Schwachstellen in gängigen Security Token

Die bloße Verwendung von Passwörtern zur Absicherung von Daten und Systemen ist längst nicht mehr ausreichend.

Das Bundesamt für Sicherheit in der Informationstechnik und andere Sicherheitsexpertinnen und -experten empfehlen deshalb die Verwendung von zusätzlichen Hardware-Sicherheitsschlüsseln (Hardware Security Token) zur Zwei-Faktor-Authentifizierung. Doch durch den Einsatz von Hardware Token können sich auch neue Bedrohungen ergeben: Token können gezielt in der gesamten Lieferkette vom Hersteller über den Zwischenhändler bis hin zum Endkunden manipuliert werden, um Hintertüren zu schaffen – insbesondere, wenn sie über große Internet-Handelsplattformen bezogen werden. Auch nach Inbetriebnahme können Token angegriffen werden, beispielsweise wenn der Token unbeaufsichtigt im PC oder Laptop steckt, während der Nutzer den Arbeitsplatz kurz verlässt.

Anzeige

Wissenschaftlerinnen und Wissenschaftler am Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC haben im Auftrag des Bundesamts für Sicherheit in der Informationstechnik im Instituts-eigenen Hardware-Sicherheitslabor die Sicherheit und Vertrauenswürdigkeit von sieben kommerziell erhältlichen Security Token untersucht, im Fokus standen dabei Open-Source-Produkte. Bei der Untersuchung wurden erhebliche Schwachstellen identifiziert – auch bei den Marktführern im Open-Source-Bereich.

Für die Untersuchung der Hardware Token im Security-Labor des Fraunhofer AISEC wurden drei unterschiedliche Angriffsklassen angewendet. Um eine aussagekräftige Bewertung der Sicherheit zu erhalten, wurde bei der Untersuchung nur Ausstattung zugelassen, die dem Anwendungskontext angemessen und günstig zu beschaffen war. Aufwand und Komplexität der Angriffe wurden außerdem so beschränkt, dass alle Angriffe in wenigen Minuten durchgeführt werden können.

https://www.aisec.fraunhofer.de/

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.