Von wegen sicher

Experten knacken Sicherheits-Token in nur 13 Minuten

(Bild: thinkstockphotos.de)

Diese Meldung dürfte IT-Spezialisten in Unternehmen und Behörden auf der ganzen Welt die Schweißperlen auf die Stirn treiben: Einer Gruppe von Computerexperten ist es nach eigener Aussage gelungen, in Windeseile die weit verbreiteten Sicherheitsschlüssel namens Token zu knacken, mit denen sich Mitarbeiter von außen in firmeneigene Computernetzwerke einwählen oder vertrauliche Daten verschlüsseln können.

Die ins Zwielicht geratenen Token sind millionenfach verbreitet. Die handlichen Geräte in der Größe eines Schlüsselanhängers geben zufällig erzeugte Zahlenfolgen aus, die nur für jeweils kurze Zeit als Passwort dienen. So ist es möglich, damit auch an sensible Daten zu gelangen. Hacker bräuchten - wenn überhaupt - viel zu lange, um den Code zu entschlüsseln, hieß es bisher vonseiten der Hersteller.

Die Computerexperten, die sich selbst "Project-Team Prosecco" nennen, kommen von mehreren europäischen Universitäten. Sie wollen nun einen der gängigsten Token in gerade mal 13 Minuten überwunden haben. Ihre Entdeckung beschreiben sie in einem bereits im Internet veröffentlichten Papier, das sie auf einer Kryptographiekonferenz im August vorstellen werden. "Die Attacken sind effizient genug, um praktikabel zu sein", heißt es in der 22-seitigen Abhandlung.

Der erwähnte Token - SecurID Token 800 - stammt vom US-Unternehmen RSA, einem der größten Hersteller derartiger Geräte. In einer ausführlichen Stellungnahme bezeichnete die Firma die Forschungsergebnisse als "unwahr" und "konstruiert". Die Angriffsmethode sei in der Praxis nutzlos, da sowohl die Smartcard als auch der entsprechende PIN benötigt würden.

Es ist allerdings nicht das erste Mal, dass RSA in die Schlagzeilen gerät. Im vergangenen Jahr mussten Millionen Token ausgetauscht werden, nachdem Hacker in die Systeme der Firma eingedrungen waren. Später nutzten die Hacker die erbeuteten Informationen, um einen Angriff auf den US-Rüstungsriesen Lockheed Martin zu starten.

Eine ganze Reihe von Verschlüsselungsgeräten sei verwundbar, erklärten die Computerexperten. Unter anderem wird ein System von Siemens in dem Papier erwähnt. Ein Sprecher des Münchener Technologiekonzerns erklärte, dass das sogenannte Siemens CardOS zwischenzeitlich an den französischen IT-Dienstleister Atos Origin verkauft worden sei. Hier hatten die Computerexperten 21 Minuten zum Knacken benötigt.