Handelsblatt

MenüZurück
Wird geladen.

07.06.2011

12:35 Uhr

Datensicherheit

Cyber-Attacke lässt Militärs und Regierungen zittern

VonStephan Dörner

Bislang vertrauten Millionen Nutzer weltweit den Sicherheitsverschlüsselungen der Firma RSA - darunter Regierungen und Militärs. Der Diebstahl geheimer Zahlenreihen hat weitreichende Folgen.

Hacker haben offenbar die IT-Sicherheitsfirma RSA Security ins Visier genommen. (Symbolfoto) Quelle: dpa

Hacker haben offenbar die IT-Sicherheitsfirma RSA Security ins Visier genommen. (Symbolfoto)

DüsseldorfDie renommierte IT-Sicherheitsfirma RSA Security rät Millionen Kunden, Login-Schlüssel des eigenen Sicherheitssystems auszutauschen. Das kündigte der Chef des Unternehmens, Arthur Coviello, in einem offenen Brief an. Das Unternehmen sei Opfer einer "ausgefeilten Cyber-Attacke" geworden. RSA beliefert zahlreiche Großunternehmen - darunter auch der US-Flugzeugbauer Lockheed Martin und andere Produzenten militärischer Ausrüstung - mit dem Sicherheitssystem "SecureID". Dabei handelt es sich um einen kleinen Hardware-Stick, auf dem ein ständig wechselnder Code angezeigt wird. Dieser sogenannte Token soll dafür sorgen, dass nur Befugte von außen - etwa auf Dienstreisen - Zugang zum internen Firmen-Computernetzwerk haben.

RSA hatte bereits im März bestätigt, dass es einen Cyber-Angriff gab, der möglicherweise einige seiner Produkte kompromittiert habe. Zahlreiche Kunden hatten daher zusätzliche Schutzmaßnahmen ergriffen. Im Gespräch mit dem "Wall Street Journal" sagte Coviello nun, die Hacker hätten zwar keine Daten von Kunden entwendet - aber als Vorsichtsmaßnahme würde das Unternehmen nahezu allen Kunden anbieten, die Tokens auszuwechseln. „Wir glauben aber immer noch, dass die
Kunden geschützt sind.“ Weltweit nutzen mehr als 30.000 Firmen und Behörden das Sicherheitssystem; mehr als 40 Millionen der Token sind im Umlauf.

Ein sogenannter Token der Firma RSA Security. Die Login-Schlüssel sind offenbar nicht mehr sicher. Quelle: RSAPR

Ein sogenannter Token der Firma RSA Security. Die Login-Schlüssel sind offenbar nicht mehr sicher.

Auch Lokheed Martin nutzte das RSA-System

Vermutlich besteht ein Zusammenhang zu einer Ende vergangenen Monats bekannt gewordenen Hacker-Attacke auf Lockheed Martin. Der Top-Zulieferer des amerikanischen Militärs, der das RSA-System einsetzt, erklärte, die großangelegte und hartnäckige Attacke habe abgewehrt werden können. Weder Programme noch Daten von Kunden oder Mitarbeitern seien in Mitleidenschaft gezogen worden.

Bei den "Secure-ID"-Tokens handelt es sich um kleine Sticks in Form eines Schlüsselanhängers, die als Hardware-Schlüssel für den Zugriff auf Organisations-interne Rechner über das Internet verwendet werden. Die Geräte erzeugen ständig neue Zahlencodes und funktionieren nur in Kombination mit einem selbst gewählten Passwort. Dadurch besteht für mögliche Angreifer eine weitere Hürde: Neben dem persönlichen Kennworts benötigen sie auch die Nummer, die auf dem Hardware-Schlüssel angezeigt wird. Normalerweise wechselt diese Nummer alle 30 bis 60 Sekunden.

Token und Server berechnen die Nummer jeweils gleichzeitig aus zwei Elementen: Einem Algorithmus und eine geheime Sequenz von Zahlen. Nur wer beides kombiniert, kommt auf die richtige Zahl. Das zweistufige Anmeldeverfahren galt bislang als relativ sicher. Es schützt beispielsweise davor, das Kennwort per Schadsoftware auszulesen, das die Tastatureingabe mitschneidet ("Keylogger"), da sich der Authentifizierungscode des Tokens ständig ändert.

Nach Informationen des Blogs Ars Technica haben Hacker diese geheimen Zahlenreihen erbeuten können - und können damit den Besitz eines Codes vortäuschen. Damit wäre eine der beiden Sicherheitsstufen ausgeschaltet. Der ehemals geheime Algorithmus sei ohnehin schon öffentlich bekannt gewesen, so das Blog.

Die Techniken der Datendiebe

Trojanische Pferde

Eine der gebräuchlichsten Methoden, Daten abzufangen, ist die Einschleusung sogenannter Trojanischer Pferde, meist schlicht Trojaner genannt. Dabei wird eine schädliche Software meist per E-Mail oder über infizierte Webseiten auf dem Computer installiert, die dort Daten – etwa die Kontonummer – meist ohne Wissen des Benutzers abruft und weiterschickt. Trojaner können sich auch in Fotos, Dokumenten oder auf Speichermedien verbergen.

Phishing

Beim sogenannten Phishing versuchen Datendiebe, sich über gefälschte Webseiten Konten- oder Kreditkartennummern, TANs, PINs oder Passwörter der Opfer zu angeln. Häufig bauen sie dafür bis ins Detail den Internetauftritt von Banken, Versicherungen oder anderen Institutionen nach. Danach verschicken sie E-Mails, um Kunden per Klick auf einen enthaltenen Link auf die getürkte Seite zu führen. Dabei wird das Opfer aufgefordert, sensible Daten einzugeben, die dann zusammen mit der Identität der Opfer missbraucht werden.

Keylogger

Diese Art von Schadsoftware wandert über ähnliche Wege wie Trojaner in den Computer ein und zeichnet die Tastenanschläge des Benutzers auf, um sie an Datendiebe weiterzuleiten. Diese Tasten-Speichersysteme machen für die Täter Passwörter ersichtlich, selbst wenn die Übermittlung an die passwortgeschützte Webseite verschlüsselt erfolgt.  An öffentlich zugänglichen Computern können Datengangster auch kleine Geräte zwischen Tastatur und Rechner schalten, die dann die Eingaben des Benutzers zeigen und so Daten und Zugänge erschließen lassen.

Klassisches Hacking

Dabei versuchen die Hacker über Programmierattacken in Zentralrechner oder Netzwerke einzudringen. In offenen Netzwerken wie unverschlüsselten WLANs ist dies sehr einfach, in geschützten Bereichen gestaltet sich das schwieriger. Immer wieder hatten solche Angriffe auf Behörden wie die NASA oder das US-Verteidigungsministerium für Schlagzeilen gesorgt. Selbst Industrieanlagen können damit theoretisch lahmgelegt werden, wie die Attacke des Stuxnet-Wurms auf Urananreicherungsanlagen im Iran zeigt.

Zufall und Schlamperei

Zwischenfälle mit sensiblen Daten sind allerdings nicht nur auf professionelle Hacker-Software zurückzuführen, sondern mitunter auch den blanken Zufall oder Unaufmerksamkeit. Dazu zählen auf EC-Karten notierte Geheimzahlen, Haftnotizen mit Passwörtern am Computerbildschirm oder fehlgeleitete Informationen. Ein Beispiel: Vor einigen Jahren erregte eine Panne der Landesbank Berlin Aufsehen. Zwei Kurierfahrer hatten sich über einen von der LBB verschickten Christstollen hergemacht und dann Etiketten von Päckchen vertauscht, um ihren Mundraub zu vertuschen. Prompt landeten tausende Kreditkartendaten in der Redaktion der „Frankfurter Rundschau“, für die eigentlich die Weihnachtsleckerei gedacht war.

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×