Da ist es nun passiert. Das Unfassbare, das Unmögliche, das Undenkbare: Die Mutter aller One-Time-Passwörter wurde angegriffen! Die Meldung machte schnell die Runde und alle fragen sich: Was ist passiert bei RSA? Mit den SecurID-Tokens hatten sie eine sehr schöne, berührungslose und einfach zu bedienende Lösung geschaffen. Und sie galt als sehr sicher.
Mit einem Mal änderte sich die Situation und trotz gut gemeinter Argumente fragten die RSA-Kunden: Ist die Lösung immer noch sicher? Was haben die Angreifer ausgespäht? Welchen Schaden können sie bei mir anrichten? Leider gab es dazu bis heute keine Antwort. Inzwischen ist bekannt, was passiert ist: In der E-Mail “2011 Recruitmentplan.xls” an einige RSA-Mitarbeiter befand sich eine Flash-Datei, die wiederum das frei verfügbare “Fernwartungstool” Poison Ivy zum Laufen brachte. Ein klassischer Weg für Malware, um in Unternehmen einzudringen. Es mag irgendwie beruhigend sein, dass es Sicherheitsanbietern nicht anders geht als dem Otto-Normal-Administrator. Die Verunsicherung bleibt jedoch.
Nun schauen sich alle um und fragen: Gibt es sichere Alternativen? Und sind diese auch praktikabel? Zunächst sollte die Frage nach dem Zweck gestellt werden. Wofür benötigt man eine Zwei-Faktor-Authentifizierung?
In den meisten Infrastrukturen wird diese Erweiterung der Anmeldesicherheit nur für den Fall genutzt, in denen sich Mitarbeiter über einen “Zugang von außen” wie ein VPN anmelden. Das kann dann von Unternehmensrechnern oder Privatgeräten passieren. In diesem Fall ist alles, was mit Zusatz-Hardware verbunden ist, schwierig zu realisieren: Weder Smartcard-Reader noch Fingerabdruck-Scanner sind für den privaten PC geeignet. Sowohl mit Hinblick auf die Kosten, als auch der Funktionalität. RFID-basierte Lösungen brauchen Hardware, sie kommen also ebenfalls nicht in Frage.
Die meisten Hardware-unabhängigen Lösungen haben sich im Einsatz nicht bewährt: Vor einiger Zeit versuchte ein Unternehmen, Mitarbeiter anhand ihres Tippverhaltens auf der Tastatur zu erkennen. Die Idee war ungewöhnlich, die Hardware hat jeder. Leider sind wir Menschen nicht kalkulierbar und tippen je nach Tagesform anders in unsere Tastatur. Der Druck lässt sich nicht messen, nur der zeitliche Abstand zwischen den Anschlägen. Bleibt somit nur noch das One-Time-Passwort.
Im internen Netz etwa zur Absicherung von Single-Sign-On-Lösungen kann ein zweiter Anmeldefaktor viel bringen. Setzen Unternehmen im Gesundheitswesen mit der Health Professional Card (HPC) auf SmartCard-Technologie, stoßen auch sie schnell an Grenzen der Alltagstauglichkeit. Hat der Arzt die Karte vergessen, kann er nicht behandeln. Also wird die HPC virtualisiert und über andere Mechanismen darauf zugegriffen – wie RFID-Lösungen oder Fingerabdruck-Scanner. Letztere haben allerdings gerade im Krankenhaus mit Blick auf die Hygiene einen unangenehmen Beigeschmack.
Bei der ganzen Diskussion bestätigt sich die alte Weisheit: Keine Rose ohne Dornen. Die perfekte Lösung gibt es noch nicht. Und das Misstrauen ist hoch: Als ich einmal auf der CeBIT Kunden einen neuartigen Fingerabdruck-Scanner präsentierte, fragte mich jeder zweite Besucher, ob der Sensor auch erkennt, wenn der Finger vorher abgehakt wurde. Ich frage mich bis heute, wie viele Finger in Deutschland pro Jahr als Straftatbestand abgetrennt werden…
Jörg Mecke’s Meinung zur Tippbiometrie
Hat mir gefallen, dass die Tippbiometrie als mögliche Lösung angesprochen wurde. Allerdings inhaltlich nicht ganz korrekt. Natürlich kommt das System mit unterschiedlichen "Tipptempramenten" zurecht (müde, aufgeregt, kalte Finger etc.). Es wird auch nicht nur die Übergangsdauer von einer Taste zur nächsten sondern auch die Haltedauer gemessen (Druckstärke nicht). Dadurch lassen sich über 15 verschiedene Merkmale erkennen/errechnen und das bei jedem Anschlag. Die Tippbiometrie erreicht damit ein "Benchmarking" im Bereich Biometrie, welches mit einem hochwertigen Fingerreader vergleichbar ist (in FAR/FRR). Aber halt ohne zusätzliche Hardware – nur die Tastatur. Es gibt mittlerweile eine ganze Reihe von Anbietern mit verschiedenen Ansätzen.
Der angehackte Finger
Es mag zwar in Deutschland noch kein Finger abgehackt worden sein um damit ein Sicherheitssystem zu umgehen. Allerdings ist die bereits in den 1990ern in den USA vorgekommen. Dort wurde bei einem System zur Kontrolle der Auszahlung von Unterstützungleistungen an Obdachlose ein Fingerprint-Scanner eingesetzt. Es sollte damit sichergestellt werden, dass die gleicher Person nicht mehrfach Leistungen in Anspruch nimmt. Das hat dann aber dazu geführt, dass einem verstorbenen der Finger abgehackt wurde um damit weiter die Beihilfen ausbezahlt zu bekommen.
Daher ist die Frage nicht so weit hergeholt.
Der abgehakte Finger
Ich gebe Herrn Ludikovsky ja recht, dass es diese Einzelfälle gab. Und in besonderen Sicherheitsbereichen wie dem Militär kann ich es durchaus nachvollziehen. Ich bin nur immer wieder überrascht, welche Stilblüten das Sicherheitsbewusstsein bei Otto-Normal-Administrator treibt.
Neben den abgetrennten Fingern fragte ein Interessent allen Ernstes, ob es eine Sicherheitslösung gegen das Abfilmen per Kamera von Bildschirminhalten auf Geräten in Internet-Cafés gibt…
schlechtes Vorbild
eine der elementaren Sicherheitsregeln, so heisst es immer, ist ganz einfach, nicht auf alles zu klicken, was bei "1 2 3…" noch nicht auf dem Baum ist.
Und gerade bei _der_ Sicherheitsfirma verstossen Mitarbeiter dagegen?
Oder kam die Mail sogar von einem legitimen Absender innerhalb des Unternehmens …