Der Einsatz der SMS-Codes zur Authentifizierung von Benutzern hat zwar schon längst seinen Zenit überschritten, trotzdem wird diese Methode auf der ganzen Welt in verschiedensten Industrien als vermeintlich sicherer 2FA Login eingesetzt. Auch wird diese Methode gerade in der Finanzdienstleistungsindustrie oder im Gesundheitssektor vom Regulator als noch sicher eingestuft. Dies erstaunt angesichts der bekannten Sicherheitsrisiken und der ansteigenden Cyberattacken. 

Bereits im Juni 2017 publizierte das National Institute of Standards and Technology (NIST) Richtlinien zur digitalen Identität. In dieser Sonderveröffentlichung (800-63B) riet NIST dringend davon ab, SMS-Codes zur Authentifizierung zu verwenden. Dies kommt nicht von ungefähr… Diverse Unternehmen wie z.B. die britische Metro Bank, Google oder Yahoo wurden Opfer von Cyberattacken, bei denen über SMS versendete Codes betroffen waren. 

Die Sicherheitsrisiken rund um SMS sind vielseitig und können grob in drei Kategorien unterteilt werden: lokale Angriffe, Angriffe via Mobilfunk Provider und Angriffe via eigenem Smartphone. 

Lokale Angriffe

Der Versand und die Zustellung von SMS-Nachrichten basiert noch heute auf einem Kommunikationsprotokoll aus dem Jahr 1975, das Signalling System 7 (SS7). Befindet sich ein Angreifer in der Nähe des nächstgelegenen Funkmastes oder des Geräts des Opfers, dann ist dank dieses veralteten Protokolls ein Abfangen einer versendeten SMS-Nachricht in Echtzeit problemlos möglich.

Mobilfunk Provider Angriffe

Mobilfunkverbindungen innerhalb der Schweiz sind sicher. Jedoch gilt das nicht immer für Verbindungen im Ausland. Die Standards der Verschlüsselungen der Mobilfunknetze sind von Land zu Land sehr unterschiedlich und machen es Angreifern einfach Nachrichten abzufangen.. Sprich, wenn sich ein Benutzer im Ausland auf seine E-Banking Plattform einloggen will, besteht potentiell ein erhöhtes Risiko.

Auch gelingt es den Angreifern oft mit gestohlenen Informationen durch Social Engineering via Mobilfunk Provider in den Besitz einer SIM Karte zu gelangen. Bis das Opfer einen Missbrauch erkennt, ist es meistens zu spät. Diese sogenannten “SIM-Swapping” Attacken verlaufen meist sehr schnell. Weitere Details verrät Dr. Security in diesem Blog-Post.

Smartphone Angriffe

Eines der grössten Risiken verbirgt sich oft auf dem eigenen Smartphone. Beispielsweise kommt es häufig vor, dass ein Kind ein Spiel auf dem Smartphone seiner Eltern installiert. Was wahrscheinlich weniger bekannt ist, ist, dass diese App empfangene SMS-Nachrichten im Hintergrund mitlesen kann. Darum Vorsicht beim Installieren von Apps! Überprüfen Sie den Entwickler der Anwendung, indem Sie die Herkunft und die Bewertungen sorgfältig studieren. Nicht nur Spiele Apps, sondern auch Kryptowährungs-Apps sind beliebte “Trojanische Pferde” bei dieser Art von Angriffen.

Ein weiterer, wenn auch nicht direkt damit zusammenhängender, weit verbreiteter Angriff, der sich SMS-Nachrichten zunutze macht, sind die so genannten "Smishing"-Angriffe (analog zum Phishing per E-Mail): Kriminelle nutzen SMS-Nachrichten, um das Opfer aufzufordern, sich auf einer speziell gestalteten Website einzuloggen, um sensible persönliche Daten (wie z.B. Zugangsdaten zum E-Banking) zu sammeln. Die Nachrichten erwecken den Eindruck, als stammen sie von einer vertrauenswürdigen Stelle (z.B. wenn sie vorgeben, vom Postzustelldienst über eine bestimmte Paketzustellung zu kommen). Leider funktionieren diese Angriffe oft sehr gut, da das Vertrauen in SMS-Nachrichten, die auf den eigenen Smartphones empfangen werden, in der Regel viel höher ist als in E-Mails.

Airlock 2FA - Starke Authentifizierung. Einfach.

Doppelte Sicherheit – das bietet die Zwei-Faktor-Authentifizierung (kurz 2FA, MFA oder SCA) im Bereich IT-Security. In Kombination mit einem leistungsstarken Customer Identity- & Access Management (cIAM) werden zusätzlich viele Prozesse wesentlich vereinfacht. 

Erfahren Sie in unserem Whitepaper mehr über starke Authentifizierung und die Möglichkeiten, die Airlock bietet.

Whitepaper 2FA anfordern

Teuer und Unterbrechung der Kontrollkette

Es ist nicht nur der Sicherheitsaspekt, der Unternehmen von der Verwendung von SMS-Nachrichten abhalten sollte, sondern es spielen auch andere Faktoren eine Rolle, die berücksichtigt werden sollten. Die Nutzung von SMS ist im Allgemeinen sehr teuer, da für jede einzelne versendete SMS Kosten anfallen.

Es gibt auch keine Kontrolle darüber, ob eine SMS tatsächlich oder bis wann sie zugestellt wird. Ebensowenig ob sie vom Benutzer tatsächlich gelesen wird. Vor allem in Teilen Asiens ist der Versand von SMS oft schwierig, da die Anbieter die Zustellung blockieren oder verzögern. Die Verwendung von SMS verhindert auch Einblicke in das Nutzerverhalten: War das Telefon des Benutzers an einem sicheren Ort, als er mit der Website interagierte? War die SMS durch eine lokale Telefon-Authentifizierung (wie Fingerabdruck oder Faceid) geschützt, oder konnte jedermann allein durch einen Blick auf den Bildschirm des Telefons den SMS-Code vorlesen?

Und schliesslich liegt die Beweislast im Falle eines Missbrauchs gemäss vielen Geschäftsbedingungen der Unternehmen beim Benutzer, was eigentlich nicht fair ist: Es wird extrem schwierig zu verstehen, was im Falle von Angriffen passiert ist.

Win-Win für Unternehmen und Benutzer

Die Nutzung von SMS-Codes für Portal-Logins ist zwar noch immer sicherer als kein 2FA einzusetzen, dennoch gibt es heute verschiedenste alternative Authentisierungsmethoden, die nicht nur sicherer sondern auch benutzerfreundlicher sind und den Unternehmen einen viel besseren Einblick in das Verhalten ihrer eigenen Nutzer geben. Futurae bieten eine Vielzahl von Authentisierungs-Methoden, die den Unternehmen volle Flexibilität bieten: von Hardware über neuartige softwarebasierte Lösungen bis hin zum Schutz vor Social-Engineering-Angriffen. Darüber hinaus ermöglicht Futurae eine schnelle und unkomplizierte Integration in die bestehende Infrastruktur und senkt zudem die Gesamtbetriebskosten. Nicht nur teure SMS-Kosten fallen weg, sondern auch die oft damit verbundenen Helpdesk Anrufe im Problemfall. SMS-Codes, die nie - oder beim Hacker - ankommen, gehören der Vergangenheit an!

Dies ist ein Gastbeitrag von Futurae.

Zum Original-Artikel

Blognews direkt in Ihr Postfach

Der Airlock Newsletter informiert Sie laufend über neue Blogartikel.

Blognews abonnieren

Weitere interessante Artikel

2FA

Ermittlung des optimalen zweiten Faktors - Die Nadel im Heuhaufen schon gefunden?

2FA

Sicherheit konkret - 2FA in der Industrie

2FA

3 Schritte, um die passwortlose Authentifizierung voranzutreiben und Passwörter für immer auszulöschen - Teil 2

Wir informieren Sie

-Unsere Whitepaper-

Whitepaper Agile Sicherheit

Lesen Sie in unserem Whitepaper, das wir mit unserem Gold Partner Knowledge Lab AG erstellt haben, wie Sie agile Security so dynamisch wie Ihr Unternehmen selbst gestalten können. Erfahren Sie, wie die V-Bank AG den Weg in eine agile und sichere Welt geschafft hat

Jetzt Formular ausfüllen und Whitepaper erhalten!

Studie Application- und API-Security 2022

Ergon Airlock hat sich in einer aktuellen Studie in Zusammenarbeit mit CIO, CSO und COMPUTERWOCHE mit der Application und API-Security im Container Umfeld auseinander gesetzt.

Studie anfordern

Zero Trust ist eine Reise

Die kontinuierliche digitale Transformation der Welt schreitet voran und wirkt sich tiefgreifend auf das Privat- und Berufsleben in einer Weise aus, die vor wenigen Jahren noch schwer vorstellbar war.

Dieses Whitepaper behandelt die Effekte der kontinuierlichen Digitalisierung und ihre Auswirkungen.

Kostenlos anfordern

Auf zu DevSecOps

Erfahren Sie in diesem Whitepaper die wichtigsten Erkenntnisse, wie Sie DevSecOps erfolgreich und effizient umsetzen können, welche Sicherheitskomponenten es dafür braucht und welche Vorteile eine Microgateway Architektur bringt.

Kostenlos anfordern

Airlock 2FA - Starke Authentifizierung. Einfach.

Doppelte Sicherheit – das bietet die Zwei-Faktor-Authentifizierung im Bereich IT-Security.

Erfahren Sie in unserem Whitepaper mehr über starke Authentifizierung und die Möglichkeiten, die Airlock bietet.

Kostenlos herunterladen

Weitere Whitepaper

Zu diesen und weiteren Themen stellen wir Ihnen kostenlos Whitepaper zur Verfügung:

  • erfolgreiche IAM Projekte
  • Compliance
  • Datenschutz (DSGVO)
  • Einführung von PSD2
  • PCI DSS Anforderungen
Kostenlos anfordern