Für Aufsehen sorgte gestern eine Meldung, wonach Computerexperten in Windeseile einen gängigen Sicherheitsschlüssel für Firmennetzwerke und Daten geknackt haben wollen (--> wir berichteten). Nun meldet sich mit der Firma RSA einer der größten Hersteller derartiger Verschlüsselungsgeräte – sogenannter "Token" – zu Wort und widerspricht: Die aufgezeigte Attacke sei in der Praxis nutzlos und die Systeme seien sicher.
RSA-Technologiechef Sam Curry zerpflückt in einem Blogeintrag die Ergebnisse der Computerexperten: Es handle sich um eine akademische Herangehensweise. Praktisch anwendbar sei diese jedoch nicht, da der Angreifer Zugang zu dem Verschlüsselungsgerät selbst bräuchte und zur PIN-Nummer, die ein Nutzer zusätzlich besitzt. Wenn er aber beides besäße, dann müsste er ohnehin nichts mehr knacken. Betroffen sei auch allein die Smartcard-Funktion des Tokens, nicht aber die Funktion, nur einmal gültige Passwörter zu erzeugen.
Token sind millionenfach verbreitet. Die handlichen Geräte in der Größe eines Schlüsselanhängers geben zufällig erzeugte Zahlenfolgen aus, die nur für jeweils kurze Zeit als Passwort dienen. Mithilfe dieses Passworts können sich Mitarbeiter von außen in firmeneigene Computernetzwerke einwählen oder vertrauliche Daten verschlüsseln.
Eine Gruppe von IT-Experten aus europäischen Universitäten hatte in einem Diskussionspapier erklärt, die Sicherheitsbarrieren verschiedener Hersteller von Verschlüsselungstechniken in Minuten überwunden zu haben. Für die Branche wäre das ein schwerer Schlag. "Die Attacke ist unbrauchbar", versicherte Curry. Die Forscher hätten mit ihrer Arbeit nicht wirklich Neuland betreten. (dpa/tö)