Bei der Untersuchung der Sicherheit und Vertrauenswürdigkeit gängiger Security Token für die Authentifizierung im Internet, die im Auftrag des Bundesamts für Sicherheit in der Informationstechnik durchgeführt wurde, haben Wissenschaftlerinnen und Wissenschaftler am Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC gravierende Schwachstellen aufgedeckt und geschlossen. Die Ergebnisse der Untersuchung wurden jetzt veröffentlicht.
Die bloße Verwendung von Passwörtern zur Absicherung von Daten und Systemen ist längst nicht mehr ausreichend. Das Bundesamt für Sicherheit in der Informationstechnik und andere Sicherheitsexpertinnen und -experten empfehlen deshalb die Verwendung von zusätzlichen Hardware-Sicherheitsschlüsseln (Hardware Security Token) zur Zwei-Faktor-Authentifizierung. Doch durch den Einsatz von Hardware Token können sich auch neue Bedrohungen ergeben: Token können gezielt in der gesamten Lieferkette vom Hersteller über den Zwischenhändler bis hin zum Endkunden manipuliert werden, um Hintertüren zu schaffen – insbesondere, wenn sie über große Internet-Handelsplattformen bezogen werden. Auch nach Inbetriebnahme können Token angegriffen werden, beispielsweise wenn der Token unbeaufsichtigt im PC oder Laptop steckt, während der Nutzer den Arbeitsplatz kurz verlässt.
Wissenschaftlerinnen und Wissenschaftler am Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC haben im Auftrag des Bundesamts für Sicherheit in der Informationstechnik im Instituts-eigenen Hardware-Sicherheitslabor die Sicherheit und Vertrauenswürdigkeit von sieben kommerziell erhältlichen Security Token untersucht, im Fokus standen dabei Open-Source-Produkte. Bei der Untersuchung wurden erhebliche Schwachstellen identifiziert – auch bei den Marktführern im Open-Source-Bereich.
Für die Untersuchung der Hardware Token im Security-Labor des Fraunhofer AISEC wurden drei unterschiedliche Angriffsklassen angewendet. Um eine aussagekräftige Bewertung der Sicherheit zu erhalten, wurde bei der Untersuchung nur Ausstattung zugelassen, die dem Anwendungskontext angemessen und günstig zu beschaffen war. Aufwand und Komplexität der Angriffe wurden außerdem so beschränkt, dass alle Angriffe in wenigen Minuten durchgeführt werden können.
Fachartikel
LIVE WEBINAR: Verschlüsselter und einfacher Datentransfer per E-Mail oder Datenraum
Cybersecurity: Endlich Schluss mit dem Tool-Wahnsinn
SD-WAN: Warum DDI der Schlüssel zu effizientem Management ist
(Keine) Cyberrisiken (mehr) im erweiterten Zulieferer-Netzwerk
Wie Managed Service Provider (MSP) Daten vor Ransomware-Angriffen schützen sollten
Studien
IBM „Cost of a Data Breach“- Studie 2022: Verbraucher zahlen den Preis, da die Kosten für Datenschutzverletzungen ein Allzeithoch erreichen
Gestohlene Zugangsdaten sind im Dark Web günstiger als ein Döner
Jedes zweite Fertigungsunternehmen rechnet mit Zunahme von Cyberangriffen – bei weiterhin lückenhafter Cybersicherheit
Hybride Arbeitsmodelle: Firmware-Angriffe nehmen signifikant zu
Schwachstellen in Programmierschnittstellen kosten Unternehmen jährlich bis zu 75 Milliarden Dollar
Whitepaper
Q1 2022 Lage der IT-Sicherheit: 57 % aller Sicherheitsvorfälle gehen auf bekannte Netzwerkschwachstellen zurück
Ransomware-Vorfälle nehmen weiter zu
DDOS-Angriffe in Deutschland sinken, aber neue fokussiere Angriffstechniken werden weiterentwickelt
Alles über Threat Intelligence: Radware veröffentlicht Teil III des Hacker’s Almanac
