SPONSORED-POST Dossier in Kooperation mit G Data

Lasst die SMS für die Mehr-Faktor-­Authentifizierung doch endlich sterben!

Uhr
von Stefan Karpenstein, PR Manager bei G Data ­Cyberdefense

Der Mensch ist und bleibt ein Gewohnheitstier. Aber das Festhalten an bewährten Dingen kann auch zu Problemen ­führen und beispielsweise unsere eigene Sicherheit gefährden. Ein Beispiel ist die SMS als Schutzmechanismus bei der Mehr-Faktor-Authentifizierung.

(source: Have a nice day  - stock.adobe.com)
(source: Have a nice day  - stock.adobe.com)

Wir schreiben das Jahr 2024. Und die Erkenntnis, dass für eine sichere Authentifizierung ein zweiter Faktor wichtig ist, setzt sich immer weiter durch. Aber leider hält dabei ein Teil Unbelehrbarer weiterhin an der SMS fest, um beispielsweise Onlinebanking abzusichern, Anmeldelinks zu versenden und Social-Media-Kanäle zu verifizieren. Dabei warnen seit mehr als zehn Jahren Fachleute davor, dass die SMS als zweiter Faktor nicht mehr dem Stand der Technik entspricht und somit ein Sicherheitsrisiko ist.

Historisches Dilemma

Die Sicherheitsbedenken hinsichtlich der SMS als sicherheitskritischen Faktor drehen sich in erster Linie um eine Sammlung von Kommunikationsprotokollen, die mittlerweile mehr als 50 Jahre alt sind, aber noch immer genutzt werden: Das Signalling System 7 (SS7). Ursprünglich war diese Protokollsammlung für Telekommunikationsunternehmen dazu entwickelt worden, Tarif-Informationen für Telefongespräche zwischen zwei Stellen zu übermitteln und für die Rechnungslegung zu nutzen. So fand die Technologie auch Eingang in den Anfang der 1980er-Jahre aufkommenden Mobilfunk. Sie wurde mit den Jahren nach und nach erweitert. Dabei spielte Authentifizierung keine Rolle – sie war nicht erforderlich. Sprich: Es gab keine Sicherheit in SS7. Wer auf die entsprechenden Protokolle zugreift, wird auch nicht nach Informationen gefragt, die den Abruf von Informationen oder die Nutzung bestimmter Dienste legitimiert.

Das Ergebnis: Mit Zugriff auf die SS7-Schnittstellen lassen sich nicht nur Anrufe und SMS umleiten, sondern auch Geräte relativ genau orten (bis auf Funkzellen-Ebene). SS7 erlaubt auch die Entschlüsselung und somit das Mitlesen von SMS im Klartext – und das hat sich bis heute nicht geändert.
 

Alte Technik, altes Risiko

Vor diesem Hintergrund ist es nicht empfehlenswert, die SMS noch für sicherheitsrelevante Anwendungen zu nutzen. Das beschränkt sich nicht nur auf Szenarien, in denen SMS versendet werden. Alles, was die Mobilfunknummer als Authentifizierung verwendet, ist potenziell betroffen. Diese wird praktisch zum «Legitimierungsfaktor» – wer eine Mobilfunknummer kennt, kann prinzipiell einen Angriff starten. Der «zweite Faktor» Smartphone ist also praktisch systembedingt bereits kompromittiert. Somit fällt die Sicherung wieder dem Passwort zu. Das Problem: Viele Anwenderinnen und Anwender wissen das nicht, weil es keinen Weg gibt, einen Angriff per SS7 zu entdecken. Die Nutzerinnen und Nutzer sind überzeugt, zwei Sicherheitsfaktoren zu haben. In Wirklichkeit verfügen sie aber nur über einen: das Passwort. Genau hier liegt jedoch der Grund dafür, dass Zwei-Faktor-Authentifizierung überhaupt wichtig ist: Passwörter werden allzu oft wiederverwendet oder sind trivial zu erraten.

Wer sich vor dieser Schwachstelle schützen möchte, sollte folgende Optionen nutzen:
 

  • Wo möglich auf eine Legitimation verzichten, für die allein die Mobilfunknummer erforderlich ist.
  • Für Bankgeschäfte auf TAN-Verfahren wie ChipTAN umsteigen.
  • Starke Passwörter im Verbund mit einem Passwortmanager ­nutzen.
Bild 1
Stefan Karpenstein, PR Manager bei G Data ­Cyberdefense

« SMS ist ein Unsicherheitsfaktor und ­gehört ins Museum »

Die Multifaktor-Authentifizierung (MFA) ist in der heutigen Cybersicherheitslandschaft ein fester Bestandteil. Doch trotz ihrer Wirksamkeit ist auch MFA angreifbar. Im Interview erklärt Tim Berghoff, Security Evangelist bei G Data ­Cyberdefense, warum die SMS ein Sicherheitsrisiko ist und welche Lösungen Sicherheit bieten. Interview: Coen Kaat
 

Wieso sollte die SMS nicht mehr für die Multi-Faktor-Authentifizierung genutzt werden?

Tim Berghoff: Das hat einen ganz einfachen technischen Grund. Das Kommunikations-Framework von SMS ist nicht mehr sicher. Das Signalling System 7 erlaubt bis heute die Entschlüsselung und somit das Mitlesen von SMS im Klartext, wenn ein Angreifer Zugriff auf die SS7-Schnittstelle hat. Aber auch durch SIM-Swapping lässt sich MFA mit SMS aushebeln. Bei dieser Betrugsmasche verschaffen sich Cyberkriminelle eine Ersatz-SIM für die Mobil­telefonnummer eines Benutzers, um sich der Online-Identität des angegriffenen Opfers zu bemächtigen und als die Zielperson ausgeben zu können.

Weshalb wurde die Technologie überhaupt für Security-­Prozesse genutzt, wenn sie so unsicher ist?

Der Grundgedanke war, eine sichere Authentifizierung über einen separaten Kanal zu ermöglichen. Dieser Gedanke ist an sich auch legitim. Aber die dahinterliegende Technologie war für diesen Einsatz eigentlich nicht vorgesehen. Authentifizierung spielte keine Rolle. Daher gab es keine Sicherheit in SS7.

Was halten Sie von alternativen Faktoren wie etwa das ­PhotoTAN-Verfahren?

Das PhotoTAN-Verfahren bietet aus meiner Sicht höchste Sicherheit und wird insbesondere beim Onlinebanking genutzt. Hier kommt ein Lesegerät zum Einsatz, das Einmal-TANs zur Freigabe generiert. Aber auch die Authentifizierung mittels Biometrie, also Face-ID oder Fingerabdruck, zur Freigabe bieten eine gute Sicherheit. Und nicht zuletzt ermöglichen eigene Authentifizierungs-­Apps eine sichere Anmeldung. Grundsätzlich gilt: Wenn Nutzerinnen und Nutzer die Wahl haben, sollten sie sich immer gegen SMS-Authentifizierung entscheiden.

Welche Anfälligkeiten muss man bei MFA-Verfahren beachten?

Grundsätzlich sind MFA-Verfahren für Social-Engineering anfällig. Kriminelle versuchen dabei etwa, ihre Opfer zur telefonischen Weitergabe einer TAN zu bewegen, indem sie im Telefonat einen wichtigen Grund für die Legitimation vortäuschen. Eine weitere Gefahr ist MFA-Fatigue: Diese wird ausgenutzt, indem Nutzerinnen oder Nutzer mit aufeinanderfolgenden Push-Benachrichtigungen überschwemmt werden, was dazu führt, dass die Authentifizierung aus Frustration versehentlich genehmigt wird. Wichtig ist, dass sich Anwenderinnen und Anwender immer die Frage stellen, ob die angefragte Legitimation wirklich echt sein kann.

Wie sieht eine optimale MFA-Sicherheit aus?

Die Benutzerfreundlichkeit ist oft der grösste Hemmschuh. Dort, wo eine gute Balance zwischen Anwenderfreundlichkeit und Sicherheit erzielt wurde, gibt es die besten Voraussetzungen. Auch wenn zusätzliche Schritte aufgrund mangelnder Gewöhnung auf den ersten Blick lästig erscheinen, sind viele MFA-Implementierungen benutzerfreundlich. In diesem Zusammenhang ist die SMS ein Unsicherheitsfaktor und gehört ins Museum.

Bild 2
« Grundsätzlich gilt: Wenn Nutzerinnen und Nutzer die Wahl haben, sollten sie sich immer ­gegen SMS-Authentifizierung entscheiden. »
Tim Berghoff, Security Evangelist, G Data CyberDefense

 

Erfahren Sie hier mehr.

Webcode
M6ZZ8bKS