© apa

RSA-Chef
06/14/2011

"Lockheed konnte sich erfolgreich verteidigen"

Der Ruf der IT-Sicherheitshersteller RSA Security wurde durch den Angriff auf seine SecurID-Token, die etwa die Rüstungsfirma Lockheed Martin einsetzt, hart getroffen. Im futurezone-Gespräch versucht RSA-Chef Art Coviello, Kunden und Kritiker zu beruhigen.

von Christiane Schulzki-Haddouti

Für den führenden IT-Sicherheitsanbieter RSA Security ist das ein möglicherweise kostspieliges Angebot: Vergangene Woche bot RSA-Chef Art Coviello den 25.000 Kunden seines Unternehmens an, sämtliche der im Umlauf befindlichen "SecurID-Token" auszutauschen. Dabei handelt es sich um elektronische Schlüssel, deren PIN sich ständig ändert. Die jeweils neue PIN können die Kunden einem kleinen elektronischen Gerät entnehmen, das ihnen persönlich gehört. Verwendet wird das Verfahren in Unternehmen für alle möglichen Authentifizierungsvorgänge, unter anderem auch für das Intranet.

Vertrauen verspielt?
Rund 40 Millionen Schlüssel sollen sich derzeit im Umlauf befinden. Die Aktion könnte RSA damit teuer zu stehen kommen. Gleichwohl steht noch etwas Wertvolleres auf dem Spiel: Das Vertrauen der Kunden.

Hintergrund ist ein Hackerangriff auf den US-Rüstungskonzern Lockheed Martin vor vier Wochen, bei dem Informationen verwendet wurden, die im März (

) bei einem Angriff auf RSA erlangt wurden. Gemeinsam mit RSA untersuchte der Konzern den Vorfall, der erhebliche Verunsicherungen bei RSA-Kunden führte. RSA-Chef Coviello beteuerte gegenüber der futurezone: „Lockheed Martin konnte sich erfolgreich verteidigen.” Der Rüstungskonzern habe im Übrigen beschlossen, die RSA-Token weiter zu verwenden.

RSA-Chef Coviello glaubt, dass die Sicherheitsempfehlungen, die RSA nach dem Angriff an seine Kunden gab, grundsätzlich ausreichen. Er versichert: „Die SecurID-Token waren nach dem Einbruch nicht betroffen.”

Austausch zur Vertrauensgewinnung
Doch Coviello konnte allein damit offenbar wichtige Kunden nicht mehr beruhigen: Die New York Times berichtete, dass eine Anzahl von RSA-Kunden, darunter Banken, über die verspätete und langsame Reaktion des Unternehmens verärgert  seien und die nun einen, gleichwohl aufwändigen, Wechsel von RSAs Token-System auf ein Smartcard-System eines anderen Herstellers erwägen.

Das aktuelle Austauschangebot scheint daher vornehmlich dem Vertrauenserhalt zu dienen, da, so schreibt Coviello in einem offenen Brief an seine Kunden, „die Risikotoleranz bei manchen Kunden deutlich reduziert“ wurde. Üblicherweise werden die Token alle ein bis fünf Jahre ausgetauscht. Kunden können also nun vorzeitig ihre Schlüssel erneuern lassen. RSA rechnet allerdings nicht damit, dass alle Kunden das Angebot nutzen werden.

Die Spur führt nach China
Es wird spekuliert, dass die Angreifer bei RSA Algorithmen erbeuten konnten, wie sie für die Erzeugung der PINs für die digitalen Schlüssel verwendet werden. Bis heute weigert sich RSA jedoch mitzuteilen, welche Informationen über das Sicherheitssystem "SecurID" abgegriffen werden konnten.

Vermutungen, chinesische Hacker steckten hinter dem Angriff, will Coviello nicht bestätigen. „Wir haben eine gewisse Ahnung, da wir aus wohlwollender Quelle einen Hinweis erhalten haben”, sagt der RSA-Chef, „aber wir werden nicht veröffentlichen, wer es war”. Dafür verweist er auf ein „laufendes Ermittlungsverfahren”.

Der amerikanische Sicherheitsexperte Brian Krebs glaubt jedenfalls in dem gezielten Ausnutzen undokumentierter Sicherheitslücken die Methode chinesischer Hacker zu erkennen, wie sich in verschiedenen US-Depeschen des US-Außenministeriums beschrieben wurde, die Wikileaks veröffentlicht hat. Die Depeschen werteten Angriffe chinesischer Hacker auf US-Regierungseinrichtungen und amerikanische Unternehmen über einen Zeitraum von fünf Jahren aus.

Angreifbar durch Zero-Day-Exploits
RSA konnte aufgrund eines Zero-Day-Exploits angegriffen werden. Dabei handelt es sich um das Ausnutzen von Sicherheitslücken in Standardsoftware. Diese Lücken wurden bis zum Zeitpunkt der Attacke nicht dokumentiert, daher gibt es auch noch keine Gegenmaßnahmen. Coviello hält sie für „sehr gefährlich, da es keinen Virenschutz gibt.“ Er glaubt, dass es daher wichtig ist, „dass alle Unternehmen und Organisationen über eine vielfachen Schutz auf verschiedenen Ebenen verfügen.“ Dazu gehöre auch ein solides Berichtswesen, mit dem Netzdaten analysiert und zueinander in Beziehung gesetzt werden können, um Angriffe zu verhindern.

Coviello kündigte gegenüber der futurezone an, dass RSA künftig verstärkt an der Absicherung von Authentifizierungsverfahren arbeiten werde: „In Zukunft wird es immer wichtiger werden, über eine mehrfache Authentifizierung zu verfügen. Entsprechend muss unser Portfolio aufgestellt sein.”

Kryptografie behindert Überwachung
Gefährdet sind starke Verschlüsselungssysteme jedoch nicht nur seitens Angreifer aus dem Netz, sondern auch seitens der amerikanischen Regierung. In den letzten Monaten verstärkten sich die Hinweise darauf, dass die US-Regierung ihre zuletzt liberalisierte Krypto-Politik (siehe auch Cryptome.org) wieder verschärfen will, unter anderem, um staatlichen Stellen das Abhören von Kommunikation zu erleichtern. Darauf angesprochen sagte Coviello: „Jede Regulierung sollte auf ihre Wirkung und nicht auf die Maßnahmen selbst abheben. Verschlüsselung ist ein wichtiges Element eines jeden Sicherheitsprogramms und sollte daher in der angemessenen Stärke zur Verfügung stehen.”

Mehr zum Thema

eine Newsletter Anmeldung Platzhalter.

Wir würden hier gerne eine Newsletter Anmeldung zeigen. Leider haben Sie uns hierfür keine Zustimmung gegeben. Wenn Sie diesen anzeigen wollen, stimmen sie bitte Piano Software Inc. zu.