Erst kürzlich musste RSA Security bekanntgeben, dass es einen Angriff auf die so genannten Seeds der RSA SecurID-Tokens gegeben hat. Seeds sind jene von RSA gespeicherten geheimen Informationen, aus denen die Einmal-Kennwörter generiert werden. Das Schadensausmaß ist zwar noch unklar, doch lassen sich aus dem Vorfall einige Lehren ziehen.
Im Fall Seed-Diebstahl bei RSA ist nicht bekannt, in welchem Umfang Informationen abgezogen wurden. Die Identität des Angreifers ist ebenfalls unbekannt – und auch die Frage, welche Angriffe darauf basierend erfolgt sind oder erfolgen könnten, ist noch offen. Dennoch gibt es ein klares Sicherheitsrisiko, weil eben ein Faktor der Starken Authentifizierung nicht mehr sicher ist.
Die Geräte und gegebenenfalls ergänzend genutzte Login-Daten wie Benutzernamen, Kennwörter oder PINs sind natürlich nicht direkt betroffen. Über Phishing-Angriffe könnte ein Angreifer jetzt aber versuchen, diese Informationen abzugreifen und damit erfolgreiche Angriffe auf über die RSA SecurID geschützte Systeme zu fahren.
Das offensichtliche Problem ist, dass geheime Informationen eben doch nicht gut genug geschützt waren. Letztlich gibt es keine absolute Sicherheit – ein Restrisiko besteht immer, wie auch in diesem Fall. Damit stellt sich aber die Frage, wie man mit Sicherheit umgehen kann.
Wie RSA-Kunden reagieren können
Deutlich wird, dass es riskant ist, sich auf einen spezifischen Mechanismus zu verlassen. Wer heute Lösungen auf Basis der RSA SecurID-Tokens einsetzt, muss sich überlegen, wie er nun reagiert. Es gilt, das Risiko neu zu bewerten und Maßnahmen zu ergreifen.
Die logischen Maßnahmen sind schärfere Audits der Systeme, auf die zugegriffen wird, um etwaige Angriffe schnellstmöglich zu erkennen. Ein Austausch des Verfahrens ist dagegen meist schwierig, weil es in vielen Fällen sehr eng mit Anwendungen integriert ist und kein unmittelbar, ohne großen logistischen Aufwand nutzbares Alternativverfahren zur Verfügung steht.
Das gilt übrigens nicht nur für die RSA SecurID, sondern letztlich für alle Mechanismen – ein Restrisiko besteht immer. Und für diesen Fall muss man gewappnet sein.
Die Antwort lautet flexible, austauschbare Authentifizierung, im Englischen auch als „versatile authentication“ bezeichnet. Die Idee dahinter ist, dass man verschiedene Authentifizierungsmechanismen wahlweise nutzen kann und sie auch in unterschiedlicher Weise kombinierbar sind. Damit kann man beispielsweise eine zusätzliche Authentifizierung anfordern, wenn auf besonders kritische Daten zugegriffen wird – oder wenn sich die Risikobewertung eines bestimmten Authentifizierungsmechanismus verändert hat.
Durch die Unterstützung von Soft-Tokens, Out-of-Band-Authentifizierung, Hardware-Tokens und anderen Verfahren gibt es bei guten Lösungen in diesem Bereich auch eine ausreichende Auswahl an Optionen. So könnte man beispielsweise einen zusätzlichen Faktor oder eine zusätzliche Information für die Authentifizierung schnell einbinden, auch ohne den Logistik-Aufwand von Hardware-Tokens.
Diese Flexibilität erlaubt eine schnellere Reaktion auf Situationen wie die eingangs beschriebene, sie ermöglicht aber auch eine differenzierte Authentifizierung. So könnte man beispielsweise bei Zugriffen auf besonders sensitive Informationen eine weitere Authentifizierung verlangen oder bei unterschiedliche Mechanismen für verschiedene Anwender-Gruppen nutzen. Hardware-Token eignen sich beispielsweise deutlich besser für interne Mitarbeiter als für Kunden, schon wegen der Beschaffungs- und Logistikkosten.
Von Fall zu Fall abwägen
Die Diskussion darüber, wie unsicher oder sicher ein Mechanismus ist, ist dann zwar müßig, steht aber nicht im Mittelpunkt. Auch bei der RSA SecurID geht es ja nun in erster Linie um die Frage einer Risikobewertung.
Mit den genannten flexiblen, austauschbaren Authentifizierungsmechanismen schafft man die Voraussetzung, flexibler entscheiden zu können, wie viele und wie starke Authentifizierungsmechanismen in welcher Kombination für welche Benutzergruppen und welche Zugriffe benötigt werden. Damit kann man besser reagieren.
Maximal starke Authentifizierung für jeden ist nun einmal weder praktikabel und noch bezahlbar – und selbst dann bleibt ein Restrisiko. Daher gilt es nun, die richtige strategische Ausrichtung für die Authentifizierung zu schaffen, um zumindest beim nächsten Vorfall (der bestimmt kommt, für irgendeinen Anbieter – vielleicht auch einen von denen, die nun etwas hämisch auf RSA Security zeigen) schnell und flexibel reagieren zu können.