Der andere Sicherheitsaspekt der NSA-Affäre: Zwei-Faktor-Authentifizierung

Wir haben bereits einen Blog-Beitrag dazu veröffentlicht, wie es Edward Snowden gelungen ist, Lücken im porösen Sicherheitssystem der NSA zu nutzen. Er trickste das System aus, indem er entweder Anmeldeinformationen eines anderen Nutzers fälschte oder sein Administratorkonto verwendete um bestehende Benutzerprofile entsprechend anzupassen. Dadurch konnte er auf Dokumente zugreifen, auf die jemand mit seiner Sicherheitsstufe eigentlich nicht hätte zugreifen dürfen. Doch es gibt noch eine weitere Lücke im NSA-System. Und sie ist  bislang nicht annähernd so eingehend analysiert worden: nämlich eine zu lasch gehandhabte Berechtigungssteuerung.

Die Mai-Ausgabe von Communications of the ACM, eine der Fachzeitschriften für IT-Experten schlechthin, präsentierte eine Zusammenfassung der zahlreichen Missgeschicke der NSA. Die Analyse dürfte den Lesern dieses Blogs bekannt vorkommen. Insbesondere eine zweistufige Authentifizierung hätte teilweise geholfen, auch dann, wenn Snowden einmal durch geschicktes Social Engineering an ein Passwort gelangt wäre.

Durch ein sorgfältigeres Auditing wären die ungewöhnlichen Zugriffsaktivitäten bei streng geheimen Dokumenten vermutlich ebenfalls aufgefallen. Und für den äußersten Notfall gibt es auch noch andere Wege, um Datendiebstahl zu vermeiden oder die Gefahr zu reduzieren: keine USB-Anschlüsse zu verwenden, Metalldetektoren an den Türen anbringen und Funkfrequenzen überwachen oder blockieren, um eine drahtlose Übertragung zu verhindern.

Es hat kein Protokoll gegeben, welches besagt, dass der Zugriff auf geheime Dokumente von zwei Personen autorisiert werden muss. Bei einem Geheimdienst doch eher überraschend.

Jeder, der schon einmal einen Agentenfilm aus der Zeit des Kalten Kriegs gesehen hat, kennt die Szenen, in denen zwei Techniker zwei separate Kopien eines Geheimcodes erhalten, und beide Kopien sind notwendig, um den nächsten Schritt durchzuführen. Oder Szenen,  in denen Offiziere jeweils eigene Codes erhalten, um einen Sprengkopf scharf zu schalten.

Das ist also keineswegs eine neue Herangehensweise, sondern ein sicherheitsbewusstes Vorgehen nach dem Motto „vier Augen sehen mehr als zwei“. Im zivilen Bereich sind beispielsweise in der Regel zwei oder mehr Unterschriften zur Genehmigung umfangreicher Käufe erforderlich.

Die NSA entwickelte für die IT ähnliche Autorisierungsprinzipien. Vor 30 Jahren veröffentlichte die Behörde das allseits bekannte Orange Book für die Sicherheit von Computersystemen und schrieb darin den wichtigen Grundsatz der Unterteilung von Bereichen fest: Der Zugriff auf eine höhere Sicherheitsebene oder auch nur auf einen anderen Bereich innerhalb derselben Sicherheitsebene ist ausschließlich auf der Grundlage einer unabhängigen Autorisierung zu gewähren.

Laut ACM-Artikel baute die NSA sogar ihre eigene, sichere UNIX-Umgebung auf, gemäß der Richtlinien des Orange Book. Wenn ein Administrator auf einen anderen Bereich zugreifen wollte, musste er den Zugriff bei einem zweiten Administrator beantragen (der übrigens keine eigenen Anträge stellen durfte). Erst nach der erfolgten Genehmigung erhielt der beantragende Administrator die Zugriffsrechte.

Es ist also inzwischen klar, dass die zweistufige Authentifizierung in der NSA-Einrichtung, in der Edward Snowden arbeitete, wohl nicht eingesetzt worden ist.

Aus diesen Vorfällen lässt sich unter anderem die Lehre ziehen, dass die zweistufige Authentifizierung zwar eine sehr effektive Vorbeugungsmaßnahme ist, sie allein jedoch nicht ausreicht. Um Angreifer abzuwehren, die eine Authentifizierung fälschen oder umgehen, ist eine doppelte Absicherung auf jeden Fall nötig. Hier kommt die zweistufige Authentifizierung ins Spiel. Und es gibt nicht einen einzigen Grund, warum sie nicht als Teil der Sicherheitskontrollen in Ihrem Unternehmen eingesetzt werden könnte.

The post Der andere Sicherheitsaspekt der NSA-Affäre: Zwei-Faktor-Authentifizierung appeared first on Varonis Deutsch.