Seit mehr als einem Jahrzehnt warnen Experten davor, dass SMS als Authentifizierungs- und Anmeldefaktor nicht mehr zeitgemäß und daher unsicher ist. Zwar haben viele Banken das SMS-TAN-Verfahren mittlerweile durch modernere Alternativen ersetzt, dennoch wird es gelegentlich noch genutzt. Bereits 2017 gelang es Kriminellen, über das veraltete SS7-Protokoll Bankkonten zu plündern.
Das Kernproblem der SMS-Sicherheit liegt in der Nutzung des „Signalling System Nr. 7“ (SS7), einer Sammlung von Kommunikationsprotokollen, die vor rund 50 Jahren entwickelt wurde und bis heute im Einsatz ist. Ursprünglich diente SS7 Telekommunikationsunternehmen zur Übertragung von Tarifinformationen und der Abrechnung von Gesprächen. Mit dem Aufkommen des Mobilfunks in den 1980er-Jahren wurde das System erweitert, jedoch ohne die Implementierung von Sicherheitsmechanismen – diese waren schlichtweg nicht vorgesehen. SS7 erfordert keine Authentifizierung, was bedeutet, dass Zugriffe auf die Protokolle nicht überprüft werden.
Dadurch ermöglicht SS7 nicht nur das Umleiten von Anrufen und SMS, sondern auch die präzise Ortung von Geräten auf Funkzellenebene. Zudem lassen sich SMS im Klartext entschlüsseln und mitlesen – eine Schwachstelle, die bis heute besteht.
Veraltete Technik, persistierende Risiken
Angesichts dieser Sicherheitslücken ist es fahrlässig, SMS weiterhin für sicherheitskritische Anwendungen einzusetzen. Das gilt nicht nur für SMS-basierte Verfahren, sondern für jede Form der Authentifizierung, die auf der Mobilfunknummer basiert. Der Chaos Computer Club (CCC) warnt eindringlich davor, da die Mobilfunknummer in solchen Szenarien zum „Legitimierungsfaktor“ wird: Wer die Nummer kennt, kann potenziell Angriffe starten. Der vermeintliche „zweite Faktor“ – das Smartphone – ist durch die Schwächen des Systems faktisch kompromittiert, wodurch allein das Passwort Schutz bietet.
Das Problem dabei: Viele Nutzer sind sich dieser Schwachstelle nicht bewusst, da Angriffe über SS7 unsichtbar ablaufen. Sie glauben, durch Zwei-Faktor-Authentifizierung besser geschützt zu sein, haben in Wahrheit aber nur den Passwortschutz. Genau hier liegt jedoch der Grund dafür, dass Zweifaktorauthentifizierung überhaupt zu einem Thema geworden ist: Passwörter werden allzu oft wiederverwendet oder sind trivial zu erraten.
Aus diesem Grund gilt nach wie vor ein starkes Passwort, das für jeden Login nur einmal verwendet wird, als eine sichere Methode der Authentifizierung.
by Speefak
