Gewohntes abzulegen fällt schwer. Doch irgendwann ist der Punkt erreicht, an dem das Festhalten an überholter Technik die Grenze zwischen sympathischer Schrulligkeit und einem ernsthaften Problem überschritten ist. Die SMS als Schutzmechanismus ist ein solches Problem.
Es ist das Jahr 2024. Das ganze Internet hat erkannt, dass sichere Authentifizierung wichtig ist. Das ganze Internet? Nein! Ein gar nicht mal so kleines Dorf Unbeugsamer hält immer noch an der SMS fest, um Bankkonten zu sichern, Anmeldelinks zu versenden und WhatsApp-Konten zu verifizieren – und es will nicht von ihr ablassen.
Seit über zehn Jahren warnen Fachleute davor, dass die SMS als Authentifizierungs- und Anmeldefaktor nicht mehr dem Stand der Technik entspricht und somit nicht mehr als sicher zu betrachten ist. Viele Banken haben immerhin vom SMS-TAN-Verfahren Abstand genommen, aber es wird noch immer vereinzelt eingesetzt. Schon 2017 hatten es Täter geschafft, mit Hilfe von SS7 Bankonten leer zu räumen.
Historisch gewachsen
Die Sicherheitsbedenken hinsichtlich der SMS als sicherheitskritischen Faktor drehen sich in erster Linie um eine Sammlung von Kommunikationsprotokollen, die mittlerweile ein halbes Jahrhundert alt sind, aber noch immer genutzt werden: Das „Signalling System Nr. 7“, kurz „SS7“. Ursprünglich war diese Protokollsammlung für Telekommunikationsunternehmen unter anderem dazu entwickelt worden, Tarif-Informationen für individuelle Telefongespräche zwischen zwei Stellen zu übermitteln und für die Rechnungslegung zu nutzen. So fand die Technologie auch Eingang in den Anfang der 1980er Jahre langsam aufkommenden Mobilfunk. Sie wurde mit den Jahren nach und nach erweitert. Dabei spielte Authentifizierung keine Rolle – sie war nicht erforderlich. Sprich: Es gab keine Sicherheit in SS7. Wer auf die entsprechenden Protokolle zugreift, wird auch nicht nach Informationen gefragt, die den Abruf von Informationen oder die Nutzung bestimmter Dienste legitimiert.
Das Ergebnis ist, dass jemand mit Zugriff auf die SS7-Schnittstellen nicht nur Anrufe und SMS umleiten, sondern auch Geräte relativ genau orten kann (bis auf Funkzellen-Ebene). SS7 erlaubt auch die Entschlüsselung und somit das Mitlesen von SMS im Klartext – und das ist bis heute so.
Alte Technik, altes Problem
Vor diesem Hintergrund ist es wirklich nicht ratsam, die SMS noch für sicherheitsrelevante Anwendungen zu nutzen. Das beschränkt sich nicht nur auf Szenarien, in denen SMS versendet werden. Auch der Chaos Computer Club (CCC) warnt in einem aktuellen Artikel eindringlich davor. Alles, was die Mobilfunknummer als Authentifizierung verwendet, ist hier potenziell betroffen. Diese wird praktisch zum „Legitimierungsfaktor“ – wer eine Mobilfunknummer kennt, kann prinzipiell bereits einen Angriff starten. Der „zweite Faktor“ Smartphone ist also praktisch systembedingt bereits kompromittiert. Somit fällt die Sicherung wieder dem Passwort zu. Das Problem: Viele Anwenderinnen und Anwender wissen das nicht, weil es keinen Weg für die Nutzerschaft gibt, einen Angriff per SS7 zu entdecken. Sie meinen also, zwei Sicherheitsfaktoren zu haben. In Wirklichkeit verfügen sie aber nur über einen, nämliche das Passwort. Genau hier liegt jedoch der Grund dafür, dass Zweifaktorauthentifizierung überhaupt zu einem Thema geworden ist: Passwörter werden allzu oft wiederverwendet oder sind trivial zu erraten.
Tipps und Tricks
Vor dieser Art von Schwachstelle kann keine vom Nutzer installierbare Software schützen. Es gibt hier nur drei Optionen:
Wo immer möglich auf eine Legitimation verzichten, für die allein die Mobilfunknummer erforderlich ist
Für Bankgeschäfte auf TAN-Verfahren wie ChipTAN umsteigen
Starke Passwörter im Verbund mit einem Passwortmanager einsetzen
Von Tim Berghoff
Security Evangelist