Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

NSA-Manipulation: Sicherheitsfirma RSA warnt vor eigener Software

Computernutzer: Der US-Geheimdienst NSA soll US-Sicherheitsstandards sabotiert haben Zur Großansicht
REUTERS

Computernutzer: Der US-Geheimdienst NSA soll US-Sicherheitsstandards sabotiert haben

Die Sicherheitsfirma RSA, bekannt etwa für ihre SecurID-Tokens, hat ein Problem: In einem von dem Unternehmen vertriebenen Softwareprodukt ist ein Zufallsgenerator eingebaut, den womöglich die NSA manipuliert hat. Nun warnt RSA Softwareentwickler vor dem Einsatz der Komponente.

Hamburg - Die Enthüllungen des NSA-Whistleblowers Edward Snowden haben nun handfeste Konsequenzen für zahlreiche Unternehmen rund um den Globus. Die auf IT-Sicherheit spezialisierte Abteilung des Unternehmens EMC namens RSA warnte am Donnerstag Tausende Kunden vor ihrer eigenen Software. RSA ist Firmenkunden vor allem als Hersteller sogenannter SecurID-Tokens bekannt, die Zufallszahlen erzeugen, mit deren Hilfe sich Nutzer aus der Ferne in Firmennetze einloggen können. Von der Warnung ist jedoch ein anderes RSA-Produkt betroffen: ein Werkzeugkasten für Entwickler namens BSafe.

Darin ist demnach unter anderem ein Generator für Zufallszahlen enthalten, den RSA nicht mehr für sicher hält. Zufallszahlen spielen in vielen Verschlüsselungsverfahren eine zentrale Rolle.

In BSafe sind neben dem betroffenen noch andere mögliche Zufallsgeneratoren enthalten, und RSA rät seinen Kunden jetzt, lieber eine dieser Alternativen zu benutzen. Fraglich ist, ob die Mitteilung nicht nur alle Entwickler erreicht, die heute mit dem entsprechenden RSA-Produkt arbeiten, sondern auch alle, die es in der Vergangenheit eingesetzt haben. Von den Endkunden, die mit diesem Werkzeug entwickelte Produkte einsetzen, ganz zu schweigen. EMC zufolge ist BSafe "in Tausenden kommerzieller Anwendungen integriert".

Das US-Normungsinstitut Nist (National Institute of Standards and Technology) hatte vor einem der eigenen Standards für solche Generatoren gewarnt . In einer öffentlichen Erklärung rieten die Experten dringend davon ab, ein 2006 genormtes Verfahren zu nutzen. Die Methode wird vor allem bei Verschlüsselungsverfahren genutzt.

Aus den von Edward Snowden offengelegten Geheimunterlagen geht laut "New York Times" hervor, dass die NSA den Standard SP 800-90A mit dem Ziel sabotierte, ein für die NSA-Experten nachvollziehbares Muster in scheinbar zufällige Zahlen zu schmuggeln. Ein solches Muster in einem nicht ganz zufälligen Zufallsgenerator könnte es der NSA ermöglichen, darauf aufbauende Verschlüsselungsstandards zu knacken. Laut dem Bericht hatte die NSA bei der Erarbeitung des Standards letztlich freie Hand.

Das Nist ist einer Vereinbarung zufolge verpflichtet, mit der NSA eng zusammenzuarbeiten und "sich auf Richtlinien zur Sicherheit von Computersystemen zu beziehen, die die NSA entwickelt hat".

cis/Reuters

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 28 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Internet Explorer 6
axlban 20.09.2013
Nun wissen wir auch warum das Britische Parlament immer noch den Internet Explorer 6 einsetzt. Es ist wohl das letzte Release ohne Backdoor :).
2. Also: kein Symantec mehr, kein Mc Afee,
titopoli 20.09.2013
kein Amazon, kein Google, k............ Gewinn und Umsatz werden die Hebel sein, mit denen Schranken errichtet werden können.
3. Nist
flusser 20.09.2013
Nist ist Mist. Man sollte prizipiell in Sicherheitsbereichen keinen Amerikanischen produkten oder Standards mehr trauen.
4. Nicht nur
muunoy 20.09.2013
Zitat von titopolikein Amazon, kein Google, k............ Gewinn und Umsatz werden die Hebel sein, mit denen Schranken errichtet werden können.
Nach meinem Rechtsverständnis liegen nun auch genügend Beweise für berechtigte Schadensersatzklagen gegen die NSA vor. Und ich hoffe, dass sich genügend Firmen dazu durchringen, in den USA nun endlich Schadensersatz gegen die NSA geltend zu machen. Amazon sollte man sowieso boykottieren und auf lokale Online-Händler ausweichen. E-Mail Provider gibt es auch in Deutschland. Und die Antivirensoftware Kaspersky kommt doch aus dem Land, das dem Wistleblower Snowden Asyl gewährt hat.
5. Chance
saywer,tom 20.09.2013
Sämtliche aus den USA stammende Software kann man eigentlich nur noch mit Gummihandschuhen anfassen. Das wäre jetzt doch mal eine Chance für SW-Unternehmen z. B. in Deutschland (ohne jegliche Kooperationszwänge mit der NSA), ein vertrauenswürdiges Betriebssystem zu entwickeln und darauf aufbauend die Software, die man sonst so braucht. Dafür würde ich sogar handfeste staatliche Subventionen befürworten.
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



Netzwelt auf Twitter

Über diesen Account erreichen Sie das Ressort und verpassen keinen Artikel.



Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
SPIEGEL.TV
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: