Die Sicherheitsfirma RSA, die vor allem durch die Einmal-Passwort-Lösung SecureID bekannt ist, wurde Opfer eines digitalen Einbruchs. Heise berichtetet Mitte April. Jetzt sind schon die ersten Fälle der Folgen des Einbruchs bei RSA bekannt geworden. Zu den Bekanntesten zählt hier wohl Lockheed Martin. Bei dem RSA-Einbruch sind die Seeds und die Algorithmen gestohlen worden, die jetzt für die Folgeschäden sorgen.
RSA muss nun 40 Millionen Hardware-Token und 250 Millionen Software-Token austauschen. Alle Token, die noch nicht ausgetauscht wurden sind defacto wertlos, da sie keinen Schutz mehr bieten.
Das Problem ist aber die Informationspolitik von RSA. Sich so lange in Schweigen zu hüllen, ist ein unmögliches Verhalten ihren Kunden gegenüber. Vor allem mit welchen Argument man dies jetzt rechtfertigt. Als hätten diejenigen die bei RSA eingebrochen sind, nicht genau gewusst, was durch den Einbruch in ihrem Besitz gelangt ist. Denn genau darauf hatten sie es ja auch abgesehen. Es waren auch keine Amateure oder Script-Kiddies, sondern eine ganz gezielte Aktion von Profis. Das zeigt ja auch der Folgeeinbruch bei Lockheed Martin. Hier stellt sich aber nun die Frage, ist Lockheed Martin nur die Spitze des Eisbergs und gibt es da noch viele mehr?
Die Konsequenz für alle RSA Kunden die noch keine neuen Token haben, ist auf jeden Fall die Token als wertlos zu betrachten. Damit ist die Sicherheit auf dem Niveau von Benutzername mit statischem Kennwort. Es bleibt auch zu hoffen, dass die neuen Token auch gänzlich neue Seeds haben werden und nicht nur Seeds von denen RSA glaubt, dass sie den Einbrechern nicht in die Hände gefallen sind.
Unabhängig davon, unter welchen Umständen der Einbruch stattgefunden hat oder wessen Schuld das ist, eine schnelle und umfassende Information wäre das richtige Mittel gewesen. Denn dann hätten alle die die Token verwenden sofort gewusst, dass ab jetzt die Token keine Sicherheit mehr bieten. Aber das Schweigen hat nur dazu geführt, dass es zusätzlich denjenigen in die Karten gespielt hat, die die Seeds gestohlen haben.
Es bleibt nur zu hoffen, dass man die richtigen Konsequenzen für zukünftige Fälle daraus zieht. Es ist ja nicht die Frage ob es wieder passiert, sondern nur wann.