Der andere Sicherheitsaspekt der NSA-Affäre: Zwei-Faktor-Authentifizierung

Wir haben bereits einen Blog-Beitrag dazu veröffentlicht, wie es Edward Snowden gelungen ist, Lücken im porösen Sicherheitssystem der NSA zu nutzen. Er trickste das System aus, indem er entweder Anmeldeinformationen...
Michael Buckbee
2 minute gelesen
Letzte aktualisierung 29. Oktober 2021

Der andere Sicherheitsaspekt der NSA-Affäre: Zwei-Faktor-Authentifizierung

Wir haben bereits einen Blog-Beitrag dazu veröffentlicht, wie es Edward Snowden gelungen ist, Lücken im porösen Sicherheitssystem der NSA zu nutzen. Er trickste das System aus, indem er entweder Anmeldeinformationen eines anderen Nutzers fälschte oder sein Administratorkonto verwendete um bestehende Benutzerprofile entsprechend anzupassen. Dadurch konnte er auf Dokumente zugreifen, auf die jemand mit seiner Sicherheitsstufe eigentlich nicht hätte zugreifen dürfen. Doch es gibt noch eine weitere Lücke im NSA-System. Und sie ist  bislang nicht annähernd so eingehend analysiert worden: nämlich eine zu lasch gehandhabte Berechtigungssteuerung.

Die Mai-Ausgabe von Communications of the ACM, eine der Fachzeitschriften für IT-Experten schlechthin, präsentierte eine Zusammenfassung der zahlreichen Missgeschicke der NSA. Die Analyse dürfte den Lesern dieses Blogs bekannt vorkommen. Insbesondere eine zweistufige Authentifizierung hätte teilweise geholfen, auch dann, wenn Snowden einmal durch geschicktes Social Engineering an ein Passwort gelangt wäre.

Durch ein sorgfältigeres Auditing wären die ungewöhnlichen Zugriffsaktivitäten bei streng geheimen Dokumenten vermutlich ebenfalls aufgefallen. Und für den äußersten Notfall gibt es auch noch andere Wege, um Datendiebstahl zu vermeiden oder die Gefahr zu reduzieren: keine USB-Anschlüsse zu verwenden, Metalldetektoren an den Türen anbringen und Funkfrequenzen überwachen oder blockieren, um eine drahtlose Übertragung zu verhindern.

Es hat kein Protokoll gegeben, welches besagt, dass der Zugriff auf geheime Dokumente von zwei Personen autorisiert werden muss. Bei einem Geheimdienst doch eher überraschend.

Jeder, der schon einmal einen Agentenfilm aus der Zeit des Kalten Kriegs gesehen hat, kennt die Szenen, in denen zwei Techniker zwei separate Kopien eines Geheimcodes erhalten, und beide Kopien sind notwendig, um den nächsten Schritt durchzuführen. Oder Szenen,  in denen Offiziere jeweils eigene Codes erhalten, um einen Sprengkopf scharf zu schalten.

Das ist also keineswegs eine neue Herangehensweise, sondern ein sicherheitsbewusstes Vorgehen nach dem Motto „vier Augen sehen mehr als zwei“. Im zivilen Bereich sind beispielsweise in der Regel zwei oder mehr Unterschriften zur Genehmigung umfangreicher Käufe erforderlich.

Die NSA entwickelte für die IT ähnliche Autorisierungsprinzipien. Vor 30 Jahren veröffentlichte die Behörde das allseits bekannte Orange Book für die Sicherheit von Computersystemen und schrieb darin den wichtigen Grundsatz der Unterteilung von Bereichen fest: Der Zugriff auf eine höhere Sicherheitsebene oder auch nur auf einen anderen Bereich innerhalb derselben Sicherheitsebene ist ausschließlich auf der Grundlage einer unabhängigen Autorisierung zu gewähren.

Laut ACM-Artikel baute die NSA sogar ihre eigene, sichere UNIX-Umgebung auf, gemäß der Richtlinien des Orange Book. Wenn ein Administrator auf einen anderen Bereich zugreifen wollte, musste er den Zugriff bei einem zweiten Administrator beantragen (der übrigens keine eigenen Anträge stellen durfte). Erst nach der erfolgten Genehmigung erhielt der beantragende Administrator die Zugriffsrechte.

Es ist also inzwischen klar, dass die zweistufige Authentifizierung in der NSA-Einrichtung, in der Edward Snowden arbeitete, wohl nicht eingesetzt worden ist.

Aus diesen Vorfällen lässt sich unter anderem die Lehre ziehen, dass die zweistufige Authentifizierung zwar eine sehr effektive Vorbeugungsmaßnahme ist, sie allein jedoch nicht ausreicht. Um Angreifer abzuwehren, die eine Authentifizierung fälschen oder umgehen, ist eine doppelte Absicherung auf jeden Fall nötig. Hier kommt die zweistufige Authentifizierung ins Spiel. Und es gibt nicht einen einzigen Grund, warum sie nicht als Teil der Sicherheitskontrollen in Ihrem Unternehmen eingesetzt werden könnte.

 

The post Der andere Sicherheitsaspekt der NSA-Affäre: Zwei-Faktor-Authentifizierung appeared first on Varonis Deutsch.

Wie soll ich vorgehen?

Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

1

Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

2

Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

3

Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

bei-der-datensicherheit-sind-sie-nur-so-stark-wie-ihr-schwächstes-glied
Bei der Datensicherheit sind Sie nur so stark wie Ihr schwächstes Glied
von Rob Sobers Reporter: „Warum rauben Sie Banken aus?“ Willie Sutton (Bankräuber): „Weil dort das Geld liegt.“ Das ist Sutton’s Law. Es scheint trivial zu sein, doch es trifft genau...
pci-dss-und-zwei-faktor-authentifizierung:-die-fakten
PCI-DSS UND ZWEI-FAKTOR-AUTHENTIFIZIERUNG: DIE FAKTEN
Die schwerwiegenden Sicherheitsvorfälle des letzten Jahres wirken noch nach, und es gibt wenig neue Erkenntnisse. Noch immer stehen wir vor einer Menge Rätseln. Dass Hacker beim Angriff auf die Einzelhandelskette...
was-uns-magic-kingdom-in-sachen-authentifizierung-lehrt-–-kerberos-aus-der-nähe-betrachtet,-teil-ii
Was uns Magic Kingdom in Sachen Authentifizierung lehrt – Kerberos aus der Nähe betrachtet, Teil II
Schon im letzten Blogpost ging es darum, Kerberos anhand von Parallelen des Authentifizierungsprozesses im Magic Kingdom zu erläutern. Natürlich ist dieser Vergleich nicht 1:1 übertragbar, aber er eignet sich wesentlich...
der-sony-hack-aus-der-sicht-von-varonis
Der Sony-Hack aus der Sicht von Varonis
Zur Vorgehensweise bei der Attacke auf Sony Pictures sind bisher noch nicht alle Details bekannt. Doch das Ausmaß dieses in den Medien stark thematisierten Sicherheitsvorfalls ist gewaltig. Der stets gut...