Abo
  • Services:
Anzeige
Die Commerzbank bewirbt das mTAN-Verfahren als bewährt und sicher dank getrennter Geräte.
Die Commerzbank bewirbt das mTAN-Verfahren als bewährt und sicher dank getrennter Geräte. (Bild: Commerzbank)

Online-Banking und SS7-Hack: SMS-TANs sind unsicher

Die Commerzbank bewirbt das mTAN-Verfahren als bewährt und sicher dank getrennter Geräte.
Die Commerzbank bewirbt das mTAN-Verfahren als bewährt und sicher dank getrennter Geräte. (Bild: Commerzbank)

Gleich drei Vorträge am ersten Tag des jährlichen Chaos-Kongresses widmen sich Hacks rund um Mobilfunkstandards. Bereits jetzt ist klar: Sicherheitsanwendungen, die auf SMS setzen, werden unbrauchbar. Der gute alte TAN-Zettel aus Papier dürfte mehr Sicherheit bieten.

Anzeige

Mobilfunk ist unsicher. Und damit auch alle Sicherheitsanwendungen, die beispielsweise für eine Zwei-Faktor-Authentifizierung auf Kurznachrichten des SM-Service setzen. Das wird das Ergebnis der drei kommenden Vorträge auf dem diesjährigen Chaos Communication Congress in Hamburg rund um Sicherheitslücken sein, die auch UMTS-Verbindungen als unsicher einstufen.

Die Sicherheitslücken betreffen dabei einen großen Teil der Bevölkerung weltweit. Banken haben beispielsweise SMS-TAN alias mTAN als sichere Alternative zu den lange üblichen TAN-Blöcken auf Papier gefördert. Zweifel an dem System gab es schon lange. Als Kriminelle sich in Mobilfunkshops einfach Ersatz-SIM-Karten besorgten, wurden zielgerichtet Vermögende erst auf Rechnerseite angegriffen und aufgrund der dort erlangten Informationen - darunter auch die Mobilfunknummer - Kurznachrichten über eine Ersatz-SIM abgefangen. Die Angriffe wurden aber erschwert, seit viele Mobilfunkanbieter für eine Ersatz-SIM einen Personalausweis verlangen.

Mit den Angriffen auf das SS7-Netzwerk haben Kriminelle eine noch einfachere Angriffsmöglichkeit. Nicht einmal eine direkte Nähe zum Opfer ist notwendig. Ist der Rechner kompromittiert, mit dem Onlinebanking betrieben wird, kann nun davon ausgegangen werden, dass auch SMS-TAN-Systeme keinen zusätzlichen Schutz bieten. Papierbasierte TAN-Listen hingegen können Kriminelle nicht einfach erlangen. Es gibt aber Ausnahmen, denn viele unbedarfte Anwender sind anfällig für Phishing und tippen wider Erwarten ganze TAN-Listen in Formulare speziell präparierter Webseiten.

Eine bisher sichere Alternative zu Papier-TAN und SMS-TAN sind TAN-Generatoren, die vor allem bei Geschäftskunden verbreitet sind. Sie befriedigen das Sicherheitsbedürfnis sowohl der Banken als auch der Kunden.

Zwei-Faktor-Authentifizierung mit dem Mobilfunktelefon gefährdet

Seinen Facebook-, Google-, oder Apple-Account zusätzlich vor Angriffen zu sichern, war bisher ebenfalls mit Mobilfunk-Nachrichten möglich. Unverschlüsselte Kurznachrichten sind aber auch hier ein Problem, das erst einmal weltweit beseitigt werden muss. Das betrifft insbesondere auch Apple, deren Integration von Mobilfunk in PC-Systeme (über die Softwarefunktion Continuity/Handoff) ohnehin Techniken wie SMS-TAN aushebelt. Kurznachrichten per SMS können in der Apple-Welt nämlich auch auf dem PC empfangen werden. Onlinebanking auf einem PC mit SMS-Empfang schließt sich damit ohnehin aus.

Auf dem 31C3 werden gleich in drei Vorträgen am heutigen 27. Dezember 2014 die SS7-Sicherheitslücken ausführlich behandelt. Tobias Engel startet mit seiner Angriffserklärung um 17 Uhr. Ihm gelingt es, Kurznachrichten abzufangen und Telefone zu lokalisieren, ohne sich physisch in der Nähe des Angegriffenen befinden zu müssen. Karsten Nohl von Security Labs wird technisch die Angreifbarkeit von 3G-Netzen betrachten und schließlich wird es um 23 Uhr von Laurent Ghigonis und Alexandre De Oliveira einen SS7-Vortrag geben, in dem sie die SS7-Sicherheitslücken im internationalen Roaming kartographieren.

Die Vorträge werden voraussichtlich live gestreamt und später unter media.ccc.de bereitgestellt.

Nachtrag vom 27. Dezember 2014, 16:36 Uhr

Der Text wurde zur Klarstellung um die Klammer "(über die Softwarefunktion Continuity/Handoff)" ergänzt.


eye home zur Startseite
Hotohori 29. Dez 2014

Klar klar, weil es ja auch gar nicht auffällt, dass die TAN nicht geht. Spätestens dann...

tangonuevo 29. Dez 2014

Also, das ist so mit der Sicherheit: Die ist wie eine Mauer, die du möglichst hoch haben...

Legendary85 29. Dez 2014

Könnt ihr bitte mal eure Aluhüte absetzen? Wem ist hier bitte schon mal ein Man-in-the...

Maximilian_XCV 29. Dez 2014

Oder der Angreifer baut eine Kaskade an gekaperten Konten auf, wovon welche schwach...

Koto 28. Dez 2014

Also ist die Chance eben gering. Sorry für mich geht es nicht darum ob es gemacht wird...



Anzeige

Stellenmarkt
  1. Landeshauptstadt München, München
  2. Bundesnachrichtendienst, Großraum Köln / Bonn
  3. Robert Bosch GmbH, Leonberg
  4. ANITA Dr. Helbig GmbH, Brannenburg


Anzeige
Blu-ray-Angebote
  1. 149,99€ (Vorbesteller-Preisgarantie)
  2. 5,49€
  3. 9,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Mehr dazu im aktuellen Whitepaper von Freudenberg IT
  3. Sicherheitskonzeption für das App-getriebene Geschäft


  1. Quadro P6000/P5000

    Nvidia kündigt Profi-Karten mit GP02-Vollausbau an

  2. Jahresgehalt

    Erfahrene Softwareentwickler verdienen 55.500 Euro

  3. Sync 3

    Ford bringt Carplay und Android Auto in alle 2017er-Modelle

  4. Netzwerk

    Mehrere regionale Mobilfunkausfälle bei Vodafone

  5. Hello Games

    No Man's Sky braucht kein Plus und keine Superformel

  6. Master Key

    Hacker gelangen per Reverse Engineering an Gepäckschlüssel

  7. 3D-Druck

    Polizei will Smartphone mit nachgemachtem Finger entsperren

  8. Modesetting

    Debian und Ubuntu verzichten auf Intels X11-Treiber

  9. Elementary OS Loki im Test

    Hübsch und einfach kann auch kompliziert sein

  10. Mobilfunkausrüster

    Ericsson feuert seinen Konzernchef



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Schwachstellen aufgedeckt: Der leichtfertige Umgang mit kritischen Infrastrukturen
Schwachstellen aufgedeckt
Der leichtfertige Umgang mit kritischen Infrastrukturen
  1. Vodafone EasyBox 804 Angeblich Hochladen von Schadsoftware möglich
  2. Cyber Grand Challenge Finale US-Militär lässt Computer als Hacker aufeinander los
  3. Patchday Sicherheitslücke lässt Drucker Malware verteilen

Core i7-6820HK: Das bringt CPU-Overclocking im Notebook
Core i7-6820HK
Das bringt CPU-Overclocking im Notebook
  1. Stresstest Futuremarks 3DMark testet Hardware auf Throttling

Digitalisierung: Darf ich am Sabbat mit meinem Lautsprecher reden?
Digitalisierung
Darf ich am Sabbat mit meinem Lautsprecher reden?
  1. Smart City Der Bürger gestaltet mit
  2. Internetwirtschaft Das ist so was von 2006
  3. Das Internet der Menschen "Industrie 4.0 verbannt Menschen nicht aus Werkhallen"

  1. Re: Nur 12 Tflops?

    zomtech | 04:13

  2. Re: Schon wieder das Märchen von den IT-Gehältern

    phex | 03:34

  3. LBRY's Blockchain-Based Netflix-Killer Is Now in Beta

    tobsn | 03:23

  4. Moorhuhn, Pornos, Masturbation, Vergewaltiger

    Braineh | 03:07

  5. Re: Wenn man es drauf hat -> Go Freelance

    Trockenobst | 03:05


  1. 22:45

  2. 18:35

  3. 17:31

  4. 17:19

  5. 15:58

  6. 15:15

  7. 14:56

  8. 12:32


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel