Nach dem erfolgreichen Hackerangriff auf Server des Sicherheitsspezialisten RSA im März diesen Jahres und weiteren aktuellen Angriffen auf große Rüstungskonzerne wie Lockheed, L-3 und Northrop Grumman, die offenbar auf der Grundlage der beim RSA-Hack gestohlenen Informationen erfolgten, sind Unternehmenskunden von RSA auf der ganzen Welt verunsichert und verängstigt. Sie fragen sie zu Recht, ob das weitverbreitete System „RSA SecurID“ überhaupt noch vertrauenswürdig ist und was sie jetzt tun sollen. Seit dem Angriff haben grundsätzlich alle RSA SecurID Tokens als unsicher zu gelten, wie KuppigerCole feststellt.
In einem soeben veröffentlichten Advisory Note warnt KuppingerCole allerdings vor allzu hastiger Reaktion oder gar vor Panik. Mit Hilfe geeigneter kurz- und mittelfristiger Maßnahmen ist es nach Meinung der Analystengruppe, die ihren Sitz in Düsseldorf und Boston hat, durchaus möglich, weiterhin den Schutz gefährdeter Systeme und unternehmenskritischer Informationen zu gewährleisten, ohne gleich einen radikalen Schnitt zu machen und SecurID durch ein ganz neues, teures Authentifizierungssystem zu ersetze, was in den meisten Fällen schon aus logistischen und Kostengründen gar nicht möglich wäre.
„Dies ist der potenziell schlimmste Hackerangriff in der Geschichte der IT, sagt Martin Kuppinger, Chefanalyst und Mitbegründer von KuppingerCole. „Allerdings gibt es organisatorische und technische Maßnahmen dagegen, die aber zügig ergriffen werden müssen, denn eines ist klar: Wir haben es hier mit einer sehr, sehr raffinierten Hackerbande zu tun“.
Dazu gehören rein organisatorischen Maßnahmen wie verbesserte Mitarbeiterschulung. „Gebe niemals dein Passwort weiter, egal an wen, so muss die Botschaft lauten“, sagt Kuppinger. Daneben rät er zu Umstellen auf stärkere Passwörter und intensiveres Überwachen und Auswerten von Log Files. Außerdem gibt es seiner Meinung nach technische Maßnahmen, die kurzfristig die offensichtliche Anfälligkeit des RSA-Systems verringern und den Schutz gefährdeter Systeme verbessern können.
Dazu zählt der umgehende Austausch der meist als Schlüsselanhänger oder kreditkartengroße Plastikkarten im Einsatz sind. Da die so genannten Token IDs der neuen Hardware zum Zeitpunkt des Hackerangriffs nicht auf den Servern von RSA gespeichert waren, können sie als sicher gelten, so lange kein neuer Hack gemeldet wird. Die zusätzliche Verwendung von manuell einzugebenden Passwörtern oder anderen Authentifizierungssystemen sei in vielen Fällen anzuraten, mein Martin Kuppinger.
Wo dies nicht oder nicht schnell genug möglich ist, rät KuppingerCole dazu, das SecurID-System vorübergehend abzuschalten und durch eine konventionelle Kombination von Benutzernamen und Passwort für den Desktop-Zugang zum Firmennetz, oder durch ein zertifikatbasiertes System für den Fernzugriff vom Laptop aus zu ersetzen.
Mittelfristig müssen Unternehmen nach Ansicht von KuppingerCole ihre Strategie in Sachen Strong Authentication auf den Prüfstand heben. Allzu häufig ist der Autorisierungsmechanismus heute fester Bestandteil der Anwendung, was zu vermeidbaren Mehrkosten in der Softwareentwicklung und zu erhöhten Sicherheitsrisiken führen kann. Durch das Entkoppeln des Authentifizierungmechanismus von der eigentlichen Anwendung kann die Einführung neuer Applikationen signifikant beschleunigt und die Anwendungssicherheit erhöht werden.
Das Entkoppeln von Authentifizierung und Anwendung versetzt Organisationen vor allen Dingen in die Lage, schnell zu reagieren, wenn sich ein verwendeter Sicherheitsmechanismus als zu aufwändig und teuer, oder wie im Fall von RSA SecurID plötzlich über Nacht als potenzielle Gefahrenquelle für die IT-Systeme entpuppt.
Der Advisory Report von KuppingerCole (in englischer Sprache) ist als Download erhältlich hier