Web-Sicherheit

Juni 8, 2011

RSA tauscht 40 Millionen SecurID-Tokens aus

Filed under: Allgemein — sebastiankuebeck @ 07:41
Tags: , , , , ,

Das Sicherheitsunternehmen RSA Security geht nun doch davon aus, dass bei dem Einbruch im März Informationen entwendet  wurden, mit denen das 2-Faktor-Authentifizierungsverfahren SecurID umgangen werden kann. Offenbar haben die Einbrecher diese Informationen bereits genutzt, um das US-Rüstungsunternehmen Lockheed Martin erfolgreich anzugreifen. Wie aus einem offenen Brief von RSAs Chairman Arthur W. Coviello hervorgeht, zieht RSA Security die Notbremse und tauscht nun 40 Millionen SecurID-Tokens aus.

Besorgniserregend hierbei ist, dass SecurID zu den wichtigsten Authentifizierungsverfahren in besonders kritischen Bereichen wie dem Bankwesen, dem Gesundheitswesen, der Energieversorgung, dem öffentlichen Bereich und dem Militär zählt. Das liegt daran, dass sich dieses Verfahren auf der einen Seite relativ einfach in bestehende Infrastrukturen einbinden ließ und auf der anderen Seite doch ein deutlich höheres Maß an Sicherheit als die Passwortautentifizierung bot. Letzteres galt zumindest so lange, als es Angreifern nicht möglich war, die Zahlencodes, die der Token anzeigt, vorherzusagen. Unglücklicherweise ist genau das passiert und damit stehen nun zahlreiche Unternehmen und Behörden vor einem praktisch unlösbaren Problem, denn was sollen sie unternehmen, bis RSA die Tokens tatsächlich austauscht?

Das Authentifizierungsverfahren zu verbannen ist in den meisten Fällen keine praktikable Lösung, da es in vielen Fällen Jahre dauern kann, alle Systeme umzurüsten. Es würde damit erheblich länger dauern, ein neues Authentifizierungsverfahren einzuführen, als auf die neuen Tokens zu warten. Auf der anderen Seite sind betroffene Organisationen in der Zeit, bis die Tokens ausgetauscht sind, ganz besonders verwundbar. Radikale Maßnahmen wie besonders sensible Computer vom übrigen Firmennetz abzukoppeln, gehen in den meisten Fällen mit einer erheblichen Einschränkung der Geschäftstätigkeit einher, weshalb das auch keine Lösung ist.

Das Grundproblem ist nach wie vor, dass bei der IT-Sicherheit viel zu lange weggesehen wurde. Schließlich hat es für Adobe & Co (der Einbruch bei RSA wurde durch eine Schwachstelle in Adobes Flash-Player-Plugin erst möglich) nach wie vor keine wie auch immer gearteten Konsequenzen, wenn sie verwundbare Software ausliefern und Sicherheitsaktualisierungen monate- oder jahrelang hinauszögern.

Gleichzeitig – und das ist das Hauptproblem – haben wir uns inzwischen der vernetzten IT auf Gedeih und Verderb ausgeliefert, wobei sich bei den meisten Systemen keiner wirklich Gedanken über die Sicherheit gemacht hat. So ist das Hacken inzwischen zu einem Milliardengeschäft und zum bevorzugten Mittel zur Informationsbeschaffung von Geheimdiensten geworden.

Meiner Meinung nach wird es daher früher oder später zwangsläufig zu einer „Entnetzung“ in kritischen Bereichen kommen, also zu einer Gegenbewegung zu der gegenwärtigen bedenkenlosen Vernetzungswut, bei der jegliche Sicherheitsprobleme einfach ignoriert werden. Bis es soweit ist, wird es allerdings noch sehr viel schlimmer werden. Sehr viel schlimmer. Erst dann wird der Leidensdruck groß genug, dass die Entnetzung allgemein akzeptiert wird.

Anfang des 22. Jahrhunderts wird man wohl auf unsere Zeit zurückblicken und sich wundern, wie naiv die Menschen mit vernetzter Informationstechnologie am Anfang des 21. Jahrhunderts umgegengen sind, genauso wie wir uns heute wundern, wie naiv Leute am Anfang des 20. Jahrhunderts mit der Radioaktivität umgegangen sind. Es gab damals beispielsweise radioaktive Zahnpasta und Gefäße, mit denen man das Trinkwasser verstrahlen konnte, damit es „gesünder“ würde…

Diese radioaktive Zahncreme wurde zwischen 1945 und 1950 verkauft…

3 Kommentare »

  1. […] um beim Rüstungskonzern Lokheed Martin einzubrechen. Nun sieht sich RSA Security gezwungen, 40 Millionen SecureID-Tokens auszutauschen. Kommentare (2) LikeSei der Erste, dem dieser post […]

    Pingback von Sicherheitsunternehmen RSA Security gehackt « Web-Sicherheit — Juni 8, 2011 @ 10:34 | Antwort

  2. […] Rüstungsunternehmen wie Lockheed Martin. Daraufhin sah sich RSA Security gezwungen, über 40 Millionen im Einsatz befindliche SecurID-Tokens auszutauschen, konnte sich allerdings erst nach deri Monaten dazu durchringen, wodurch dem Unternehmen auf der […]

    Pingback von Einbruch bei RSA ging offenbar von China aus « Web-Sicherheit — August 6, 2011 @ 16:49 | Antwort

  3. […] und anderen US-Rüstungsunternehmen einzubrechen. Schlussendlich musste RSA Security 40 Millionen SecureID-Tokens austauschen. […]

    Pingback von Laut Adobe wurden keine Flash-Player-Lücken unterschlagen « Web-Sicherheit — August 19, 2011 @ 09:56 | Antwort


RSS feed for comments on this post. TrackBack URI

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Bloggen auf WordPress.com.

%d Bloggern gefällt das: