Insider Views

Echt jetzt, noch SMS-Codes im Einsatz?

Der Einsatz der SMS-Codes zur Authentifizierung von Benutzern hat zwar schon längst ihren Zenit überschritten, trotzdem wird diese Methode auf der ganzen Welt in verschiedensten Industrien als vermeintlich sicheren 2FA Login eingesetzt. Auch wird diese Methode gerade in der Finanzdienstleistungsindustrie oder im Gesundheitssektor vom Regulator als noch sicher eingestuft. Dies erstaunt angesichts der bekannten Sicherheitsrisiken und der ansteigenden Cyberattacken. 

Bereits im Juni 2017 publizierte das National Institute of Standards and Technology (NIST) Richtlinien zur digitalen Identität. In dieser Sonderveröffentlichung (800-63B) riet NIST dringend davon ab, SMS-Codes zur Authentifizierung zu verwenden. Dies kommt nicht von ungefähr… Diverse Unternehmen wie z.B. die britische Metro Bank, Google oder Yahoo wurden Opfer von Cyberattacken, bei denen über SMS versendete Codes betroffen waren.

Die Sicherheitsrisiken rund um SMS sind vielseitig und können grob in drei Kategorien unterteilt werden; lokale Angriffe, Angriffe via Mobilfunk Provider und Angriffe via eigenem Smartphone.

Verpassen Sie niemals InTech Insiderinformationen, Top-Jobs und Mandate. Hier anmelden.

Lokale Angriffe

Der Versand und die Zustellung von SMS-Nachrichten basiert noch heute auf einem Kommunikationsprotokoll aus dem Jahr 1975, das Signalling System 7 (SS7). Befindest sich ein Angreifer in der Nähe des nächstgelegenen Funkmastens oder des Geräts des Opfers, dann ist dank diesem veralteten Protokoll ein Abfangen einer versendeten SMS-Nachricht in Echtzeit problemlos möglich.

Mobilfunk Provider Angriffe

Mobilfunkverbindungen innerhalb der Schweiz sind sicher. Jedoch gilt das nicht immer für Verbindungen im Ausland. Die Standards der Verschlüsselungen der Mobilfunknetze sind von Land zu Land sehr unterschiedlich und machen es Angreifern einfach Nachrichten abzufangen. Sprich, wenn sich ein Benutzer im Ausland auf seine E-Banking Plattform einloggen will, besteht potentiell ein erhöhtes Risiko.

Auch gelingt es den Angreifern oft mit gestohlenen Informationen durch Social Engineering via Mobilfunk Provider in den Besitz einer SIM Karte zu gelangen. Bis das Opfer einen Missbrauch erkennt, ist es meistens zu spät. Diese sogenannten “SIM-Swapping” Attacken verlaufen meist sehr schnell. Weitere Details verrät Dr. Security in diesem Blog-Post.

Smartphone Angriffe

Eines der grössten Risiken verbirgt sich oft auf dem eigenen Smartphone. Beispielsweise kommt es häufig vor, dass ein Kind ein Spiel auf dem Smartphone seiner Eltern installiert. Was wahrscheinlich weniger bekannt ist, ist, dass diese App empfangene SMS-Nachrichten im Hintergrund mitlesen kann. Darum Vorsicht beim Installieren von Apps! Überprüfen Sie den Entwickler der Anwendung, indem Sie die Herkunft und die Bewertungen sorgfältig studieren. Nicht nur Spiele Apps, sondern auch Kryptowährungs-Apps sind beliebte “Trojanische Pferde” bei dieser Art von Angriffen.

Ein weiterer, wenn auch nicht direkt damit zusammenhängender, weit verbreiteter Angriff, der sich SMS-Nachrichten zunutze macht, sind die so genannten “Smishing”-Angriffe (analog zum Phishing per E-Mail): Kriminelle nutzen SMS-Nachrichten, um das Opfer aufzufordern, sich auf einer speziell gestalteten Website einzuloggen, um sensible persönliche Daten (wie z.B. Zugangsdaten zum E-Banking) zu sammeln. Die Nachrichten erwecken den Eindruck, als stammen sie von einer vertrauenswürdigen Stelle (z.B. wenn sie vorgeben, vom Postzustelldienst über eine bestimmte Paketzustellung zu kommen). Leider funktionieren diese Angriffe oft sehr gut, da das Vertrauen in SMS-Nachrichten, die auf den eigenen Smartphones empfangen werden, in der Regel viel höher ist als in E-Mails.

Teuer und Unterbrechung der Kontrollkette

Es ist nicht nur der Sicherheitsaspekt, der Unternehmen von der Verwendung von SMS-Nachrichten abhalten sollte, sondern es spielen auch andere Faktoren eine Rolle, die berücksichtigt werden sollten. Die Nutzung von SMS ist im Allgemeinen sehr teuer, da für jede einzelne versendete SMS Kosten anfallen.

Es gibt auch keine Kontrolle darüber, ob eine SMS tatsächlich oder bis wann sie zugestellt wird. Ebensowenig ob sie vom Benutzer tatsächlich gelesen wird. Vor allem in Teilen Asiens ist der Versand von SMS oft schwierig, da die Anbieter die Zustellung blockieren oder verzögern. Die Verwendung von SMS verhindert auch Einblicke in das Nutzerverhalten: War das Telefon des Benutzers an einem sicheren Ort, als er mit der Website interagierte? War die SMS durch eine lokale Telefon-Authentifizierung (wie Fingerabdruck oder Faceid) geschützt, oder konnte jedermann allein durch einen Blick auf den Bildschirm des Telefons den SMS-Code vorlesen?

Und schliesslich liegt die Beweislast im Falle eines Missbrauchs gemäss vielen Geschäftsbedingungen der Unternehmen beim Benutzer, was eigentlich nicht fair ist: Es wird extrem schwierig zu verstehen, was im Falle von Angriffen passiert ist.

Win-Win für Unternehmen und Benutzer

Die Nutzung von SMS-Codes für Portal-Logins ist zwar noch immer sicherer als kein 2FA einzusetzen, dennoch gibt es heute verschiedenste alternative Authentisierungsmethoden, die nicht nur sicherer sondern auch benutzerfreundlicher sind und den Unternehmen einen viel besseren Einblick in das Verhalten ihrer eigenen Nutzer geben. Futurae bieten eine Vielzahl von Authentisierungs-Methoden, die den Unternehmen volle Flexibilität bietet; von Hardware über neuartige softwarebasierte Lösungen bis hin zum Schutz vor Social-Engineering-Angriffen. Darüber hinaus ermöglicht Futurae eine schnelle und unkomplizierte Integration in die bestehende Infrastruktur und senkt zudem die Gesamtbetriebskosten. Nicht nur teure SMS-Kosten fallen weg, sondern auch die oft damit verbundenen Helpdesk Anrufe im Problemfall. SMS-Codes, die nie – oder beim Hacker ankommen gehören der Vergangenheit an!

Add Comment

Click here to post a comment

About the author

Futurae

Futurae

Wir unterstützen Firmen mit starker Authentisierung für Kundenportale, Web- oder Mobile App Sicherheit, die das Leben für Nutzer einfach macht.