Der wöchentliche Podcast des Bloggers und Sicherheitsexperten Robert X Cringely. Er hat als erster gemeldet, dass Hacker in die Computer von Lockheed Martin eingedrungen sind. Die sind mit Einmal-Passwörtern abgesichert, die schlüsselanhängergroße Gerätchen von RSA Security minütlich neu berechnen. Dafür wird ein geheimes Verfahren verwendet und jeweils ein individueller Parámeter, Schlüssel oder Seed genannt. Damit können sich Außendienstler und Kunden der Firma ins Unternehmensnetz einloggen. Lange galt dies als sicher. Aber im März sind Hacker bei RSA eingebrochen und haben offenkundig Unterlagen über die Passwort-Berechnung entwendet und Schlüssel kopiert. Deswegen tauscht Lockheed nach dem Hack in sein Netz jetzt Zehntausende von RSA-Passwort-Generatoren gegen neue aus.
"Lockheed hat den Hack entdeckt und reagiert. Aber war es das erste Opfer?",
fragt Cringely. Und die RSA-Kunden fragen sich das auch. Überall, wo auf Sicherheit großen Wert gelegt wird, bei Banken und High-Tech-Firmen etwa, galt das RSA-System bislang als Zugangsschutz erster Wahl. Die Situation aber, in der sich diese Unternehmen jetzt befinden, lässt sich vergleichen mit der eines vorsichtigen Hausbesitzers, der eine teure Schließanlage hat einbauen lassen und befürchten muss, dass Diebe einen Zweitschlüssel haben. Einige Unternehmen tauschen denn auch ihre Passwort-Generatoren gegen solche aus, deren Seed nach dem RSA-Hack generiert wurde.
""Die Computer Sciences Corporation, ein wichtiger Vertragspartner des Verteidigungsministeriums, hat ebenfalls entschieden, die Passwort-Generatoren auszuwechseln."
Lockheed Martin ist der Wichtigste unter den Referenzkunden, die RSA Security auf seiner Web-Site listet. Etliche andere wurden für diesen Beitrag angeschrieben, aber natürlich wollte sich niemand zu seinen Sicherheitsproblemen äußern. Einer aber hat dann die Mails weitergeleitet, mit denen RSA seine Kundschaft über den Hack informiert und ihr Sicherheitsratschläge gegeben hat. So empfiehlt RSA etwa, die Logfiles in Unternehmensnetzen genau zu beobachten, ob dort etwa verdächtige Aktivitäten protokolliert worden sind. Und dann weist RSA noch auf seine Sicherheitsrichtlinien hin. Darin wird geraten, sich nicht auf die Einmal-Passwörter zu verlassen, sondern zusätzlich ein festes Passwort zu verwenden. Unternehmen, die ihren Netzzugang so konfiguriert haben, haben auch nach dem RSA-Hack eine gewisse Sicherheit, und zwar so viel wie Unternehmen, die überhaupt keine Passwort-Generatoren verwenden.
Alle anderen müssten ihre Systeme eigentlich umprogrammieren, den Zugriff auf das interne Netz, die Software, die dort läuft, und die Datenbanken. Aber derartiges wären gewaltige IT-Projekte, die Zeit brauchen.
Versatile Authentication heißt denn auch ein Trend, auf den immer mehr Unternehmen setzen, übersetzt etwa: "flexibles Zugangssystem". Damit lassen sich Sicherheitsprodukte verschiedener Hersteller einbinden und bei Bedarf auswechseln. Informatiker sprechen von zusätzlichen Software-Schichten, die dafür eingezogen werden müssen. Man kann sich das vorstellen, wie wenn man in einen PC eine neue Grafikkarte einbaut. Gibt es dafür einen Treiber, ist es kein Problem. So könnten es Unternehmen künftig auch mit Passwort-Generatoren halten. Martin Kuppinger von der Unternehmensberatung Kuppinger und Cole:
"Aber so etwas zu implementieren, kostet auch sehr viel Zeit. Genauso wie es etliche Jahre dauern wird, bis alle im Umlauf befindlichen RSA-Passwort-Generatoren routinemäßig gegen neue ausgetauscht sein werden. Und so lange müssen viele IT-Verantwortliche mit der Gefahr leben, nein, nicht dass Hacker bei ihnen einbrechen, sondern dass sie sich quasi mit einem Nachschlüssel Zugang zu ihren Computern verschaffen."
"Lockheed hat den Hack entdeckt und reagiert. Aber war es das erste Opfer?",
fragt Cringely. Und die RSA-Kunden fragen sich das auch. Überall, wo auf Sicherheit großen Wert gelegt wird, bei Banken und High-Tech-Firmen etwa, galt das RSA-System bislang als Zugangsschutz erster Wahl. Die Situation aber, in der sich diese Unternehmen jetzt befinden, lässt sich vergleichen mit der eines vorsichtigen Hausbesitzers, der eine teure Schließanlage hat einbauen lassen und befürchten muss, dass Diebe einen Zweitschlüssel haben. Einige Unternehmen tauschen denn auch ihre Passwort-Generatoren gegen solche aus, deren Seed nach dem RSA-Hack generiert wurde.
""Die Computer Sciences Corporation, ein wichtiger Vertragspartner des Verteidigungsministeriums, hat ebenfalls entschieden, die Passwort-Generatoren auszuwechseln."
Lockheed Martin ist der Wichtigste unter den Referenzkunden, die RSA Security auf seiner Web-Site listet. Etliche andere wurden für diesen Beitrag angeschrieben, aber natürlich wollte sich niemand zu seinen Sicherheitsproblemen äußern. Einer aber hat dann die Mails weitergeleitet, mit denen RSA seine Kundschaft über den Hack informiert und ihr Sicherheitsratschläge gegeben hat. So empfiehlt RSA etwa, die Logfiles in Unternehmensnetzen genau zu beobachten, ob dort etwa verdächtige Aktivitäten protokolliert worden sind. Und dann weist RSA noch auf seine Sicherheitsrichtlinien hin. Darin wird geraten, sich nicht auf die Einmal-Passwörter zu verlassen, sondern zusätzlich ein festes Passwort zu verwenden. Unternehmen, die ihren Netzzugang so konfiguriert haben, haben auch nach dem RSA-Hack eine gewisse Sicherheit, und zwar so viel wie Unternehmen, die überhaupt keine Passwort-Generatoren verwenden.
Alle anderen müssten ihre Systeme eigentlich umprogrammieren, den Zugriff auf das interne Netz, die Software, die dort läuft, und die Datenbanken. Aber derartiges wären gewaltige IT-Projekte, die Zeit brauchen.
Versatile Authentication heißt denn auch ein Trend, auf den immer mehr Unternehmen setzen, übersetzt etwa: "flexibles Zugangssystem". Damit lassen sich Sicherheitsprodukte verschiedener Hersteller einbinden und bei Bedarf auswechseln. Informatiker sprechen von zusätzlichen Software-Schichten, die dafür eingezogen werden müssen. Man kann sich das vorstellen, wie wenn man in einen PC eine neue Grafikkarte einbaut. Gibt es dafür einen Treiber, ist es kein Problem. So könnten es Unternehmen künftig auch mit Passwort-Generatoren halten. Martin Kuppinger von der Unternehmensberatung Kuppinger und Cole:
"Aber so etwas zu implementieren, kostet auch sehr viel Zeit. Genauso wie es etliche Jahre dauern wird, bis alle im Umlauf befindlichen RSA-Passwort-Generatoren routinemäßig gegen neue ausgetauscht sein werden. Und so lange müssen viele IT-Verantwortliche mit der Gefahr leben, nein, nicht dass Hacker bei ihnen einbrechen, sondern dass sie sich quasi mit einem Nachschlüssel Zugang zu ihren Computern verschaffen."
