Bei der Untersuchung der Sicherheit und Vertrauenswürdigkeit gängiger Security Token für die Authentifizierung im Internet, die im Auftrag des Bundesamts für Sicherheit in der Informationstechnik durchgeführt wurde, haben Wissenschaftlerinnen und Wissenschaftler am Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC gravierende Schwachstellen aufgedeckt und geschlossen. Die Ergebnisse der Untersuchung wurden jetzt veröffentlicht.
Die bloße Verwendung von Passwörtern zur Absicherung von Daten und Systemen ist längst nicht mehr ausreichend. Das Bundesamt für Sicherheit in der Informationstechnik und andere Sicherheitsexpertinnen und -experten empfehlen deshalb die Verwendung von zusätzlichen Hardware-Sicherheitsschlüsseln (Hardware Security Token) zur Zwei-Faktor-Authentifizierung. Doch durch den Einsatz von Hardware Token können sich auch neue Bedrohungen ergeben: Token können gezielt in der gesamten Lieferkette vom Hersteller über den Zwischenhändler bis hin zum Endkunden manipuliert werden, um Hintertüren zu schaffen – insbesondere, wenn sie über große Internet-Handelsplattformen bezogen werden. Auch nach Inbetriebnahme können Token angegriffen werden, beispielsweise wenn der Token unbeaufsichtigt im PC oder Laptop steckt, während der Nutzer den Arbeitsplatz kurz verlässt.
Wissenschaftlerinnen und Wissenschaftler am Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC haben im Auftrag des Bundesamts für Sicherheit in der Informationstechnik im Instituts-eigenen Hardware-Sicherheitslabor die Sicherheit und Vertrauenswürdigkeit von sieben kommerziell erhältlichen Security Token untersucht, im Fokus standen dabei Open-Source-Produkte. Bei der Untersuchung wurden erhebliche Schwachstellen identifiziert – auch bei den Marktführern im Open-Source-Bereich.
Für die Untersuchung der Hardware Token im Security-Labor des Fraunhofer AISEC wurden drei unterschiedliche Angriffsklassen angewendet. Um eine aussagekräftige Bewertung der Sicherheit zu erhalten, wurde bei der Untersuchung nur Ausstattung zugelassen, die dem Anwendungskontext angemessen und günstig zu beschaffen war. Aufwand und Komplexität der Angriffe wurden außerdem so beschränkt, dass alle Angriffe in wenigen Minuten durchgeführt werden können.
Fachartikel
Studien
DLA Piper Studie zu DSGVO-Bußgeldern und Datenschutzverletzungen 2022
Wachsende Angriffsfläche in vernetzten Industrieumgebungen
Allianz Risk Barometer 2022: Cyber weltweites Top-Risiko für Unternehmen; Sorge vor Naturgefahren und Klimawandel in Deutschland
Wer sich mit der Blockchain beschäftigt, hat hohe Erwartungen
Studie zeigt, dass deutsche Führungskräfte die Bedrohung durch Ransomware unterschätzen und mehr Beratung durch Cybersicherheitsexperten benötigen
Whitepaper
Unter4Ohren
Deep-Learning: Die nächste Evolutionsstufe in der Cybersecurity-Abwehr?
Cybersecurity Booster für Krankenhäuser
X-PHY – die weltweit erste SSD mit künstlicher Intelligenz zur physischen Bekämpfung von Cyberangriffen
„Sicher war gestern“ – 64 Prozent der geschäftskritischen Systeme wurden in den vergangenen beiden Jahren angegriffen
