SecurID: Ist das E-Banking nach Datenklau noch sicher?

Sicherheitsexperten streiten über das wahre Ausmass des Angriffs auf die Sicherheitsfirma RSA. Die betroffenen Banken sind nervös. Letzte Woche musste der führende Anbieter für E-Banking-Verschlüsselungen einen digitalen Einbruch in das interne Computersystem zugeben. (20 Minuten Online berichtete). Mit dem RSA-SecurID-Schlüssel, der minütlich einen neuen Code generiert, melden sich auch Schweizer Bankkunden im E-Banking an. Welche Daten auf den RSA-Computern genau gestohlen wurden, behält die Firma unter Verschluss. Die Spekulationen schiessen daher ins Kraut.

IT-Experten vermuten, dass der SecurID-Quellcode kopiert wurde. Mit diesen Informationen liesse sich der Algorithmus zum Erzeugen der Einmal-Passwörter oder gar Sicherheitslücken in der RSA-Software finden. Angreifer könnten im schlimmsten Fall selbst Einmal-Passwörter generieren. Das Sicherheitsverfahren wäre somit massiv geschwächt, allerdings ist zum Einloggen ins E-Banking zusätzlich das persönliche Passwort des Benutzers erforderlich.

Für IT-Spezialist Stefan Friedli von der Sicherheitsfirma Scip AG sind die Konsequenzen für die Kunden von RSA – darunter zahlreiche Schweizer Finanzinstitute und Unternehmen aus der Grossindustrie – noch nicht absehbar. Attacken auf die Software der Kunden seien denkbar, Friedli rechnet in unmittelbarer Zukunft allerdings nicht damit. Trotzdem dürften in den Sicherheitsabteilungen diverser Banken, die SecurID verwenden, in den letzten Tagen die Telefondrähte geglüht haben. Anscheinend gibt RSA seinen Kunden momentan lediglich den Rat, ihre Sicherheitssysteme zu überprüfen. Bei der Credit Suisse, die das SecurID-Verfahren noch teilweise einsetzt, heisst es hierzu: «Wir verfolgen die Situation sehr genau. Zurzeit liegen uns keine Hinweise vor, dass die Datensicherheit im Online-Banking der Credit Suisse betroffen ist.» Völlige Entwarnung wollte die CS indes nicht geben.

Bei der UBS wird SecurID im Kundengeschäft nicht eingesetzt, die Bank sei daher von der Panne bei RSA nicht betroffen. Welche weiteren Firmen vom Datenklau bei RSA betroffen sind, bleibt vorerst unklar. Sicherheits-Experte Friedli bestätigt aber, dass die RSA-Technologie bei Schweizer Banken und in der Grossindustrie weit verbreit ist.

Während manche Sicherheits-Fachleuchte angesichts des RSA-Klaus vor Panik warnen, mahnen andere zu Vorsicht. Der Fakt, dass RSA den Datenklau öffentlich eingestehen musste, sei kein gutes Omen. Gegenüber computerworld.ch spricht John Pescatore von der Gartner Group Klartext: «Die Aussagen von RSA, dass die Wirksamkeit des Verfahrens eingeschränkt sei, ist eine Garantie dafür, dass die Sicherheitslücke gefährlich ist für SecurID-Anwender.» Friedli ist zurückhaltender und glaubt, dass es für RSA das kleinere Übel ist, die Kunden frühzeitig über potenzielle Probleme zu informieren. «Der potenzielle Schaden wäre für RSA viel grösser, wenn sie den Vorfall verschwiegen hätten, die Daten dazu aber später irgendwo im Internet auftauchen würden.» Oft werden Hacker-Attacken von den betroffenen Unternehmen geheim gehalten. Als einer der weltweit führenden Anbieter von Sicherheitslösungen kann es sich RSA offenbar nicht leisten, seine Kunden im Dunkeln zu lassen.

In einem offenen Brief auf der Unternehmensseite spricht RSA-CEO Arthur Coviello von einem mehrstufigen, professionell ausgeführten Angriff auf das Computersystem, einem sogenannten Advanced Persistent Threat (APT). Solche hochgradig komplexen Angriffe, die das volle Spektrum an Angriffsmethoden nutzen, werden von Nationalstaaten oder professionellen Banden im Dunstkreis des organisierten Verbrechens verübt. Ein Beispiel für APT ist der mutmassliche virtuelle Angriff auf das iranische Atom-Programm, der unter dem Namen Stuxnet für Schlagzeilen sorgte. Weit öfter als Sabotage dürfte indes Industriespionage das Motiv hinter solchen Angriffen sein.

Die meisten Medien, darunter auch IT-Newsportale wie heise.de, haben die RSA-Argumentation einer grossangelegten Hacker-Attacke übernommen. IT-Sicherheitsexperte Friedli, der von Unternehmen engagiert wird, um Sicherheitslücken aufzudecken, mag der RSA-Version nicht ganz glauben. «Es ist sehr wahrscheinlich, dass die Attacke, die RSA als hochkomplex deklariert, mit denselben Werkzeugen realisiert wurde, mit denen sich auch Schweizer Firmen tagtäglich konfrontiert sehen», lautet Friedlis Einwand. Sicherlich seien bei RSA keine Amateure am Werk gewesen. «Die Software, die für Angriffe auf Computernetzwerke genutzt werden kann, ist allgemein bekannt und frei zugänglich für jeden, der die notwendige Motivation mitbringt, sich damit vertraut zu machen.» Viele dieser Tools sind Open-Source und gut dokumentiert. Ins gleiche Horn stösst IT-Experte Pescatore, der ebenfalls nicht an die offizielle Version einer APT-Attacke glaubt: «Dieser Erklärungsversuch ist unaufrichtig», moniert er gegenüber computerworld.ch und ergänzt: «Er soll vielmehr davon ablenken, dass RSA offenbar nicht in der Lage war, seine Systeme zu schützen.»

Klar ist: Jede Firma mit schützenswerten Daten sieht sich laufend mit Hacker-Angriffen konfrontiert. Aber auch Firmen wir RSA hätten nur ganz normale Computer und normale, nicht-perfekte Mitarbeiter, gibt Friedli zu bedenken. Sogar wenn die IT-Infrastruktur gut geschützt ist, kann ein Mitarbeiter unvorsichtig sein oder getäuscht werden. Dann greifen die ausgeklügeltsten Sicherheitsmassnahmen ins Leere.