Kategorien
News & Aktuelles

Fraunhofer AISEC identifiziert Schwachstellen in gängigen Security Token

Im Hardware-Sicherheitslabor des Fraunhofer AISEC wurden die Sicherheit und Vertrauenswürdigkeit gängiger Security Token untersucht.

Bei der Untersuchung der Sicherheit und Vertrauenswürdigkeit gängiger Security Token für die Authentifizierung im Internet, die im Auftrag des Bundesamts für Sicherheit in der Informationstechnik durchgeführt wurde, haben Wissenschaftlerinnen und Wissenschaftler am Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC gravierende Schwachstellen aufgedeckt und geschlossen. Die Ergebnisse der Untersuchung wurden heute veröffentlicht.

Die bloße Verwendung von Passwörtern zur Absicherung von Daten und Systemen ist längst nicht mehr ausreichend. Das Bundesamt für Sicherheit in der Informationstechnik und andere Sicherheitsexpertinnen und -experten empfehlen deshalb die Verwendung von zusätzlichen Hardware-Sicherheitsschlüsseln (Hardware Security Token) zur Zwei-Faktor-Authentifizierung. Doch durch den Einsatz von Hardware Token können sich auch neue Bedrohungen ergeben: Token können gezielt in der gesamten Lieferkette vom Hersteller über den Zwischenhändler bis hin zum Endkunden manipuliert werden, um Hintertüren zu schaffen – insbesondere, wenn sie über große Internet-Handelsplattformen bezogen werden. Auch nach Inbetriebnahme können Token angegriffen werden, beispielsweise wenn der Token unbeaufsichtigt im PC oder Laptop steckt, während der Nutzer den Arbeitsplatz kurz verlässt.
Wissenschaftlerinnen und Wissenschaftler am Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC haben im Auftrag des Bundesamts für Sicherheit in der Informationstechnik im Instituts-eigenen Hardware-Sicherheitslabor die Sicherheit und Vertrauenswürdigkeit von sieben kommerziell erhältlichen Security Token untersucht, im Fokus standen dabei Open-Source-Produkte. Bei der Untersuchung wurden erhebliche Schwachstellen identifiziert – auch bei den Marktführern im Open-Source-Bereich.
Für die Untersuchung der Hardware Token im Security-Labor des Fraunhofer AISEC wurden drei unterschiedliche Angriffsklassen angewendet. Um eine aussagekräftige Bewertung der Sicherheit zu erhalten, wurde bei der Untersuchung nur Ausstattung zugelassen, die dem Anwendungskontext angemessen und günstig zu beschaffen war. Aufwand und Komplexität der Angriffe wurden außerdem so beschränkt, dass alle Angriffe in wenigen Minuten durchgeführt werden können.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.