NSA-Manipulation Sicherheitsfirma RSA warnt vor eigener Software

Die Sicherheitsfirma RSA, bekannt etwa für ihre SecurID-Tokens, hat ein Problem: In einem von dem Unternehmen vertriebenen Softwareprodukt ist ein Zufallsgenerator eingebaut, den womöglich die NSA manipuliert hat. Nun warnt RSA Softwareentwickler vor dem Einsatz der Komponente.

Computernutzer: Der US-Geheimdienst NSA soll US-Sicherheitsstandards sabotiert haben
REUTERS

Computernutzer: Der US-Geheimdienst NSA soll US-Sicherheitsstandards sabotiert haben


Hamburg - Die Enthüllungen des NSA-Whistleblowers Edward Snowden haben nun handfeste Konsequenzen für zahlreiche Unternehmen rund um den Globus. Die auf IT-Sicherheit spezialisierte Abteilung des Unternehmens EMC namens RSA warnte am Donnerstag Tausende Kunden vor ihrer eigenen Software. RSA ist Firmenkunden vor allem als Hersteller sogenannter SecurID-Tokens bekannt, die Zufallszahlen erzeugen, mit deren Hilfe sich Nutzer aus der Ferne in Firmennetze einloggen können. Von der Warnung ist jedoch ein anderes RSA-Produkt betroffen: ein Werkzeugkasten für Entwickler namens BSafe.

Darin ist demnach unter anderem ein Generator für Zufallszahlen enthalten, den RSA nicht mehr für sicher hält. Zufallszahlen spielen in vielen Verschlüsselungsverfahren eine zentrale Rolle.

In BSafe sind neben dem betroffenen noch andere mögliche Zufallsgeneratoren enthalten, und RSA rät seinen Kunden jetzt, lieber eine dieser Alternativen zu benutzen. Fraglich ist, ob die Mitteilung nicht nur alle Entwickler erreicht, die heute mit dem entsprechenden RSA-Produkt arbeiten, sondern auch alle, die es in der Vergangenheit eingesetzt haben. Von den Endkunden, die mit diesem Werkzeug entwickelte Produkte einsetzen, ganz zu schweigen. EMC zufolge ist BSafe "in Tausenden kommerzieller Anwendungen integriert".

Das US-Normungsinstitut Nist (National Institute of Standards and Technology) hatte vor einem der eigenen Standards für solche Generatoren gewarnt . In einer öffentlichen Erklärung rieten die Experten dringend davon ab, ein 2006 genormtes Verfahren zu nutzen. Die Methode wird vor allem bei Verschlüsselungsverfahren genutzt.

Aus den von Edward Snowden offengelegten Geheimunterlagen geht laut "New York Times" hervor, dass die NSA den Standard SP 800-90A mit dem Ziel sabotierte, ein für die NSA-Experten nachvollziehbares Muster in scheinbar zufällige Zahlen zu schmuggeln. Ein solches Muster in einem nicht ganz zufälligen Zufallsgenerator könnte es der NSA ermöglichen, darauf aufbauende Verschlüsselungsstandards zu knacken. Laut dem Bericht hatte die NSA bei der Erarbeitung des Standards letztlich freie Hand.

Das Nist ist einer Vereinbarung zufolge verpflichtet, mit der NSA eng zusammenzuarbeiten und "sich auf Richtlinien zur Sicherheit von Computersystemen zu beziehen, die die NSA entwickelt hat".

cis/Reuters



Forum - Diskutieren Sie über diesen Artikel
insgesamt 28 Beiträge
Alle Kommentare öffnen
Seite 1
axlban 20.09.2013
1. Internet Explorer 6
Nun wissen wir auch warum das Britische Parlament immer noch den Internet Explorer 6 einsetzt. Es ist wohl das letzte Release ohne Backdoor :).
titopoli 20.09.2013
2. Also: kein Symantec mehr, kein Mc Afee,
kein Amazon, kein Google, k............ Gewinn und Umsatz werden die Hebel sein, mit denen Schranken errichtet werden können.
flusser 20.09.2013
3. Nist
Nist ist Mist. Man sollte prizipiell in Sicherheitsbereichen keinen Amerikanischen produkten oder Standards mehr trauen.
muunoy 20.09.2013
4. Nicht nur
Zitat von titopolikein Amazon, kein Google, k............ Gewinn und Umsatz werden die Hebel sein, mit denen Schranken errichtet werden können.
Nach meinem Rechtsverständnis liegen nun auch genügend Beweise für berechtigte Schadensersatzklagen gegen die NSA vor. Und ich hoffe, dass sich genügend Firmen dazu durchringen, in den USA nun endlich Schadensersatz gegen die NSA geltend zu machen. Amazon sollte man sowieso boykottieren und auf lokale Online-Händler ausweichen. E-Mail Provider gibt es auch in Deutschland. Und die Antivirensoftware Kaspersky kommt doch aus dem Land, das dem Wistleblower Snowden Asyl gewährt hat.
saywer,tom 20.09.2013
5. Chance
Sämtliche aus den USA stammende Software kann man eigentlich nur noch mit Gummihandschuhen anfassen. Das wäre jetzt doch mal eine Chance für SW-Unternehmen z. B. in Deutschland (ohne jegliche Kooperationszwänge mit der NSA), ein vertrauenswürdiges Betriebssystem zu entwickeln und darauf aufbauend die Software, die man sonst so braucht. Dafür würde ich sogar handfeste staatliche Subventionen befürworten.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.