10.06.2011, 09:13 Uhr
Grosskunden erzürnt über späten RSA-Token-Austausch
RSA hat den Austausch von SecurID-Tokens angeboten. Zu spät, meinen erboste Grosskunden.
RSA hatte Anfang der Woche einräumen müssen, dass die für Zwei-Faktor-Authentifizierung benutzten Tokens nach einem Datendiebstahl bei der Security-Tochter von EMC wohl nicht mehr so sicher sind wie angepriesen. Viele Kunden sind nun sauer, dass RSA bis zu dem Eingeständnis eine so lange Zeitspanne hatte verstreichen lassen, nachdem die Firma selbst bereits im März und ihr Kunde Lockheed Martin im Mai von Crackern heimgesucht worden war.
Die US-Grossbanken Bank of America, JPMorgan Chase, Wells Fargo und Citigroup haben einem Bericht der «New York Times» (NYT) zufolge allesamt angekündigt, ihre SecurID-Tokens so schnell wie möglich austauschen zu lassen. Auch der deutsche Softwarekonzern SAP AG, bei dem fast alle der 50'000 Mitarbeiter RSA-Tokens benutzen, will diese komplett ausgetauscht haben. Wie viele Kunden wirklich auf einem Token-Tausch bestehen werden, ist zum jetzigen Zeitpunkt nicht absehbar. «Die Möglichkeit existiert, dass Hardware-Token im Millionenbereich ausgetauscht werden, aber wir sehen nicht eine Grössenordnung von 30-40 Millionen», erklärte der deutsche EMC-Sprecher Andreas vom Bruch gegenüber unsrerer Schwesterpublikation «Computerwoche».
Der NYT zufolge muss RSA nach der Panne insbesondere aufpassen, dass ihm die Security-Berater bei der SecurID-Stange bleiben. Sprecher der Verteidigungsindustrie erklärten am Dienstag bereits, einige der grössten Unternehmen beschleunigten bereits ihre Vorhaben, den Zugang zu ihren Computersystemen lieber über Smart Cards und andere neuere Sicherheitstechniken abzusichern - die RSA-Konkurrenz reibt sich natürlich gerade die Hände und steht Gewehr bei Fuss.
In der Branche herrscht offenbar aktuell die Ansicht, RSA habe zu wenig und zu spät zugegeben. «Sie haben von ihren Kunden richtig Druck bekommen, speziell von den Finanzdienstleistern», sagt zum Beispiel Gary McGraw, CTO der Washingtoner Sicherheits-Beratungsfirma Cigital. «Sie sind dann zwar wieder zu sich gekommen, aber zu spät.» «Die ganze Entschuldigung ist nicht wasserdicht», kritisiert auch Alex Stamos, CTO bei iSEC Partners. RSA habe über sechs bis sieben Wochen das Problem heruntergespielt und seine Kunden damit angreifbarer gemacht.
Diesen Vorwurf weist der EMC-Sprecher Michael Gallant zurück. «Wir haben keine Informationen zurückgehalten, die die Sicherheit der Systeme unserer Kunden beeinträchtigt hätte», so Gallant. «Wir haben sehr spezifische Empfehlungen abgegeben, Details des Angriffs mitgeteilt und gemeinsam mit Kunden daran gearbeitet, ihre Systemsicherheit insgesamt zu stärken.»
Die US-Grossbanken Bank of America, JPMorgan Chase, Wells Fargo und Citigroup haben einem Bericht der «New York Times» (NYT) zufolge allesamt angekündigt, ihre SecurID-Tokens so schnell wie möglich austauschen zu lassen. Auch der deutsche Softwarekonzern SAP AG, bei dem fast alle der 50'000 Mitarbeiter RSA-Tokens benutzen, will diese komplett ausgetauscht haben. Wie viele Kunden wirklich auf einem Token-Tausch bestehen werden, ist zum jetzigen Zeitpunkt nicht absehbar. «Die Möglichkeit existiert, dass Hardware-Token im Millionenbereich ausgetauscht werden, aber wir sehen nicht eine Grössenordnung von 30-40 Millionen», erklärte der deutsche EMC-Sprecher Andreas vom Bruch gegenüber unsrerer Schwesterpublikation «Computerwoche».
Der NYT zufolge muss RSA nach der Panne insbesondere aufpassen, dass ihm die Security-Berater bei der SecurID-Stange bleiben. Sprecher der Verteidigungsindustrie erklärten am Dienstag bereits, einige der grössten Unternehmen beschleunigten bereits ihre Vorhaben, den Zugang zu ihren Computersystemen lieber über Smart Cards und andere neuere Sicherheitstechniken abzusichern - die RSA-Konkurrenz reibt sich natürlich gerade die Hände und steht Gewehr bei Fuss.
In der Branche herrscht offenbar aktuell die Ansicht, RSA habe zu wenig und zu spät zugegeben. «Sie haben von ihren Kunden richtig Druck bekommen, speziell von den Finanzdienstleistern», sagt zum Beispiel Gary McGraw, CTO der Washingtoner Sicherheits-Beratungsfirma Cigital. «Sie sind dann zwar wieder zu sich gekommen, aber zu spät.» «Die ganze Entschuldigung ist nicht wasserdicht», kritisiert auch Alex Stamos, CTO bei iSEC Partners. RSA habe über sechs bis sieben Wochen das Problem heruntergespielt und seine Kunden damit angreifbarer gemacht.
Diesen Vorwurf weist der EMC-Sprecher Michael Gallant zurück. «Wir haben keine Informationen zurückgehalten, die die Sicherheit der Systeme unserer Kunden beeinträchtigt hätte», so Gallant. «Wir haben sehr spezifische Empfehlungen abgegeben, Details des Angriffs mitgeteilt und gemeinsam mit Kunden daran gearbeitet, ihre Systemsicherheit insgesamt zu stärken.»