Das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC) hat im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) die Sicherheit und Vertrauenswürdigkeit von sieben kommerziell erhältlichen Security Token untersucht. Im Fokus standen dabei Open-Source-Produkte, teilt das AISEC mit. Bei der Untersuchung seien erhebliche Schwachstellen identifiziert worden, lautet das Fazit.

Dass die Zwei-Faktor-Authentifizierung inzwischen etwa bei Kreditkartentransaktionen im Web vorgeschrieben ist, kann den Markt der Hardware Security Tokens beflügeln. Sicherheitsexperten empfehlen ausdrücklich die Verwendung von Tokens zur Zwei-Faktor-Authentifizierung.

Das BSI hat die Tokens durch das AISEC testen lassen und daraus Erkenntnisse gezogen. Die Token könnten gezielt in der gesamten Lieferkette vom Hersteller über den Zwischenhändler bis hin zum Endkunden manipuliert werden, lautet eine Schlussfolgerung. Diese möglichen Hintertüren seien insbesondere zu befürchten, wenn die Tokens über große Internet-Handelsplattformen bezogen werden, teilt das AISEC mit. Auch nach Inbetriebnahme seien Token angreifbar, etwa wenn sie unbeaufsichtigt im PC oder Laptop stecken.

Untersuchung der Tokens im Labor des AISEC. Quelle: AISEC

Insbesondere die Angriffe in der Lieferkette sieht das AISEC als ein großes Problem an, da es für Endanwender keine Möglichkeit gäbe zu unterscheiden, ob ein erworbenes Produkt vertrauenswürdig sei oder ob es manipuliert wurde, heißt es im Bericht der Forscher.

Für die Untersuchung der Hardware Token im Security-Labor des AISEC seien drei unterschiedliche Angriffsklassen angewendet worden. Es sei nur Ausstattung zugelassen gewesen, die dem Anwendungskontext angemessen und günstig zu beschaffen war, teilt das AISEC zum Testaufbau mit. Aufwand und Komplexität der Angriffe seien außerdem zeitlich so beschränkt gewesen, dass sie in wenigen Minuten durchgeführt werden können, heißt es weiter.

Untersucht wurden sieben kommerziell erhältlichen Open-Source-Sicherheitstokens, darunter Geräte der beiden Marktführer SoloKeys und Nitrokey, heißt es im Report. “Leider haben wir in allen sieben untersuchten Token erhebliche Schwachstellen identifiziert und praktisch verifiziert. Einige von ihnen basieren auf schwerwiegenden, bisher unentdeckten Schwachstellen von zwei Mikrocontrollern, die in großem Umfang in verschiedenen Produkten eingesetzt werden”, lautet das Fazit. Durch die Tests sei man aber ach in der Lage, softwarebasierte Gegenmaßnahmen zur Nachrüstung der untersuchten Geräte zu beschreiben, lässt das AISEC wissen. Zudem könne man allgemeine Design-Empfehlungen zur Verbesserung der Sicherheit abgeben. Der Report steht online als PDF.