Abo
  • Services:
Anzeige
Die Commerzbank bewirbt das mTAN-Verfahren als bewährt und sicher dank getrennter Geräte.
Die Commerzbank bewirbt das mTAN-Verfahren als bewährt und sicher dank getrennter Geräte. (Bild: Commerzbank)

Online-Banking und SS7-Hack: SMS-TANs sind unsicher

Die Commerzbank bewirbt das mTAN-Verfahren als bewährt und sicher dank getrennter Geräte.
Die Commerzbank bewirbt das mTAN-Verfahren als bewährt und sicher dank getrennter Geräte. (Bild: Commerzbank)

Gleich drei Vorträge am ersten Tag des jährlichen Chaos-Kongresses widmen sich Hacks rund um Mobilfunkstandards. Bereits jetzt ist klar: Sicherheitsanwendungen, die auf SMS setzen, werden unbrauchbar. Der gute alte TAN-Zettel aus Papier dürfte mehr Sicherheit bieten.

Anzeige

Mobilfunk ist unsicher. Und damit auch alle Sicherheitsanwendungen, die beispielsweise für eine Zwei-Faktor-Authentifizierung auf Kurznachrichten des SM-Service setzen. Das wird das Ergebnis der drei kommenden Vorträge auf dem diesjährigen Chaos Communication Congress in Hamburg rund um Sicherheitslücken sein, die auch UMTS-Verbindungen als unsicher einstufen.

Die Sicherheitslücken betreffen dabei einen großen Teil der Bevölkerung weltweit. Banken haben beispielsweise SMS-TAN alias mTAN als sichere Alternative zu den lange üblichen TAN-Blöcken auf Papier gefördert. Zweifel an dem System gab es schon lange. Als Kriminelle sich in Mobilfunkshops einfach Ersatz-SIM-Karten besorgten, wurden zielgerichtet Vermögende erst auf Rechnerseite angegriffen und aufgrund der dort erlangten Informationen - darunter auch die Mobilfunknummer - Kurznachrichten über eine Ersatz-SIM abgefangen. Die Angriffe wurden aber erschwert, seit viele Mobilfunkanbieter für eine Ersatz-SIM einen Personalausweis verlangen.

Mit den Angriffen auf das SS7-Netzwerk haben Kriminelle eine noch einfachere Angriffsmöglichkeit. Nicht einmal eine direkte Nähe zum Opfer ist notwendig. Ist der Rechner kompromittiert, mit dem Onlinebanking betrieben wird, kann nun davon ausgegangen werden, dass auch SMS-TAN-Systeme keinen zusätzlichen Schutz bieten. Papierbasierte TAN-Listen hingegen können Kriminelle nicht einfach erlangen. Es gibt aber Ausnahmen, denn viele unbedarfte Anwender sind anfällig für Phishing und tippen wider Erwarten ganze TAN-Listen in Formulare speziell präparierter Webseiten.

Eine bisher sichere Alternative zu Papier-TAN und SMS-TAN sind TAN-Generatoren, die vor allem bei Geschäftskunden verbreitet sind. Sie befriedigen das Sicherheitsbedürfnis sowohl der Banken als auch der Kunden.

Zwei-Faktor-Authentifizierung mit dem Mobilfunktelefon gefährdet

Seinen Facebook-, Google-, oder Apple-Account zusätzlich vor Angriffen zu sichern, war bisher ebenfalls mit Mobilfunk-Nachrichten möglich. Unverschlüsselte Kurznachrichten sind aber auch hier ein Problem, das erst einmal weltweit beseitigt werden muss. Das betrifft insbesondere auch Apple, deren Integration von Mobilfunk in PC-Systeme (über die Softwarefunktion Continuity/Handoff) ohnehin Techniken wie SMS-TAN aushebelt. Kurznachrichten per SMS können in der Apple-Welt nämlich auch auf dem PC empfangen werden. Onlinebanking auf einem PC mit SMS-Empfang schließt sich damit ohnehin aus.

Auf dem 31C3 werden gleich in drei Vorträgen am heutigen 27. Dezember 2014 die SS7-Sicherheitslücken ausführlich behandelt. Tobias Engel startet mit seiner Angriffserklärung um 17 Uhr. Ihm gelingt es, Kurznachrichten abzufangen und Telefone zu lokalisieren, ohne sich physisch in der Nähe des Angegriffenen befinden zu müssen. Karsten Nohl von Security Labs wird technisch die Angreifbarkeit von 3G-Netzen betrachten und schließlich wird es um 23 Uhr von Laurent Ghigonis und Alexandre De Oliveira einen SS7-Vortrag geben, in dem sie die SS7-Sicherheitslücken im internationalen Roaming kartographieren.

Die Vorträge werden voraussichtlich live gestreamt und später unter media.ccc.de bereitgestellt.

Nachtrag vom 27. Dezember 2014, 16:36 Uhr

Der Text wurde zur Klarstellung um die Klammer "(über die Softwarefunktion Continuity/Handoff)" ergänzt.


eye home zur Startseite
Hotohori 29. Dez 2014

Klar klar, weil es ja auch gar nicht auffällt, dass die TAN nicht geht. Spätestens dann...

tangonuevo 29. Dez 2014

Also, das ist so mit der Sicherheit: Die ist wie eine Mauer, die du möglichst hoch haben...

Legendary85 29. Dez 2014

Könnt ihr bitte mal eure Aluhüte absetzen? Wem ist hier bitte schon mal ein Man-in-the...

Maximilian_XCV 29. Dez 2014

Oder der Angreifer baut eine Kaskade an gekaperten Konten auf, wovon welche schwach...

Koto 28. Dez 2014

Also ist die Chance eben gering. Sorry für mich geht es nicht darum ob es gemacht wird...



Anzeige

Stellenmarkt
  1. über Hanseatisches Personalkontor Mannheim, Mannheim
  2. ETAS GmbH, Stuttgart
  3. BRUNATA Wärmemesser GmbH & Co. KG, München
  4. USU AG, Möglingen bei Stuttgart


Anzeige
Top-Angebote
  1. (u. a. Dark Souls III für 24,99€, Darkosuls II: Scholar of the First Sin für 8,99€, Bioshock...
  2. 329,00€
  3. 283,88€ + 5,00€ Versand (USK 18)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Fixed Wireless

    Verizon startet einen der weltweit größten 5G-Endkundentests

  2. Klage eingereicht

    Google wirft Uber Diebstahl von Lidar-Technik vor

  3. Speicherleck

    Cloudflare verteilt private Daten übers Internet

  4. Apple

    Magicgrips machen die Magic Mouse breit

  5. Aufsteckbar

    Kugelkamera für Android-Smartphones filmt 360-Grad-Videos

  6. Panamera Turbo S E-Hybrid

    Porsche kombiniert V8-Motor und E-Antrieb

  7. Matrix Voice

    Preiswerter mit Spracherkennung experimentieren

  8. LTE

    Telekom führt Narrowband-IoT-Netz in Deutschland ein

  9. Deep Learning

    Wenn die KI besser prügelt als Menschen

  10. Firepower 2100

    Cisco stellt Firewall für KMU-Bereich vor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Limux: Die tragische Geschichte eines Leuchtturm-Projekts
Limux
Die tragische Geschichte eines Leuchtturm-Projekts
  1. Limux München prüft Rückkehr zu Windows
  2. Limux-Projekt Windows könnte München mehr als sechs Millionen Euro kosten
  3. Limux Münchner Stadtrat ignoriert selbst beauftragte Studie

Wacoms Intuos Pro Paper im Test: Weg mit digital, her mit Stift und Papier!
Wacoms Intuos Pro Paper im Test
Weg mit digital, her mit Stift und Papier!
  1. Wacom Brainwave Ein Graph sagt mehr als tausend Worte
  2. Canvas Dells Stift-Tablet bedient sich bei Microsoft und Wacom
  3. Intuos Pro Wacom verbindet Zeichentablet mit echtem Papier

Bundesnetzagentur: Puppenverbot gefährdet das Smart Home und Bastler
Bundesnetzagentur
Puppenverbot gefährdet das Smart Home und Bastler
  1. My Friend Cayla Eltern müssen Puppen ihrer Kinder zerstören
  2. Matoi Imagno Wenn die Holzklötzchen zu dir sprechen
  3. Smart Gurlz Programmieren lernen mit Puppen

  1. Re: Wie laufen Bewerbungen heutzutage eigentlich ab?

    der_wahre_hannes | 11:21

  2. Re: Analoge Schultertasten

    Peace Р| 11:20

  3. Re: Völlig irrelevant

    Peter Brülls | 11:19

  4. Re: Fachinformatiker = Taxidiplom

    der_wahre_hannes | 11:19

  5. Re: Wie ist das denn jetzt mit...

    Mademan | 11:19


  1. 11:09

  2. 10:51

  3. 10:45

  4. 09:38

  5. 07:23

  6. 07:14

  7. 17:37

  8. 17:26


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel