mTAN: Ein Code per SMS kann leicht abgefangen werden

Ein meist sechsstelliger Code, der per SMS zugestellt wird, dürfte der Klassiker unter den 2FA-Systemen sein. Der Code aus der SMS muss beim Log-in in ein Formular des Anbieters eingegeben werden: Stimmt er überein, wird der Zugang gewährt. Ein Angreifer müsste sich Zugriff auf unser (entsperrtes) Handy oder Smartphone beziehungsweise unsere SIM-Karte verschaffen, um sich anmelden zu können. So zumindest die Theorie.

In der Praxis gibt es jedoch vielfältige Angriffsmöglichkeiten gegen die Technik, die auch von Banken zur Authentifizierung von Überweisungen unter dem Namen mTAN eingesetzt wird. So lassen sich die SMS beispielsweise über einen Zugang zum SS7-Netzwerk (Signalling System #7) beschaffen.

Über die SS7-Protokolle vermitteln Provider Anrufe, SMS und Daten von einem Netz in das nächste. Ohne SS7 wäre zum Beispiel Roaming nicht möglich. Ursprünglich hatten nur staatlich kontrollierte Telefonanbieter Zugang zu diesem Netzwerk, mittlerweile können sich Firmen in dieses einkaufen - und ihre Zugänge weitervermieten. Auch Kriminelle können sich Zugang zum Netzwerk verschaffen.

Bereits 2014 wurde auf dem Hackerkongress 31C3 in mehreren Vorträgen gezeigt, was mit einem SS7-Zugang alles möglich ist: Handynutzer orten, SMS mitlesen, Gespräche abhören, Rufnummern umleiten, Telefone blockieren. 2017 wurde das SS7-Netzwerk von Kriminellen dazu genutzt, Bankkonten zu leeren. Sie leiteten die Bestätigungs-SMS mitsamt der mTAN auf ihre eigenen Mobilfunktelefonnummern um.

Per SIM-Swapping oder Direktmarketing an die SMS gelangen

Eine andere Angriffsmethode ist das sogenannte SIM-Swapping, bei dem sich Angreifer eine zweite oder neue SIM-Karte für einen Mobilfunkanschluss ausstellen lassen. So gaben sich Kriminelle beispielsweise 2015 als Mitarbeiter eines Telekom-Shops aus und bestellten bei der Telekom angeblich abhanden gekommene SIM-Karten nach. Über die nachbestellten Karten konnten sie ebenfalls an die SMS gelangen und die mTANs für das Onlinebanking abgreifen. Ähnliches passierte auch bei Telefonica.

Mit dem SMS-Nachfolger RCS werden Anrufe und SMS über das Internet abgewickelt - mit einem vorgegebenen Passwort. Mit diesem können auch klassische SMS unbemerkt mitgelesen werden. Eine entsprechende Konfigurationsdatei lässt sich von jeder App empfangen, wie Forscher der Sicherheitsfirma SRLabs zeigen konnten.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Doch all diesen Aufwand müssen Angreifer - zumindest in den USA - gar nicht betreiben. Dort demonstrierte ein Hacker einem Journalisten, wie er all dessen SMS über einen Direktmarketingdienst mitlesen konnte - für 16 US-Dollar pro Monat. Entsprechend unsicher sind SMS für die Übertragung eines zweiten Faktors. Ähnlich unsicher sind E-Mails, die in seltenen Fällen ebenfalls als zweiter Faktor genutzt werden.

Zu dem Sicherheits- kommt ein Datenschutzproblem: Denn die Telefonnummer ist häufig ein eindeutig identifizierendes Merkmal, das in der Vergangenheit bereits von Unternehmen wie Twitter zu Werbezwecken genutzt wurde - obwohl die Telefonnummer nur für die Zwei-Faktor-Authentifizierung angegeben wurde.

Stellt ein Anbieter ein anderes 2FA-Verfahren zur Verfügung, sollte man also aus Datenschutz- und Sicherheitsgründen lieber nicht auf die mTANs oder 2FA-SMS setzen.