Nach Angriff auf Lockheed Martin

RSA bietet Austausch von SecureID-Tokens an

Thomas Cloer war Redakteur der Computerwoche.
Image-GAU: EMCs Sicherheits-Tochter RSA Security wird vermutlich so ziemlich jedes seiner 40 Millionen im Umlauf befindlichen "SecureID"-Tokens austauschen.

Mitte März hatte RSA mitgeteilt, dass es selbst Opfer eines ausgesprochen ausgefuchsten Cyber-Angriffs geworden sei, bei dem die Angreifer wichtige Informationen im Zusammenhang mit der Zwei-Faktor-Authentifizierung SecurID abgreifen konnten. Inzwischen scheint klar, dass die Cracker die erbeuteten Informationen für den kürzlichen Angriff auf den US-amerikanischen Rüstungskonzern Lockheed Martin benutzt haben.

Einer Meldung des Branchendienstes "Ars Technica" zufolge dürfte es bereits ähnliche Attacken auf die Rüstungskonzerne Northrop Grummon und L-3 Communications gegeben haben. Nun blieb RSA-Chef Art Coviello wohl keine andere Möglichkeit mehr, als erneut einen offenen Brief an die Kundschaft zu schreiben.

Darin bietet RSA Kunden "mit konzentrierter Nutzerbasis, die typischerweise auf den Schutz ihres geistigen Eigentums und ihres Firmennetzes fokussiert" sind, den Austausch ihrer SecurID-Tokens an. Damit ist offensichtlich, dass die aktuellen Tokens nicht mehr die Sicherheit bieten, die sie eigentlich versprechen - auch wenn laut Coviello der Angriff auf Lockheed Martin "keine neue Bedrohung oder Schwachstelle in der RSA SecurID-Technik darstellt".

Consumer-zentrischen Kunden mit eine großen, verteilten Nutzerbasis (typischerweise fokussiert auf den Schutz webbasierender Finanztransaktionen, sprich Online-Banking) offeriert RSA übrigens alternativ gleich die Implementierung seiner risikobasierenden Authentifizierungs-Strategien.

Die SecurID-Tokens funktionieren auf Basis eines geheimen, von RSA entwickelten Algorithmus - der mittlerweile öffentlich bekannt ist - und eines sogenannten Seed-Wertes, mit dem jedes Token eineindeutig initialisiert wird. Laut "Ars" dürften die Angreifer im März eben genau solche Seeds erbeutet haben, was die betroffenen Tokens im Prinzip nutzlos macht und ihre Schutzstärke auf die herkömmlicher Passwörter (mit allen Risiken hinsichtlich Keyloggern und Wiederverwendung) reduziert.

Allen Beteuerungen Coviellos zum Trotz dürfte die SecurID-Panne das Kundenvertrauen in SecurID und RSA ingesamt wohl nachhaltig in Mitleidenschaft ziehen. Wie sich das längerfristig auf Geschäftserfolg und Finanzen auswirkt bleibt abzuwarten. (cowo/cm)

Zur Startseite