RSA: Hacker stehlen Informationen über Authentifizierungssystem SecurID

Der Sicherheitsspezialist RSA hat seine Kunden in einem offenen Brief darüber informiert, selbst das Ziel einer „extrem raffinierten Hackerattacke“ geworden zu sein. Bei dem Angriff seien Informationen über SecurID-Tokens für die Zwei-Faktor-Authentifizierung gestohlen worden. Die EMC-Tochter warnt ihre Kunden, dass dadurch ein Sicherheitsrisiko für ihre Netzwerke bestehe. SecurID-Token werden vor allem von Banken und Behörden genutzt.

„Auf Basis unserer Ermittlungen stufen wir den Angriff als Advanced Persistent Threat ein“, schreibt Executive Chairman Art Coviello. Das bedeute, dass technisch versierte Hacker – also keine Amateure – am Werk waren, die nicht an kurzfristigen Erfolgen interessiert seien. Vielmehr verfolgten sie ihre Ziele mit langfristiger Beobachtung des Opfers und Infiltrierung seiner Systeme.

„Unsere Untersuchungen haben außerdem ergeben, dass bei dem Angriff bestimmte Informationen aus RSA-Systemen gestohlen wurden. Einige davon beziehen sich speziell auf SecurID-Produkte zur Zwei-Faktor-Authentifizierung“, schreibt Coviello weiter. Von diesen Token sind 40 Millionen im Einsatz, zusätzlich zu 250 Millionen mobilen Software-Versionen. Sowohl die Software- als auch die Hardwarevariante erzeugt eine Zufallszahl, die man als Einmalpasswort zusätzlich zu einem zweiten Kennwort eingeben muss (Zwei-Faktor), um sich zum Beispiel in ein Netzwerk einzuloggen.

„Wir sind zwar im Moment zuversichtlich, dass man mit den gestohlenen Daten keinen direkten, erfolgversprechenden Angriff auf einen unserer SecurID-Kunden führen kann. Die Informationen könnten aber dazu missbraucht werden, die Effektivität der bestehenden Zwei-Faktor-Authentifizierungslösungen im Rahmen eines größeren Angriffs zu reduzieren“, so Coviello. „Wir haben Kontakt zu unseren Kunden aufgenommen und führen mit ihnen erste Schritte durch, um ihre SecurID-Implementierung abzusichern.“

Das Unternehmen habe keine Hinweise darauf, dass andere Produkte von dem Datendiebstahl betroffen seien oder dass persönliche Daten von Kunden oder Angestellten kompromittiert wurden. Weitere Informationen könne man zu diesem Zeitpunkt nicht herausgeben.

„Im Kern geht es darum, was eigentlich gestohlen wurde“, sagt Ravi Ganesan, Gründer und CEO von TriCipher, einem Anbieter von Single-Sign-on-Lösungen und Partner bei der Investmentfirma The ComVest Group. „SecurID ist ein Token zur Authentifizierung, das stündlich eine neue Nummer ausgibt. Diese Nummern werden aus zwei Zahlen berechnet: einer Geheimzahl als Startwert, die es nur auf einem bestimmten Token gibt, und der Uhrzeit. Das Einmalpasswort ist das Ergebnis dieses Algorithmus.“

Den Algorithmus zur Berechnung des Einmalpassworts hält RSA geheim. Nach Ganesans Ansicht nützt das aber nichts gegen einen raffinierten Angreifer, der sich eine Software-Version des Tokens oder den Backend-Server besorgt und deren Code analysiert. „Was also wurde gestohlen? Ich hoffe inständig, dass RSA nicht irgendeinen geheimen Zugang in die Software installiert hat, der jetzt abhanden gekommen ist.“