Abo
  • Services:
Anzeige
Die Commerzbank bewirbt das mTAN-Verfahren als bewährt und sicher dank getrennter Geräte.
Die Commerzbank bewirbt das mTAN-Verfahren als bewährt und sicher dank getrennter Geräte. (Bild: Commerzbank)

Online-Banking und SS7-Hack: SMS-TANs sind unsicher

Die Commerzbank bewirbt das mTAN-Verfahren als bewährt und sicher dank getrennter Geräte.
Die Commerzbank bewirbt das mTAN-Verfahren als bewährt und sicher dank getrennter Geräte. (Bild: Commerzbank)

Gleich drei Vorträge am ersten Tag des jährlichen Chaos-Kongresses widmen sich Hacks rund um Mobilfunkstandards. Bereits jetzt ist klar: Sicherheitsanwendungen, die auf SMS setzen, werden unbrauchbar. Der gute alte TAN-Zettel aus Papier dürfte mehr Sicherheit bieten.

Anzeige

Mobilfunk ist unsicher. Und damit auch alle Sicherheitsanwendungen, die beispielsweise für eine Zwei-Faktor-Authentifizierung auf Kurznachrichten des SM-Service setzen. Das wird das Ergebnis der drei kommenden Vorträge auf dem diesjährigen Chaos Communication Congress in Hamburg rund um Sicherheitslücken sein, die auch UMTS-Verbindungen als unsicher einstufen.

Die Sicherheitslücken betreffen dabei einen großen Teil der Bevölkerung weltweit. Banken haben beispielsweise SMS-TAN alias mTAN als sichere Alternative zu den lange üblichen TAN-Blöcken auf Papier gefördert. Zweifel an dem System gab es schon lange. Als Kriminelle sich in Mobilfunkshops einfach Ersatz-SIM-Karten besorgten, wurden zielgerichtet Vermögende erst auf Rechnerseite angegriffen und aufgrund der dort erlangten Informationen - darunter auch die Mobilfunknummer - Kurznachrichten über eine Ersatz-SIM abgefangen. Die Angriffe wurden aber erschwert, seit viele Mobilfunkanbieter für eine Ersatz-SIM einen Personalausweis verlangen.

Mit den Angriffen auf das SS7-Netzwerk haben Kriminelle eine noch einfachere Angriffsmöglichkeit. Nicht einmal eine direkte Nähe zum Opfer ist notwendig. Ist der Rechner kompromittiert, mit dem Onlinebanking betrieben wird, kann nun davon ausgegangen werden, dass auch SMS-TAN-Systeme keinen zusätzlichen Schutz bieten. Papierbasierte TAN-Listen hingegen können Kriminelle nicht einfach erlangen. Es gibt aber Ausnahmen, denn viele unbedarfte Anwender sind anfällig für Phishing und tippen wider Erwarten ganze TAN-Listen in Formulare speziell präparierter Webseiten.

Eine bisher sichere Alternative zu Papier-TAN und SMS-TAN sind TAN-Generatoren, die vor allem bei Geschäftskunden verbreitet sind. Sie befriedigen das Sicherheitsbedürfnis sowohl der Banken als auch der Kunden.

Zwei-Faktor-Authentifizierung mit dem Mobilfunktelefon gefährdet

Seinen Facebook-, Google-, oder Apple-Account zusätzlich vor Angriffen zu sichern, war bisher ebenfalls mit Mobilfunk-Nachrichten möglich. Unverschlüsselte Kurznachrichten sind aber auch hier ein Problem, das erst einmal weltweit beseitigt werden muss. Das betrifft insbesondere auch Apple, deren Integration von Mobilfunk in PC-Systeme (über die Softwarefunktion Continuity/Handoff) ohnehin Techniken wie SMS-TAN aushebelt. Kurznachrichten per SMS können in der Apple-Welt nämlich auch auf dem PC empfangen werden. Onlinebanking auf einem PC mit SMS-Empfang schließt sich damit ohnehin aus.

Auf dem 31C3 werden gleich in drei Vorträgen am heutigen 27. Dezember 2014 die SS7-Sicherheitslücken ausführlich behandelt. Tobias Engel startet mit seiner Angriffserklärung um 17 Uhr. Ihm gelingt es, Kurznachrichten abzufangen und Telefone zu lokalisieren, ohne sich physisch in der Nähe des Angegriffenen befinden zu müssen. Karsten Nohl von Security Labs wird technisch die Angreifbarkeit von 3G-Netzen betrachten und schließlich wird es um 23 Uhr von Laurent Ghigonis und Alexandre De Oliveira einen SS7-Vortrag geben, in dem sie die SS7-Sicherheitslücken im internationalen Roaming kartographieren.

Die Vorträge werden voraussichtlich live gestreamt und später unter media.ccc.de bereitgestellt.

Nachtrag vom 27. Dezember 2014, 16:36 Uhr

Der Text wurde zur Klarstellung um die Klammer "(über die Softwarefunktion Continuity/Handoff)" ergänzt.


eye home zur Startseite
Hotohori 29. Dez 2014

Klar klar, weil es ja auch gar nicht auffällt, dass die TAN nicht geht. Spätestens dann...

tangonuevo 29. Dez 2014

Also, das ist so mit der Sicherheit: Die ist wie eine Mauer, die du möglichst hoch haben...

Legendary85 29. Dez 2014

Könnt ihr bitte mal eure Aluhüte absetzen? Wem ist hier bitte schon mal ein Man-in-the...

Maximilian_XCV 29. Dez 2014

Oder der Angreifer baut eine Kaskade an gekaperten Konten auf, wovon welche schwach...

Koto 28. Dez 2014

Also ist die Chance eben gering. Sorry für mich geht es nicht darum ob es gemacht wird...



Anzeige

Stellenmarkt
  1. über Hays AG, Hamburg
  2. NetApp Deutschland GmbH, Neu-Isenburg
  3. stoba Präzisionstechnik GmbH & Co. KG, Backnang (nahe Stuttgart), Yantai (China)
  4. Vodafone Kabel Deutschland GmbH, München


Anzeige
Top-Angebote
  1. 144,90€ statt 159,90€
  2. (u. a. Assassins Creed Origins 39,99€, Watch Dogs 2 18,99€, The Division 16,99€, Steep 17...
  3. mit Gutscheincode "PCGBALLZ" (-23%) 45,99€

Folgen Sie uns
       


  1. Umwelt

    China baut 100-Meter-Turm für die Luftreinigung

  2. Marktforschung

    Viele Android-Apps kollidieren mit kommendem EU-Datenschutz

  3. Sonic Forces

    Offenbar aktuellste Version von Denuvo geknackt

  4. KWin

    KDE beendet Funktionsentwicklung für X11

  5. Sprachassistenten

    Alexa ist Feministin

  6. Elektromobilität

    Elektroautos werden langsam beliebter in Deutschland

  7. Crypto-Bibliothek

    OpenSSL bekommt Patch-Dienstag und wird transparenter

  8. Spectre und Meltdown

    Kleine Helferlein überprüfen den Rechner

  9. Anfrage

    Senat sieht sich für WLAN im U-Bahn-Tunnel nicht zuständig

  10. Gaming

    Über 3 Millionen deutsche Spieler treiben regelmäßig E-Sport



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Ein Jahr Trump: Der Cheerleader der deregulierten Wirtschaft
Ein Jahr Trump
Der Cheerleader der deregulierten Wirtschaft
  1. US-Wahl 2016 Twitter findet weitere russische Manipulationskonten
  2. F-52 Trump verkauft Kampfjets aus Call of Duty
  3. Raumfahrtpolitik Amerika will wieder zum Mond - und noch viel weiter

Sgnl im Hands on: Sieht blöd aus, funktioniert aber
Sgnl im Hands on
Sieht blöd aus, funktioniert aber
  1. NGSFF alias M.3 Adata zeigt seine erste SSD mit breiterer Platine
  2. Displaytechnik Samsung soll faltbares Smartphone auf CES gezeigt haben
  3. Vuzix Blade im Hands on Neue Datenbrille mit einem scharfen und hellen Bild

Matthias Maurer: Ein Astronaut taucht unter
Matthias Maurer
Ein Astronaut taucht unter
  1. Planetologie Forscher finden große Eisvorkommen auf dem Mars
  2. SpaceX Geheimer Satellit der US-Regierung ist startklar
  3. Raumfahrt 2017 Wie SpaceX die Branche in Aufruhr versetzt

  1. Re: Das fehlt mir gerade noch ...

    KaeseSchnitte | 02:26

  2. Aber die Bevölkerung anlügen

    volker.f | 02:16

  3. Re: Augsburg macht es vor

    Spaghetticode | 01:58

  4. Re: Warum verschweigt er das wahre Problem...

    Vanger | 01:49

  5. Re: ... und die amerikanischen Firmen...

    ntldr | 01:47


  1. 18:19

  2. 17:43

  3. 17:38

  4. 15:30

  5. 15:02

  6. 14:24

  7. 13:28

  8. 13:21


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel