NSA-Manipulation Sicherheitsfirma RSA warnt vor eigener Software

Die Sicherheitsfirma RSA, bekannt etwa für ihre SecurID-Tokens, hat ein Problem: In einem von dem Unternehmen vertriebenen Softwareprodukt ist ein Zufallsgenerator eingebaut, den womöglich die NSA manipuliert hat. Nun warnt RSA Softwareentwickler vor dem Einsatz der Komponente.
Computernutzer: Der US-Geheimdienst NSA soll US-Sicherheitsstandards sabotiert haben

Computernutzer: Der US-Geheimdienst NSA soll US-Sicherheitsstandards sabotiert haben

Foto: KACPER PEMPEL/ REUTERS

Hamburg - Die Enthüllungen des NSA-Whistleblowers Edward Snowden haben nun handfeste Konsequenzen für zahlreiche Unternehmen rund um den Globus. Die auf IT-Sicherheit spezialisierte Abteilung des Unternehmens EMC namens RSA warnte am Donnerstag Tausende Kunden vor ihrer eigenen Software. RSA ist Firmenkunden vor allem als Hersteller sogenannter SecurID-Tokens bekannt, die Zufallszahlen erzeugen, mit deren Hilfe sich Nutzer aus der Ferne in Firmennetze einloggen können. Von der Warnung ist jedoch ein anderes RSA-Produkt betroffen: ein Werkzeugkasten für Entwickler namens BSafe.

Darin ist demnach unter anderem ein Generator für Zufallszahlen enthalten, den RSA nicht mehr für sicher hält. Zufallszahlen spielen in vielen Verschlüsselungsverfahren eine zentrale Rolle.

In BSafe sind neben dem betroffenen noch andere mögliche Zufallsgeneratoren enthalten, und RSA rät seinen Kunden jetzt, lieber eine dieser Alternativen zu benutzen. Fraglich ist, ob die Mitteilung nicht nur alle Entwickler erreicht, die heute mit dem entsprechenden RSA-Produkt arbeiten, sondern auch alle, die es in der Vergangenheit eingesetzt haben. Von den Endkunden, die mit diesem Werkzeug entwickelte Produkte einsetzen, ganz zu schweigen. EMC zufolge  ist BSafe "in Tausenden kommerzieller Anwendungen integriert".

Das US-Normungsinstitut Nist (National Institute of Standards and Technology) hatte vor einem der eigenen Standards für solche Generatoren gewarnt  . In einer öffentlichen Erklärung rieten die Experten dringend davon ab, ein 2006 genormtes Verfahren zu nutzen. Die Methode  wird vor allem bei Verschlüsselungsverfahren genutzt.

Aus den von Edward Snowden offengelegten Geheimunterlagen geht laut "New York Times " hervor, dass die NSA den Standard SP 800-90A mit dem Ziel sabotierte, ein für die NSA-Experten nachvollziehbares Muster in scheinbar zufällige Zahlen zu schmuggeln. Ein solches Muster in einem nicht ganz zufälligen Zufallsgenerator könnte es der NSA ermöglichen, darauf aufbauende Verschlüsselungsstandards zu knacken. Laut dem Bericht hatte die NSA bei der Erarbeitung des Standards letztlich freie Hand.

Das Nist ist einer Vereinbarung zufolge verpflichtet, mit der NSA eng zusammenzuarbeiten und "sich auf Richtlinien zur Sicherheit von Computersystemen zu beziehen, die die NSA entwickelt hat".

cis/Reuters
Die Wiedergabe wurde unterbrochen.