Abo
  • Services:

Online-Banking und SS7-Hack: SMS-TANs sind unsicher

Gleich drei Vorträge am ersten Tag des jährlichen Chaos-Kongresses widmen sich Hacks rund um Mobilfunkstandards. Bereits jetzt ist klar: Sicherheitsanwendungen, die auf SMS setzen, werden unbrauchbar. Der gute alte TAN-Zettel aus Papier dürfte mehr Sicherheit bieten.

Artikel veröffentlicht am ,
Die Commerzbank bewirbt das mTAN-Verfahren als bewährt und sicher dank getrennter Geräte.
Die Commerzbank bewirbt das mTAN-Verfahren als bewährt und sicher dank getrennter Geräte. (Bild: Commerzbank)

Mobilfunk ist unsicher. Und damit auch alle Sicherheitsanwendungen, die beispielsweise für eine Zwei-Faktor-Authentifizierung auf Kurznachrichten des SM-Service setzen. Das wird das Ergebnis der drei kommenden Vorträge auf dem diesjährigen Chaos Communication Congress in Hamburg rund um Sicherheitslücken sein, die auch UMTS-Verbindungen als unsicher einstufen.

Stellenmarkt
  1. d&b audiotechnik GmbH, Backnang bei Stuttgart
  2. DPD Deutschland GmbH, Nürnberg

Die Sicherheitslücken betreffen dabei einen großen Teil der Bevölkerung weltweit. Banken haben beispielsweise SMS-TAN alias mTAN als sichere Alternative zu den lange üblichen TAN-Blöcken auf Papier gefördert. Zweifel an dem System gab es schon lange. Als Kriminelle sich in Mobilfunkshops einfach Ersatz-SIM-Karten besorgten, wurden zielgerichtet Vermögende erst auf Rechnerseite angegriffen und aufgrund der dort erlangten Informationen - darunter auch die Mobilfunknummer - Kurznachrichten über eine Ersatz-SIM abgefangen. Die Angriffe wurden aber erschwert, seit viele Mobilfunkanbieter für eine Ersatz-SIM einen Personalausweis verlangen.

Mit den Angriffen auf das SS7-Netzwerk haben Kriminelle eine noch einfachere Angriffsmöglichkeit. Nicht einmal eine direkte Nähe zum Opfer ist notwendig. Ist der Rechner kompromittiert, mit dem Onlinebanking betrieben wird, kann nun davon ausgegangen werden, dass auch SMS-TAN-Systeme keinen zusätzlichen Schutz bieten. Papierbasierte TAN-Listen hingegen können Kriminelle nicht einfach erlangen. Es gibt aber Ausnahmen, denn viele unbedarfte Anwender sind anfällig für Phishing und tippen wider Erwarten ganze TAN-Listen in Formulare speziell präparierter Webseiten.

Eine bisher sichere Alternative zu Papier-TAN und SMS-TAN sind TAN-Generatoren, die vor allem bei Geschäftskunden verbreitet sind. Sie befriedigen das Sicherheitsbedürfnis sowohl der Banken als auch der Kunden.

Zwei-Faktor-Authentifizierung mit dem Mobilfunktelefon gefährdet

Seinen Facebook-, Google-, oder Apple-Account zusätzlich vor Angriffen zu sichern, war bisher ebenfalls mit Mobilfunk-Nachrichten möglich. Unverschlüsselte Kurznachrichten sind aber auch hier ein Problem, das erst einmal weltweit beseitigt werden muss. Das betrifft insbesondere auch Apple, deren Integration von Mobilfunk in PC-Systeme (über die Softwarefunktion Continuity/Handoff) ohnehin Techniken wie SMS-TAN aushebelt. Kurznachrichten per SMS können in der Apple-Welt nämlich auch auf dem PC empfangen werden. Onlinebanking auf einem PC mit SMS-Empfang schließt sich damit ohnehin aus.

Auf dem 31C3 werden gleich in drei Vorträgen am heutigen 27. Dezember 2014 die SS7-Sicherheitslücken ausführlich behandelt. Tobias Engel startet mit seiner Angriffserklärung um 17 Uhr. Ihm gelingt es, Kurznachrichten abzufangen und Telefone zu lokalisieren, ohne sich physisch in der Nähe des Angegriffenen befinden zu müssen. Karsten Nohl von Security Labs wird technisch die Angreifbarkeit von 3G-Netzen betrachten und schließlich wird es um 23 Uhr von Laurent Ghigonis und Alexandre De Oliveira einen SS7-Vortrag geben, in dem sie die SS7-Sicherheitslücken im internationalen Roaming kartographieren.

Die Vorträge werden voraussichtlich live gestreamt und später unter media.ccc.de bereitgestellt.

Nachtrag vom 27. Dezember 2014, 16:36 Uhr

Der Text wurde zur Klarstellung um die Klammer "(über die Softwarefunktion Continuity/Handoff)" ergänzt.



Anzeige
Spiele-Angebote
  1. 2,99€
  2. 59,99€ mit Vorbesteller-Preisgarantie
  3. 59,99€ mit Vorbesteller-Preisgarantie
  4. 12,99€ + 1,99€ Versand oder Abholung im Markt

Hotohori 29. Dez 2014

Klar klar, weil es ja auch gar nicht auffällt, dass die TAN nicht geht. Spätestens dann...

tangonuevo 29. Dez 2014

Also, das ist so mit der Sicherheit: Die ist wie eine Mauer, die du möglichst hoch haben...

Legendary85 29. Dez 2014

Könnt ihr bitte mal eure Aluhüte absetzen? Wem ist hier bitte schon mal ein Man-in-the...

Maximilian_XCV 29. Dez 2014

Oder der Angreifer baut eine Kaskade an gekaperten Konten auf, wovon welche schwach...

Koto 28. Dez 2014

Also ist die Chance eben gering. Sorry für mich geht es nicht darum ob es gemacht wird...


Folgen Sie uns
       


Vampyr - Fazit

Vampyr überzeugt uns relativ schnell im Test. Nach einer Weile flacht die Blutsaugerei aber wegen langweiliger Gespräche und Probleme mit der Kameraführung ab.

Vampyr - Fazit Video aufrufen
Youtube Music, Deezer und Amazon Music: Musikstreaming buchen ist auf dem iPhone teurer
Youtube Music, Deezer und Amazon Music
Musikstreaming buchen ist auf dem iPhone teurer

Wer seinen Musikstreamingdienst auf einem iPhone oder iPad bucht, muss oftmals mehr bezahlen als andere Kunden. Der Grund liegt darin, dass Apple - außer bei eigenen Diensten - einen Aufschlag von 30 Prozent behält. Spotify hat Konsequenzen gezogen.
Ein Bericht von Ingo Pakalski

  1. Filme und Serien Nutzung von kostenpflichtigem Streaming steigt stark an
  2. Highend-PC-Streaming Man kann sogar die Grafikkarte deaktivieren
  3. Golem.de-Livestream Halbgott oder Despot?

Segelschiff: Das Vindskip steckt in der Flaute
Segelschiff
Das Vindskip steckt in der Flaute

Hochseeschiffe gelten als große Umweltverschmutzer. Neue saubere Antriebe sind gefragt. Der Norweger Terje Lade hat ein futuristisches Segelschiff entwickelt. Doch solch ein neuartiges Konzept umzusetzen, ist nicht so einfach.
Ein Bericht von Werner Pluta

  1. Energy Observer Toyota unterstützt Weltumrundung von Brennstoffzellenschiff
  2. Hyseas III Schottische Werft baut Hochseefähre mit Brennstoffzelle
  3. Kreuzschifffahrt Wie Brennstoffzellen Schiffe sauberer machen

Esa: Sonnensystemforschung ohne Plutonium
Esa
Sonnensystemforschung ohne Plutonium

Forscher der Esa arbeiten an Radioisotopenbatterien, die ohne das knappe und aufwendig herzustellende Plutonium-238 auskommen. Stattdessen soll Americium-241 aus abgebrannten Brennstäben von Kernkraftwerken zum Einsatz kommen. Ein erster Prototyp ist bereits fertig.
Von Frank Wunderlich-Pfeiffer

  1. Jaxa Japanische Sonde Hayabusa 2 erreicht den Asteroiden Ryugu
  2. Mission Horizons @Astro_Alex fliegt wieder
  3. Raumfahrt China lädt die Welt zur neuen Raumstation ein

    •  /