Image-Schaden

Große RSA-Kunden wollen neue SecurID-Tokens

Thomas Cloer war viele Jahre lang verantwortlich für die Nachrichten auf computerwoche.de.
Er sorgt außerdem ziemlich rund um die Uhr bei Twitter dafür, dass niemand Weltbewegendes verpasst, treibt sich auch sonst im Social Web herum (auch wieder bei Facebook) und bloggt auf teezeh.de. Apple-affin, bei Smartphones polymorph-pervers.
Nachdem RSA den Austausch von SecurID-Tokens angeboten hat, stehen erboste Großkunden bereits Schlange.
SecurID-Tokens von RSA
SecurID-Tokens von RSA
Foto: RSA Security

RSA hatte Anfang der Woche einräumen müssen, dass die für Zwei-Faktor-Authentifizierung benutzten Tokens nach einem Datendiebstahl bei der Security-Tochter von EMC wohl nicht mehr so sicher sind wie angepriesen. Viele Kunden sind nun sauer, dass RSA bis zu dem Eingeständnis eine so lange Zeitspanne hatte verstreichen lassen, nachdem die Firma selbst bereits im März und ihr Kunde Lockheed Martin im Mai von Crackern heimgesucht worden war.

Die US-Großbanken Bank of America, JPMorgan Chase, Wells Fargo und Citigroup haben einem Bericht der "New York Times" zufolge allesamt angekündigt, ihre SecurID-Tokens so schnell wie möglich austauschen zu lassen. Auch der deutsche Softwarekonzern SAP AG, bei dem fast alle der 50.000 Mitarbeiter RSA-Tokens benutzen, will diese komplett ausgetauscht haben. Wie viele Kunden wirklich auf einem Token-Tausch bestehen werden, ist zum jetzigen Zeitpunkt nicht absehbar. "Die Möglichkeit existiert, dass Hardware-Token im Millionenbereich ausgetauscht werden, aber wir sehen nicht eine Größenordnung von 30-40 Millionen", erklärte der deutsche EMC-Sprecher Andreas vom Bruch gegenüber der "COMPUTERWOCHE".

Der "NYT" zufolge muss RSA nach der Panne insbesondere aufpassen, dass ihm die Security-Berater bei der SecurID-Stange bleiben. Sprecher der Verteidigungsindustrie erklärten am Dienstag bereits, einige der größten Unternehmen beschleunigten bereits ihre Vorhaben, den Zugang zu ihren Computersystemen lieber über Smart Cards und andere neuere Sicherheitstechniken abzusichern - die RSA-Konkurrenz reibt sich natürlich gerade die Hände und steht Gewehr bei Fuß.

In der Branche herrscht offenbar aktuell die Ansicht, RSA habe zu wenig und zu spät zugegeben. "Sie haben von ihren Kunden richtig Druck bekommen, speziell von den Finanzdienstleistern", sagt zum Beispiel Gary McGraw, CTO der Washingtoner Sicherheits-Beratungsfirma Cigital. "Sie sind dann zwar wieder zu sich gekommen, aber zu spät." "Die ganze Entschuldigung ist nicht wasserdicht", kritisiert auch Alex Stamos, CTO bei iSEC Partners. RSA habe über sechs bis sieben Wochen das Problem heruntergespielt und seine Kunden damit angreifbarer gemacht.

Diesen Vorwurf weist der EMC-Sprecher Michael Gallant zurück. "Wir haben keine Informationen zurückgehalten, die die Sicherheit der Systeme unserer Kunden beeinträchtigt hätte", so Gallant. "Wir haben sehr spezifische Empfehlungen abgegeben, Details des Angriffs mitgeteilt und gemeinsam mit Kunden daran gearbeitet, ihre Systemsicherheit insgesamt zu stärken."