Online-Banking und SS7-Hack: SMS-TANs sind unsicher

Gleich drei Vorträge am ersten Tag des jährlichen Chaos-Kongresses widmen sich Hacks rund um Mobilfunkstandards. Bereits jetzt ist klar: Sicherheitsanwendungen, die auf SMS setzen, werden unbrauchbar. Der gute alte TAN-Zettel aus Papier dürfte mehr Sicherheit bieten.

Artikel veröffentlicht am ,
Die Commerzbank bewirbt das mTAN-Verfahren als bewährt und sicher dank getrennter Geräte.
Die Commerzbank bewirbt das mTAN-Verfahren als bewährt und sicher dank getrennter Geräte. (Bild: Commerzbank)

Mobilfunk ist unsicher. Und damit auch alle Sicherheitsanwendungen, die beispielsweise für eine Zwei-Faktor-Authentifizierung auf Kurznachrichten des SM-Service setzen. Das wird das Ergebnis der drei kommenden Vorträge auf dem diesjährigen Chaos Communication Congress in Hamburg rund um Sicherheitslücken sein, die auch UMTS-Verbindungen als unsicher einstufen.

Stellenmarkt
  1. IT-Professional / Bioinformatiker (m/w/d)
    Bayerisches Landeskriminalamt, München
  2. Cloud Engineer AWS (m/w/d)
    Metaways Infosystems GmbH, Hamburg
Detailsuche

Die Sicherheitslücken betreffen dabei einen großen Teil der Bevölkerung weltweit. Banken haben beispielsweise SMS-TAN alias mTAN als sichere Alternative zu den lange üblichen TAN-Blöcken auf Papier gefördert. Zweifel an dem System gab es schon lange. Als Kriminelle sich in Mobilfunkshops einfach Ersatz-SIM-Karten besorgten, wurden zielgerichtet Vermögende erst auf Rechnerseite angegriffen und aufgrund der dort erlangten Informationen - darunter auch die Mobilfunknummer - Kurznachrichten über eine Ersatz-SIM abgefangen. Die Angriffe wurden aber erschwert, seit viele Mobilfunkanbieter für eine Ersatz-SIM einen Personalausweis verlangen.

Mit den Angriffen auf das SS7-Netzwerk haben Kriminelle eine noch einfachere Angriffsmöglichkeit. Nicht einmal eine direkte Nähe zum Opfer ist notwendig. Ist der Rechner kompromittiert, mit dem Onlinebanking betrieben wird, kann nun davon ausgegangen werden, dass auch SMS-TAN-Systeme keinen zusätzlichen Schutz bieten. Papierbasierte TAN-Listen hingegen können Kriminelle nicht einfach erlangen. Es gibt aber Ausnahmen, denn viele unbedarfte Anwender sind anfällig für Phishing und tippen wider Erwarten ganze TAN-Listen in Formulare speziell präparierter Webseiten.

Eine bisher sichere Alternative zu Papier-TAN und SMS-TAN sind TAN-Generatoren, die vor allem bei Geschäftskunden verbreitet sind. Sie befriedigen das Sicherheitsbedürfnis sowohl der Banken als auch der Kunden.

Zwei-Faktor-Authentifizierung mit dem Mobilfunktelefon gefährdet

Golem Akademie
  1. Jira für Anwender: virtueller Ein-Tages-Workshop
    10. November 2021, virtuell
  2. Einführung in die Programmierung mit Rust: virtueller Fünf-Halbtage-Workshop
    21.–25. März 2022, Virtuell
Weitere IT-Trainings

Seinen Facebook-, Google-, oder Apple-Account zusätzlich vor Angriffen zu sichern, war bisher ebenfalls mit Mobilfunk-Nachrichten möglich. Unverschlüsselte Kurznachrichten sind aber auch hier ein Problem, das erst einmal weltweit beseitigt werden muss. Das betrifft insbesondere auch Apple, deren Integration von Mobilfunk in PC-Systeme (über die Softwarefunktion Continuity/Handoff) ohnehin Techniken wie SMS-TAN aushebelt. Kurznachrichten per SMS können in der Apple-Welt nämlich auch auf dem PC empfangen werden. Onlinebanking auf einem PC mit SMS-Empfang schließt sich damit ohnehin aus.

Auf dem 31C3 werden gleich in drei Vorträgen am heutigen 27. Dezember 2014 die SS7-Sicherheitslücken ausführlich behandelt. Tobias Engel startet mit seiner Angriffserklärung um 17 Uhr. Ihm gelingt es, Kurznachrichten abzufangen und Telefone zu lokalisieren, ohne sich physisch in der Nähe des Angegriffenen befinden zu müssen. Karsten Nohl von Security Labs wird technisch die Angreifbarkeit von 3G-Netzen betrachten und schließlich wird es um 23 Uhr von Laurent Ghigonis und Alexandre De Oliveira einen SS7-Vortrag geben, in dem sie die SS7-Sicherheitslücken im internationalen Roaming kartographieren.

Die Vorträge werden voraussichtlich live gestreamt und später unter media.ccc.de bereitgestellt.

Nachtrag vom 27. Dezember 2014, 16:36 Uhr

Der Text wurde zur Klarstellung um die Klammer "(über die Softwarefunktion Continuity/Handoff)" ergänzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Hotohori 29. Dez 2014

Klar klar, weil es ja auch gar nicht auffällt, dass die TAN nicht geht. Spätestens dann...

tangonuevo 29. Dez 2014

Also, das ist so mit der Sicherheit: Die ist wie eine Mauer, die du möglichst hoch haben...

Legendary85 29. Dez 2014

Könnt ihr bitte mal eure Aluhüte absetzen? Wem ist hier bitte schon mal ein Man-in-the...

Anonymer Nutzer 29. Dez 2014

Oder der Angreifer baut eine Kaskade an gekaperten Konten auf, wovon welche schwach...

Koto 28. Dez 2014

Also ist die Chance eben gering. Sorry für mich geht es nicht darum ob es gemacht wird...



Aktuell auf der Startseite von Golem.de
Kanadische Polizei
Diebe nutzen Apples Airtags zum Tracking von Luxuswagen

Autodiebe in Kanada nutzen offenbar Apples Airtags, um Fahrzeuge heimlich zu orten.

Kanadische Polizei: Diebe nutzen Apples Airtags zum Tracking von Luxuswagen
Artikel
  1. Blender Foundation: Blender 3.0 ist da
    Blender Foundation
    Blender 3.0 ist da

    Die freie 3D-Software Blender bekommt ein Update - wir haben es uns angesehen.
    Von Martin Wolf

  2. 4 Motoren und 4-Rad-Lenkung: Tesla aktualisiert Cybertruck
    4 Motoren und 4-Rad-Lenkung
    Tesla aktualisiert Cybertruck

    Tesla-Chef Elon Musk hat einige Änderungen am Cybertruck angekündigt. Der elektrische Pick-up-Truck wird mit vier Motoren ausgerüstet.

  3. DSIRF: Hackerbehörde Zitis prüft österreichischen Staatstrojaner
    DSIRF
    Hackerbehörde Zitis prüft österreichischen Staatstrojaner

    Deutsche Behörden sind mit mehreren Staatstrojaner-Herstellern im Gespräch. Nun ist ein weiterer mit Sitz in Wien bekanntgeworden.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Advent: SanDisk Ultra 3D 1 TB 77€ • KFA2 Geforce RTX 3070 OC 8GB 1.019€ • Alternate (u. a. AKRacing Core SX 269,98€) • Sharkoon PureWriter RGB 44,90€ • Corsair K70 RGB MK.2 139,99€ • 2x Canton Plus GX.3 49€ • Gaming-Monitore günstiger (u. a. Samsung G3 27" 144Hz 219€) [Werbung]
    •  /