausch von Tokens wird dort jedoch nicht aufgeführt.
Der Angriff auf die RSA-Server war offenbar eine größer geplante Aktion. Nach bisherigen Erkenntnissen handelt es sich um einen sogenannten "Advanced Persistent Threat " (APT). Der Begriff steht in der Regel mit Industriespionage durch andere Länder im Zusammenhang, ähnlich wie bei Google im vergangenen Jahr. (dab)
