Nach Cyberattacke auf Lockheed Martin: Millionenfacher Austausch von Passwort-Schlüsseln

Bisher galt das Schlüssel-System der Sicherheitsfirma RSA als so sicher, dass es von Rüstungsfirmen und Banken eingesetzt wird. Nun tauscht der Hersteller die Passwort-Schlüssel seiner Kunden aus, denn der Sicherheitsfirma wurden selbst empfindliche Daten geklaut.

Alles begann im März: Damals hatten Hacker eine Lücke bei der Sicherheitsfirma RSA ausgenutzt und empfindliche Daten geklaut. RSA-Chef Art Coviallo hatte eingeräumt, dass mit den gestohlenen Daten wohl ein weiter Angriff möglich sei. Ende Mai erfolgte dann schließlich eine Cyberattacke auf das US-Rüstungsunternehmen Lockheed Martin.

SecurID-Token von RSA galten als sicher - bis vor kurzem. (Foto: RSA)

In einem Brief an seine Kunden hat die Sicherheitsfirma nun zum ersten Mal offiziell eingeräumt, dass die Angreifer die bei RSA gestohlenen Daten für die Cyberattacke verwendet hatten. Das hatten die Experten bei der detaillierten Analyse des Angriffs auf Lockheed herausgefunden. Um weitere Attacken zu verhindern, bietet RSA nun den Austausch der sogenannten Token an.

Davon betroffen seien "eigentlich all unsere Kunden" sagte Art Coviallo in einem Interview dem Wall Street Journal. Das System sei aber weiterhin sicher und je nach benötigtem Sicherheitsstandard müssten nicht alle Kunden ihre Tokens auswechseln.

Solche Tokens sind in vielen Büros alltäglich. Jeder Mitarbeiter erhält einen kleinen Schlüsselanhänger, auf dessen Display ein Zahlencode erscheint. Erst dieser Code funktioniert zusammen mit dem selbstgewählten Passwort, um sich in das Firmennetzwerk einloggen zu können.

Um die Sicherheit zu erhöhen, erneuert sich die Zahlenkombination des Tokens etwa jede Minute. Mit Hilfe eines Algorithmus und einer geheimen Nummernfolge berechnet der Token den nächsten gültigen Code. Der Server ist so programmiert, dass er zeitgleich den identischen Code berechnet und auch nur diesen akzeptiert. So erlangt nur derjenige Zugriff auf das Netz, der sowohl den richtigen Token besitzt, als auch das geheime Passwort kennt.

Regierungen, Banken, Rüstungsfirmen

Das System galt als so sicher, dass auch Banken, Regierungen oder große Rüstungsfirmen wie eben Lockheed Martin darauf vertrauten. Bis zum Angriff Ende Mai wähnten sich die fast 40 Millionen Nutzer des Systems in absoluter Sicherheit.

Kritiker bemängelten die Informationspolitik von RSA, vor allem nach dem Datenklau im März. Coviallo allerdings wies diese Vorwürfe zurück. RSA hätte seinen Kunden alle notwendigen Informationen gegeben, die sie benötigten. Umfangreichere Informationen hätten Hackern nur die Blaupause für einen Angriff geliefert.