Eigentlich ist der YubiKey ein geniales Werkzeug für den täglichen Umgang mit der eigenen EDV-Umgebung: einfach einen kleinen USB-Stick in PC oder Laptop stecken, mit dem Finger ein Feld auf dem Stick berühren und Anwendungen, für die der YubiKey angemeldet ist, und über diesen Security-Token Passwort-los starten.
Der Hersteller verspricht „sichere Zwei-Faktor- (abgekürzt: 2FA), Multifaktor- und kennwortlose Authentifizierung“. Doch jetzt ist das beliebte PC-Tool in die Schlagzeilen geraten. Der Grund: Modelle mit älterer Firmware sind offenbar verwundbar gegen mögliche Side-Channel-Attacken.
Da schutzwürdige Daten oder Algorithmen bei diesem Vorgehen nicht direkt angegriffen werden, spricht man von Seitenkanalangriffen (englisch: Side-Channel-Attacken). Angreifer messen unter anderem den Stromverbrauch, um auf die aktuelle Rechenleistung und die ausgeführten Prozessoroperationen zu schließen. Die zum Angriff verwendete Software kann daraus Schlussfolgerungen über geheime Parameter des attackierten Prozesses ziehen. Früher nutzten staatliche Akteure wie etwa Spione solche Methoden; heute stehen sie auch weniger gut ausgestatteten kriminellen Akteuren zur Verfügung. Ausführliche Informationen über Side-Channel-Attacken auf den Seiten des Bundesamtes für Sicherheit in der Informationstechnik, BSI.
Der Fachdienst Heise fragte nach und fasste das Ergebnis wie folgt zusammen: „Yubico plant auch künftig keine Firmware-Updates für verwundbare Yubikeys. Über einen Ersatz will das Unternehmen im Einzelfall entscheiden.“ Nutzende sollen sich an die Supportseite des Unternehmens wenden, erfuhr Heise von einer Sprecherin. Die Firmware der Security-Sticks lasse sich im Nachhinein nicht verändern, ließ der Hersteller die Redaktion darüber hinaus wissen. Heise verweist auf andere Produkte, bei denen dies im Nachhinein möglich ist.
Generell gilt – wer seinen YubiKey verloren hat, sollte unbedingt dessen Registrierung auf damit verbundenen Diensten löschen!
Den Fall hat ein französischer IT-Sicherheitsforscher ins Rollen gebracht. Verwundbar sei die „YubiKey 5 Series (with firmware version below 5.7)“, schreibt er. Hier das Papier im Original.
Sie haben Fragen zur EDV-Sicherheit? Sprechen Sie unsere erfahrenen Systemadministratoren an.
Von Archivierung bis Datenschutz, von Customer-Relationship-Systemen bis zu Netzwerkbetreuung – wir haben mehr als 25 Jahre Erfahrung in der IT-Security. reinheimer systemloesungen in Darmstadt ist Mitglied im Bundesverband der mittelständischen Wirtschaft (BVMW).
Mit Penetrationstests überprüfen wir die Widerstandsfähigkeit Ihrer IT-Systeme und EDV-Netzwerke gegen Cyberangriffe.
Wir schulen und sensibilisieren Ihre Mitarbeiter im Umgang mit Phishing- und Social-Engineering-Angriffen.
Wir sorgen dafür, dass sicherheitskritische Patches und Updates pünktlich installiert werden.
Für Sie installieren und betreuen wir Virenschutzsysteme und Firewalls.
Von uns eingerichtete Backups ermöglichen nach EDV-Katastrophen ein zuverlässiges Restore aller Daten und Anwendungen.
Unsere Systemadministratoren gewährleisten ein zuverlässiges Systemmonitoring.
Wir legen großen Wert auf persönlichen Service. Innerhalb abgesprochener Rufzeiten sind wir als Helpdesk für Sie da, wenn Sie professionellen IT-Support brauchen.
Unsere mehr als 120 zumeist langjährigen Kunden stammen hauptsächlich aus mittelständischen Unternehmen (KMU), dem medizinischen Bereich (Arztpraxis, Praxisnetzwerke), Vereinen und Nichtregierungsorganisationen (NGOs). Für sie sind wir von Darmstadt/Südhessen aus in der Metropolregion Frankfurt-Wiesbaden aktiv.
Heise: Yubikey-Lücke: Hersteller will weder Update noch generell Ersatz bereitstellen
IT-Forensik-Wiki: Seitenkanalattacke
reinheimer systemloesungen – Nutzen Sie die Zwei-Faktor-Authentifizierung (2FA)!