RSA SecureID

RSA SecurID, manchmal auch als SecurID bezeichnet, ist eine Technologie zur Zwei-Faktor-Authentifizierung mit Public-Key-Verschlüsselung, die zum Schutz der Netzwerkressourcen verwendet wird. SecurID wurde von RSA Data Security entwickelt und behebt die Schwierigkeit, sehr große Zahlen in Faktoren zu zerlegen. Der Algorithmus arbeitet mit Primfaktorzerlegung als hundertprozentig sicherer Methode zur Abwehr von Brute-Force-Angriffen. Zum Lösen der Verschlüsselung ist ein so hoher Zeit- und Rechenaufwand erforderlich, dass direkte Angriffe auf das Sicherheitssystem verhindert werden. Dies ist die Standardmethode zur Verschlüsselung wichtiger Daten, insbesondere bei der Übertragung übers Internet.

Dieses Authentifizierungssystem basiert auf zwei Haupt-Schutzfaktoren: einem dem Anwender bekannten Kennwort oder PIN und einem Hardware-Token (USB-Stift, Smart-Card oder Fob), das der Anwender physisch bei sich trägt. Diese beiden Authentifizierungsmerkmale werden dann in Verbindung mit dem Authentication Manager von RSA zur Überprüfung der Authentifizierungsanfrage verwendet.

Beim Zugriff auf eine geschützte Ressource, etwa eine Datenbank zum Nachverfolgen finanzieller Transaktionen oder die Back-End-Benutzeroberfläche einer Bank wird der Anwender zur Eingabe des Passcodes aufgefordert. Der Passcode basiert auf zwei Komponenten: der PIN, die bei der Einrichtung durch das SecurID-System generiert wurde und dem Code, der für den jeweiligen Anmeldeversuch vom Authentifizierungstoken des Anwenders generiert wurde. In diesem Beispiel klickt der Anwender auf sein RSA-SecurID-Gerät, das dann einen spezifischen Sitzungscode generiert. Beide Codes werden vom RSA Authentication Agent empfangen und an den RSA Authentication Manager zur Überprüfung und Freigabe übertragen. Das RSA-SecurID-System berechnet, welche Nummer das Token zum aktuellen Zeitpunkt anzeigen soll, vergleicht sie mit den Angaben des Anwenders und entscheidet über Freigabe bzw. Verweigerung des Zugriffs.

Im Unterschied zu vielen anderen Sicherheitsdiensten arbeitet SecurID mit Hardware-Authentifizierung. Dadurch wird ein gewisser Schutz vor softwarebasierten Cyber-Angriffen gewährleistet. In der folgenden Tabelle werden die Funktionen von SecurID und anderen gängigen Sicherheitsdiensten in der Vergleichsübersicht dargestellt.

RSA SecurID-Token schützen zwar durch Generieren eindeutiger Kennwörter für jede Sitzung vor Replay-Angriffen, in ihrem Funktionsumfang ist jedoch kein Schutz vor Man-in-the-Middle-Angriffen inbegriffen.

• Wenn ein Angreifer die Authentifizierung eines befugten Anwenders am Server so lange verhindert, bis das nächste Token gültig wird, kann der Angreifer sich selbst am Server anmelden. Bei mehreren Anmeldeversuchen mit gültigen Zugangsdaten innerhalb eines bestimmten Zeitrahmens lehnt der Authentifizierungsserver von SecurID beide Authentifizierungsanfragen ab. Auf diese Weise sollen Password-Sniffer-Angriffe und gleichzeitige Anmeldungen verhindert werden. Zur Abwehr derartiger Angriffe kann ein zusätzlicher Authentifizierungsmechanismus wie z. B. SSL begleitend eingesetzt werden.
• Wenn der Angreifer den Anwender an der Authentifizierung seines Tokens hindert, geht der SecurID-Server davon aus, dass es sich bei dem Angriff um einen legitimen Anmeldeversuch handelt und genehmigt den Zugriff.
• Phishing-Angriffe mit Social-Engineering-Methoden können ebenfalls zur Umgehung der Sicherheitsmaßnahmen von RSA SecurID dienen. Phishing ist ein Beispiel für eine Social-Engineering-Taktik zur Irreführung der Anwender und Ausnutzung wenig benutzerfreundlicher Technologien zum Schutz von Websites. Zumeist werden Anwender dabei in einer Spoof-E-Mail oder Sofortnachricht aufgefordert, personenbezogene Daten auf einer gefälschten Website einzugeben, die bei oberflächlicher Betrachtung kaum von der echten zu unterscheiden ist.
• Wenn der Angreifer die eingegebenen Zugangsdaten in lesbarer Form anzeigen kann, kann er sie vor Ablauf des Tokens (normalerweise innerhalb einer Minute) verwenden, um sich als legitimer Anwender auszugeben.
• Hardware-Tokens können dem legitimen Anwender physisch entwendet (oder mit Social-Engineering-Methoden abgeluchst) werden. Hardware-Tokens sind so klein, dass ihr Diebstahl sehr viel einfacher zu bewerkstelligen ist als das Scannen eines Laptops oder Desktop-Computers.

Die größte Schwachstelle sämtlicher Passwort-Container besteht in dem Risiko, dass der legitime Anwender das betreffende Gerät mit dem Code bzw. das aktivierte Smartphone mit integrierter Funktionalität verliert. Diese Sicherheitslücke lässt sich mit keinem Token-Gerät für die Zeit ausschließen, wo der Zugriff mit dem gestohlenen oder verlorenen Schlüssel noch möglich ist. In der Regel wird der Verlust eines Geräts erst nach 24 Stunden oder noch später gemeldet, sodass dem Angreifer genügend Zeit bleibt, das ungeschützte System zu hacken. Dazu müssen ihm allerdings die Benutzer-ID und PIN ebenfalls bekannt sein.

In der Ära der Client-Server stiegen Unternehmen hauptsächlich aus Compliance-Gründen auf Sicherheitslösungen wie die Zwei-Faktor-Authentifizierung um, die sie bei der Einhaltung von Regulierungen zum Schutz von Finanz- und medizinischen Daten, Angaben zu Bankverbindungen usw. unterstützten. Heute dient die Zwei-Faktor-Authentifizierung primär als Maßnahme im Rahmen des Sicherheits- und Risikomanagements. Datenschutzverletzungen sind eine reale Gefahr, die Millionen von Anwendern betrifft und massive Konsequenzen nach sich zieht. Im Unterschied zu früheren Zeiten müssen nicht nur eine Handvoll, sondern Dutzende bis Hunderte von Anwendungen gesichert werden.

Angesichts der horizontalen Verteilung vertraulicher Daten zwischen Anwendern mit unterschiedlichen Befugnissen und Zugriffsberechtigungen muss eine Zwei-Faktor-Lösung skalierbar sein, damit sie für alle Apps und Mitarbeiter bereitgestellt werden kann. Bei der steigenden Anzahl von Anwendungen und Anwendern und Zunahme der Cyberkriminalität sind zur Gewährleistung der Sicherheit kürzere Bereitstellungszeiten erforderlich.

2011 verschafften sich Hacker Zugriff auf die internen Daten, die RSA zur Überprüfung seiner Hardware-Geräte verwendet und nutzten sie zu einem Angriff auf den RSA-Kunden Lockheed Martin und andere namentlich nicht genannte Unternehmen aus dem Rüstungssektor. Unter anderem wurde ein Geheimschlüssel entwendet, der fest in das Token selbst einprogrammiert ist – quasi das digitale Äquivalent eines Schlüssels für ein Vorhängeschloss. Diese Sicherheitslücke zeigte, wie anfällig selbst teure Hardware-Systeme sind.

Barracuda vereinfacht die Verwendung von SecurID zum Schutz Ihrer Website und Webanwendungen vor unbefugtem Zugriff. In der Barracuda Web Application Firewall ist eine SEIM-Integration (Security and Information Management) mit SecureID und CA SiteMinder – den beiden gängigsten Systemen zur Identitätsverwaltung und Multi-Faktor-Authentifizierung –inbegriffen. Lassen Sie sich von Barracuda zur Implementierung von RSA SecurID beraten oder fordern Sie beliebige Barracuda-Produkte als kostenlose Testversion an.