RSA
06.04.2011, 14:01 Uhr
Maulkorb für Kunden
RSA Security verärgert seine Kunden. Die Sicherheitsfirma unterrichtet diese zwar über den Hack des SecurID-Tokens, allerdings nur, wenn sie ein Schweigegelübde unterschreiben.
RSA-Chef Art Coviello lässt zwar seine Kunden über den Angriff auf seine Firma informieren. Diese müssen die Infos aber für sich behalten.
Security by Obscurity, Sicherheit durch Verschleierung. Das scheint derzeit die Devise beim Security-Spezialisten RSA zu sein. Denn die Firma informiert zwar ihre Kundschaft über den Angriff auf ihr Token-basiertes Authentifizierungs-System SecurID. Allerdings müssen diese vorgängig unterschreiben, dass sie über die erhaltenen Informationen schweigen werden. Anscheinend habe RSA verschiedenen seiner grösseren Kunden ein solches NDA (Non Desclosure Agreement) unterbreitet. Das gefällt einigen SecurID-Anwendern aber ganz und gar nicht. «RSA bat auch mich, das NDA zu unterschreiben», berichtet Ron Gula, CEO von Tenable Network Security, der SecurID-Token zur Authentifizierung einsetzt. «Ich traue der Sache nicht und frage mich, was RSA zu verstecken hat», fügt er an. Gula will sich nicht durch das NDA in die Ecke treiben lassen. Er hofft darauf, dass RSA demnächst doch öffentlich macht, was für Informationen beim Hack in falsche Hände geraten ist. In der Zwischenzeit sieht er sich nach einer anderen Authentifizierungstechnik um. Auch Bill Nelson, Präsident des Industrieforums «Financial Services - Information Sharing and Analysis Center», will das NDA nicht unterzeichen. Er fürchtet um seine Unabhängigkeit als Berater. Durch seine guten Kontakte in die Industrie vermutet er aber, dass RSA vor allem Informationen dazu verbreitet, wie SecurID-Token besser und sicherer implementiert werden können. Laut Nelson bestand genau in diesem Punkt eine Schwachstelle des Systems. «Mir sind einige Fälle in den letzten Jahren bekannt gewesen, bei denen SecurID mangelhaft implementiert war», berichtet er. RSA ist vor Kurzem das Opfer eines Hackerangriffs geworden (vgl. die Computerworld.ch-Artikel Erfolgreicher Cyber-Angriff auf RSA Security und Nach dem RSA-Klau: Das sollten Firmen beachten). Bislang hat die Security-Firma zwar bekanntgegeben, wie die Attacke abgelaufen ist (vgl. auch «RSA-Hack: Die Hintergründe»), welche Informationen aber genau in falsche Hände geraten sind und was mit diesen angestellt werden könnte, ist bislang unbekannt.
