Bei der Untersuchung der Sicherheit und Vertrauenswürdigkeit gängiger Security Token für die Authentifizierung im Internet, die im Auftrag des Bundesamts für Sicherheit in der Informationstechnik durchgeführt wurde, haben Wissenschaftlerinnen und Wissenschaftler am Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC gravierende Schwachstellen aufgedeckt und geschlossen. Die Ergebnisse der Untersuchung wurden jetzt veröffentlicht.
Die bloße Verwendung von Passwörtern zur Absicherung von Daten und Systemen ist längst nicht mehr ausreichend. Das Bundesamt für Sicherheit in der Informationstechnik und andere Sicherheitsexpertinnen und -experten empfehlen deshalb die Verwendung von zusätzlichen Hardware-Sicherheitsschlüsseln (Hardware Security Token) zur Zwei-Faktor-Authentifizierung. Doch durch den Einsatz von Hardware Token können sich auch neue Bedrohungen ergeben: Token können gezielt in der gesamten Lieferkette vom Hersteller über den Zwischenhändler bis hin zum Endkunden manipuliert werden, um Hintertüren zu schaffen – insbesondere, wenn sie über große Internet-Handelsplattformen bezogen werden. Auch nach Inbetriebnahme können Token angegriffen werden, beispielsweise wenn der Token unbeaufsichtigt im PC oder Laptop steckt, während der Nutzer den Arbeitsplatz kurz verlässt.
Wissenschaftlerinnen und Wissenschaftler am Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC haben im Auftrag des Bundesamts für Sicherheit in der Informationstechnik im Instituts-eigenen Hardware-Sicherheitslabor die Sicherheit und Vertrauenswürdigkeit von sieben kommerziell erhältlichen Security Token untersucht, im Fokus standen dabei Open-Source-Produkte. Bei der Untersuchung wurden erhebliche Schwachstellen identifiziert – auch bei den Marktführern im Open-Source-Bereich.
Für die Untersuchung der Hardware Token im Security-Labor des Fraunhofer AISEC wurden drei unterschiedliche Angriffsklassen angewendet. Um eine aussagekräftige Bewertung der Sicherheit zu erhalten, wurde bei der Untersuchung nur Ausstattung zugelassen, die dem Anwendungskontext angemessen und günstig zu beschaffen war. Aufwand und Komplexität der Angriffe wurden außerdem so beschränkt, dass alle Angriffe in wenigen Minuten durchgeführt werden können.
Fachartikel
Studien
Studie: Unternehmen erhöhen Cybersecurity-Budgets – aber zu häufig nach Gießkannenprinzip
Jeder zweite Cyber-Experte ist überzeugt: Deutsche Führungsebene vernachlässigt IT-Sicherheit
BlueVoyant-Bericht zeigt Herausforderungen für die Cybersicherheit von Private-Equity-Portfoliounternehmen auf
Studie zeigt: Schaden durch Ransomware-Angriffe nimmt an Feiertagen und Wochenenden zu
Elastic Global Threat Report: Fast 33 Prozent der Cyberangriffe in der Cloud passieren über „Credential Access“
Whitepaper
Home Router Security Report 2022
E-Book „Cyberkriminalität 2023“
Deutschland braucht eine öffentliche Sensibilisierungskampagne gegen die Cyber-Pandemie
SentinelOne veröffentlicht ausführliche Analyse der neuen Black Basta Ransomware
Aktuelle Analyse: Zahl der Cyberangriffe auf den Handel steigt an – erhöhtes Risiko von Online-Betrug und Datenverlust
Unter4Ohren
Security Operation Center as a Services (SOCaaS) – Das moderne Managed SOC kommt zum Kunden, nicht umgekehrt!
Was ist SAP-Security und warum ist SAP-Security so wichtig?
Schere, Stein, Deep Learning – Wie die Technologie herkömmliche Malware-Protection in den Schatten stellt
Angriffe auf kritische Infrastrukturen häufen sich. Ist XDR hier einfach ein Buzzwort – oder was kann es leisten?
