RSA tauscht nach Hack bis zu 40 Millionen SecurID-Tokens aus

Der Diebstahl sicherheitsrelevanter Informationen über das 2-Faktor-Authentisierungssystem SecurID von RSA hat weitreichendere Folgen, als der Hersteller zunächst zugeben wollte: Knapp drei Monate nach dem Vorfall beginnt RSA nun mit dem Austausch der rund 40 Millionen Hardware-Tokens. Dies gab RSA-Chairman Arthur W. Coviello in einem offenen Brief bekannt. SecurID ist eines der ältesten Systeme für Zweifaktor-Authentisierung zur sicheren Anmeldung an Rechnern und den meisten als Hardware-Token bekannt, der alle 60 Sekunden ein One-Time Password (OTP) generiert. Es sollen weltweit 40 Millionen Token bei Angestellten in Unternehmen im Einsatz sein, dazu kommen Schätzungen zufolge 250 Millionen Software-Versionen etwa auf mobilen Geräten.

Bereits kurz nach dem Einbruch warnte RSA, dass der Vorfall zwar Einfluss auf die Sicherheit des Systems haben könne, sich jedoch nicht für einen direkten Angriff eignen würde. Welche Daten genau entwendet wurden, wollte RSA jedoch auch auf Nachfrage von heise Security nicht bekannt geben. Gegenüber ars technica erklärte Coviello nun, dass RSA damals nicht das volle Ausmaß der Katastrophe bekannt gegeben hat, da dies den Hackern gezeigt hätte, was sie mit den gestohlenen Daten anfangen könnten.

Der Austausch lässt darauf schließen, dass bei dem Angriff sowohl sämtliche Seeds als auch die zur Berechnung der One-Time Passwords (OTP) nötigen Algorithmen entwendet wurden. Die neuen Tokens sind vermutlich schlicht mit Seeds ausgestattet, die noch nicht im Besitz der Kriminellen sind.

Coviello geht davon aus, dass die Kriminellen die Daten über SecurID wahrscheinlich gezielt gestohlen haben, um sich damit Zugang zu Militärgeheimnissen zu verschaffen. RSA hat die Tokens in Regierungseinrichtungen und Rüstungsunternehmen daher bereits ausgetauscht. Er bestätigte zudem, dass die erbeuteten Informationen beim Angriff auf das US-Rüstungsunternehmen Lockheed Martin genutzt wurden. (rei)