SecurID

23. März 2011 07:18; Akt: 23.03.2011 10:19 Print

Ist das E-Banking nach Datenklau noch sicher?

von Oliver Wietlisbach - Der Anbieter für E-Banking-Sicherheitslösungen wurde gehackt. Heikle Daten könnten in falschen Händen sein. Experten sind sich über die Folgen uneins.

storybild

RSA, der Anbieter des SecurID-Schlüssels für das E-Banking, wurde gehackt. Die Folgen für die Kunden bleiben vorderhand ungewiss. (Bild: Keystone/Gaetan Bally)

Zum Thema
Fehler gesehen?

Sicherheitsexperten streiten über das wahre Ausmass des Angriffs auf die Sicherheitsfirma RSA. Die betroffenen Banken sind nervös. Letzte Woche musste der führende Anbieter für E-Banking-Verschlüsselungen einen digitalen Einbruch in das interne Computersystem zugeben. (20 Minuten Online berichtete). Mit dem RSA-SecurID-Schlüssel, der minütlich einen neuen Code generiert, melden sich auch Schweizer Bankkunden im E-Banking an. Welche Daten auf den RSA-Computern genau gestohlen wurden, behält die Firma unter Verschluss. Die Spekulationen schiessen daher ins Kraut.

IT-Experten vermuten, dass der SecurID-Quellcode kopiert wurde. Mit diesen Informationen liesse sich der Algorithmus zum Erzeugen der Einmal-Passwörter oder gar Sicherheitslücken in der RSA-Software finden. Angreifer könnten im schlimmsten Fall selbst Einmal-Passwörter generieren. Das Sicherheitsverfahren wäre somit massiv geschwächt, allerdings ist zum Einloggen ins E-Banking zusätzlich das persönliche Passwort des Benutzers erforderlich.

Auch Schweizer Unternehmen betroffen

Für IT-Spezialist Stefan Friedli von der Sicherheitsfirma Scip AG sind die Konsequenzen für die Kunden von RSA – darunter zahlreiche Schweizer Finanzinstitute und Unternehmen aus der Grossindustrie – noch nicht absehbar. Attacken auf die Software der Kunden seien denkbar, Friedli rechnet in unmittelbarer Zukunft allerdings nicht damit. Trotzdem dürften in den Sicherheitsabteilungen diverser Banken, die SecurID verwenden, in den letzten Tagen die Telefondrähte geglüht haben. Anscheinend gibt RSA seinen Kunden momentan lediglich den Rat, ihre Sicherheitssysteme zu überprüfen. Bei der Credit Suisse, die das SecurID-Verfahren noch teilweise einsetzt, heisst es hierzu: «Wir verfolgen die Situation sehr genau. Zurzeit liegen uns keine Hinweise vor, dass die Datensicherheit im Online-Banking der Credit Suisse betroffen ist.» Völlige Entwarnung wollte die CS indes nicht geben.

Bei der UBS wird SecurID im Kundengeschäft nicht eingesetzt, die Bank sei daher von der Panne bei RSA nicht betroffen. Welche weiteren Firmen vom Datenklau bei RSA betroffen sind, bleibt vorerst unklar. Sicherheits-Experte Friedli bestätigt aber, dass die RSA-Technologie bei Schweizer Banken und in der Grossindustrie weit verbreit ist.

Während manche Sicherheits-Fachleuchte angesichts des RSA-Klaus vor Panik warnen, mahnen andere zu Vorsicht. Der Fakt, dass RSA den Datenklau öffentlich eingestehen musste, sei kein gutes Omen. Gegenüber computerworld.ch spricht John Pescatore von der Gartner Group Klartext: «Die Aussagen von RSA, dass die Wirksamkeit des Verfahrens eingeschränkt sei, ist eine Garantie dafür, dass die Sicherheitslücke gefährlich ist für SecurID-Anwender.» Friedli ist zurückhaltender und glaubt, dass es für RSA das kleinere Übel ist, die Kunden frühzeitig über potenzielle Probleme zu informieren. «Der potenzielle Schaden wäre für RSA viel grösser, wenn sie den Vorfall verschwiegen hätten, die Daten dazu aber später irgendwo im Internet auftauchen würden.» Oft werden Hacker-Attacken von den betroffenen Unternehmen geheim gehalten. Als einer der weltweit führenden Anbieter von Sicherheitslösungen kann es sich RSA offenbar nicht leisten, seine Kunden im Dunkeln zu lassen.

«RSA ist unaufrichtig»

In einem offenen Brief auf der Unternehmensseite spricht RSA-CEO Arthur Coviello von einem mehrstufigen, professionell ausgeführten Angriff auf das Computersystem, einem sogenannten Advanced Persistent Threat (APT). Solche hochgradig komplexen Angriffe, die das volle Spektrum an Angriffsmethoden nutzen, werden von Nationalstaaten oder professionellen Banden im Dunstkreis des organisierten Verbrechens verübt. Ein Beispiel für APT ist der mutmassliche virtuelle Angriff auf das iranische Atom-Programm, der unter dem Namen Stuxnet für Schlagzeilen sorgte. Weit öfter als Sabotage dürfte indes Industriespionage das Motiv hinter solchen Angriffen sein.

Die meisten Medien, darunter auch IT-Newsportale wie heise.de, haben die RSA-Argumentation einer grossangelegten Hacker-Attacke übernommen. IT-Sicherheitsexperte Friedli, der von Unternehmen engagiert wird, um Sicherheitslücken aufzudecken, mag der RSA-Version nicht ganz glauben. «Es ist sehr wahrscheinlich, dass die Attacke, die RSA als hochkomplex deklariert, mit denselben Werkzeugen realisiert wurde, mit denen sich auch Schweizer Firmen tagtäglich konfrontiert sehen», lautet Friedlis Einwand. Sicherlich seien bei RSA keine Amateure am Werk gewesen. «Die Software, die für Angriffe auf Computernetzwerke genutzt werden kann, ist allgemein bekannt und frei zugänglich für jeden, der die notwendige Motivation mitbringt, sich damit vertraut zu machen.» Viele dieser Tools sind Open-Source und gut dokumentiert. Ins gleiche Horn stösst IT-Experte Pescatore, der ebenfalls nicht an die offizielle Version einer APT-Attacke glaubt: «Dieser Erklärungsversuch ist unaufrichtig», moniert er gegenüber computerworld.ch und ergänzt: «Er soll vielmehr davon ablenken, dass RSA offenbar nicht in der Lage war, seine Systeme zu schützen.»

Klar ist: Jede Firma mit schützenswerten Daten sieht sich laufend mit Hacker-Angriffen konfrontiert. Aber auch Firmen wir RSA hätten nur ganz normale Computer und normale, nicht-perfekte Mitarbeiter, gibt Friedli zu bedenken. Sogar wenn die IT-Infrastruktur gut geschützt ist, kann ein Mitarbeiter unvorsichtig sein oder getäuscht werden. Dann greifen die ausgeklügeltsten Sicherheitsmassnahmen ins Leere.

Die beliebtesten Leser-Kommentare

  • elpanico am 23.03.2011 11:13 Report Diesen Beitrag melden

    es gibt alternativen...

    ich empfehle die SMS Authentifizierungs-Lösung Swiss SafeLab! Schweizer Produkt vom feinsten

  • another Freak am 23.03.2011 15:29 Report Diesen Beitrag melden

    Private Key?

    Die asynchrone Verschlüsselung ist sicher, solange der private-Key geheim ist. Ich hoffe, RSA war genug schlau diese Keys, die nur im Tooken bzw. der Smartcard gespeichert sein müssen, nach der Produktion zu vernichten.

  • John Doe am 23.03.2011 10:04 Report Diesen Beitrag melden

    Andere Hersteller...

    setzen beim Algorithmus auf einen offenen Standard. Ergo ist dieser schon lange bekannt. Dieser entstandenen Sicherheitslücke kann realti zügig entgegengewirkt werden indem neue Tokens ausgeliefert und neue Seeds eingespielt werden. Ausserdem kann man ziemlich gut "failed authentications" monitoren und dementsprechende Gegenmassnahmen ergreifen.

Die neusten Leser-Kommentare

  • Felix am 26.03.2011 08:49 Report Diesen Beitrag melden

    IT ist nicht Allerweltsmittel

    Klug genug in der IT-Branche? Der Druck nach Erfolg hält auch hier nicht an. Tragisch ist dass sog. Experten und Fachleute oft im eigenen Umfeld das Banale nicht mehr beachten. Diese Überheblichkeit und IT-Hörigkeit muss wieder normalisiert werden. Nicht den Fortschritt bremsen aber nicht immer auf Hypes abfahren: Normal Common Sense! = gesunder Menschenverstand!

  • another Freak am 23.03.2011 15:29 Report Diesen Beitrag melden

    Private Key?

    Die asynchrone Verschlüsselung ist sicher, solange der private-Key geheim ist. Ich hoffe, RSA war genug schlau diese Keys, die nur im Tooken bzw. der Smartcard gespeichert sein müssen, nach der Produktion zu vernichten.

  • Netzwerkler am 23.03.2011 12:46 Report Diesen Beitrag melden

    Keine Panik.

    Wie schon geschrieben wurde, andere Tokensysteme verwenden öffentlich zugängige Algorythmen und sind deshalb nich weniger sicher. Solange die Seed-Codes der Token nicht gestohlen werden (wie es aussieht war dies NICHT der Fall...) ist dieser Angriff eigentlich kein grosses Problem - ausser natürlich dem Reputationsschaden von RSA.

  • Kaia Homework am 23.03.2011 11:53 Report Diesen Beitrag melden

    Es ist nicht nur e-Banking betroffen,

    sondern es betrifft auch viele (Gross-)Firmen, deren Mitarbeiter von zu Hause aus arbeiten. Die meisten setzen für die VPN-Verbindungen aufs Firmennetz SecurID ein. Da sind also noch ganz andere Dimensionen einzubeziehen als "nur" das Ausspionieren von Bankdaten.

    • Network Security Engineer am 23.03.2011 12:54 Report Diesen Beitrag melden

      selberschuld?

      Leider kann ich dir zwar recht geben, ich muss jedoch auch betonen, dass heute jede Firma, welche "nur" auf RSA Tokens setzt eigentlich mit so einem Angriff rechen muss. Der Sicherheitsfaktor erhöht sich immens wenn man beispielsweise RSA mit Zertifikaten (SmartCards) kombiniert....

    einklappen einklappen
  • elpanico am 23.03.2011 11:13 Report Diesen Beitrag melden

    es gibt alternativen...

    ich empfehle die SMS Authentifizierungs-Lösung Swiss SafeLab! Schweizer Produkt vom feinsten