Yubikeys vom SIM-Karten Datenklau nicht betroffen

Seit Bekanntwerden des SIM-Karten-Schlüsseldiebstahls durch den amerikanischen und englischen Geheimdienst erreichen uns vermehrt Fragen zur Sicherheit der Yubikeys. Sind auch die Yubikeys betroffen? Könnten Geheimdienste, so sie es wollen, nun auch die Daten der Zahnarztpraxen abschöpfen?

Dazu ein klares NEIN! Die Yubikeys werden nicht von der niederländischen Firma "Gemalto" hergestellt, sondern von der amerikanischen Firma "Yubico" und sind damit primär nicht betroffen. Das macht es nicht unbedingt sicherer, könnte man argumentieren. Denkbar wäre tatsächlich ein ähnlicher Anschlag auf die Firma Yubico, infolgedessen die in den Yubikeys gespeicherten digitalen Schlüssel dann in falsche Hände gelangen und der gesamte, von der Firma Yubico betriebene und angebotene Authentifizierungsdienst mehr oder weniger hinfällig wäre.

Die in der KZV eingesetzten Yubikeys enthalten jedoch nicht mehr den originalen Yubico-Schlüssel. Sie sind vor der Auslieferung mit neuen einmaligen Schlüsseln umprogrammiert worden. Die KZV nutzt den Yubico-Authentifizierungsdienst nicht, sondern betreibt einen eigenen Yubikey-Authentifizierungsserver. Genau das ist auch der Grund, warum die KZV-Yubikeys nur am KZV-Portal und nirgendwo anders verwendet werden können und warum im Handel erworbene Yubikeys am KZV-Portal nicht einsetzbar sind.

Um die Möglichkeit der Umprogrammierung der Yubikeys - und damit um die begrenzten Erfolgsaussichten - wissen natürlich auch die Geheimdienste, so dass die Gefahr der Kompromittierung relativ gering sein dürfte. Ein direkter Missbrauch des Yubikeys ist da schon wahrscheinlicher. Daher nochmals unsere Bitte an Sie, den Yubikey sicher aufzubewahren.