Warum Zwei-Faktor-Autorisierung nicht ausreicht

19 Mai 2017

Das übliche Argument bezogen darauf, ob „Sie wirklich eine Antivirussoftware benötigen“ lautet meistens wie folgt:

— Ich brauche keine Antivirussoftware! Ich habe Nichts, was mir geklaut werden könnte! Viren? Ransomware? Los, infiziert mich! Ich installiere das Betriebssystem einfach neu und habe nichts zu verlieren— es gibt nichts Wertvolles auf meinem Computer.

— Aber Sie haben ein Bankkonto, oder? Sie kaufen online ein, oder etwa nicht?

— Na und, die Bank hat Zwei-Faktor-Autorisierung. Das schützt mich. Sogar wenn Hacker meine Kartennummer stehlen, können sie mein Geld nicht abheben.

Es sieht so aus, als könnten sie es doch. Erstens nutzt nicht jeder Online-Shop 3D-Sicherheitsschutz, was heißt, dass nicht jede Transaktion eine Bestätigung per SMS-Nachricht mit einem Code benötigt. Sogar der CVC-Code (die drei Zahlen auf der Kartenrückseite) ist keine Garantie gegen Missbrauch— nicht alle Transaktionen fordern diesen ein.

Hacker können ebenfalls die SMS-Nachrichten, die eine Bank sendet, abfangen und den Bestätigungscode nutzen, um den vollständigen Zugang zu einem Konto zu erhalten. Vor kurzem wurde eine wesentliche Geldsumme von unglückseligen Nutzern in Deutschland genau auf diese Weise gestohlen. Werfen wir einen näheren Blick darauf, wie es passiert ist.

Why two-factor authentication via SMS is not enough

SS7: Ein Loch im Telefon

SMS-Nachrichten abzufangen ist aufgrund von Schwachstellen in einer Serie von Telefonsignal-Protokollen möglich, die man als SS7 (also Signaling System 7, bzw. Common Channel Signaling System 7) bezeichnet.

Diese Signalisierungs-Protokolle sind das Basisnetz des modernen Telekommunikationssystems; sie sind dafür entworfen, alle Serviceinformationen innerhalb eines Telefonnetzwerkes zu übertragen. Sie wurden schon in den 70iger Jahren entwickelt und zum ersten Mal in den 80igern verwendet und seitdem sind sie zum weltweiten Standard geworden.

Anfänglich wurden SS7-Protokolle für Festnetztelefone entworfen. Die Idee dahinter war, physisch die Stimm- und  Servicesignale zu trennen, indem man sie auf verschiedene Kanäle übertrug. Dadurch wollte man auch den Schutz gegen Telefon-Eindringlinge mithilfe von speziellen Kästen verstärken, um die Tonsignale zu imitieren, die man gleichzeitig zur Übertragung von Serviceinformationen innerhalb des Telefonnetzwerkes nutzte. (Ja, dieselben Kästen, an denen Steve Jobs und Steve Wozniak damals auch herumwerkten— aber das ist eine andere Geschichte.)

Dieselbe Protokoll-Serie wurde später bei mobilen Netzwerken eingeführt. Zwischendurch haben die Entwickler eine Reihe an Funktionen hinzugefügt. Unter Anderem wird SS7 dafür verwendet, SMS-Nachrichten zu übertragen.

Aber Internetsicherheit war vor fünfzig Jahren kein Thema— zumindest nicht für zivile Technologien. Leistungsfähigkeit war gefragt, weshalb wir heute das leistungsstarke aber unsichere Signaling System 7 haben.

Der größte Schwachpunkt dieses Systems (den es mit vielen anderen Systemen teilt, die damals entworfen wurden) ist, dass es auf Vertrauen basiert. Man ging davon aus, dass nur Netzwerk-Betreiber Zugriff darauf hätten und von denen nahm man an, dass sie die guten Jungs waren.

In letzter Zeit wird das Niveau der Systemsicherheit jedoch anhand des am wenigsten geschützten Mitglieds gemessen. Falls einer der Betreiber gehackt wird, ist das ganze System gefährdet. Das ist auch der Fall, wenn irgendein Netzwerkadministrator, der für einen dieser Betreiber arbeitet, beschließt, seine Bevollmächtigung zu übergehen und SS7 für seine eigenen Zwecke zu nutzen.

Der SS7-Zugang kann es jemandem ermöglichen, Unterhaltungen abzuhören, den Nutzer zu orten und SMS-Nachrichten abzufangen, weshalb es kein Wunder ist, dass sowohl Geheimdienste verschiedener Länder als auch Kriminelle aktive Nutzer von unautorisiertem SS7-Zugang sind.

Wie der Angriff tatsächlich durchgeführt wurde

Im Falle des neuesten Angriffs in Deutschland lief es wie folgt ab:

1. Nutzercomputer wurden mit Bankingtrojanern infiziert. Es ist sehr leicht, von einem Trojaner infiziert zu werden, wenn man keine Sicherheitslösung verwendet. Diese können ohne offenkundige Anzeichen im Hintergrund agieren und es kann sein, dass Nutzer diese nicht bemerken.

Unter Verwendung des Trojaners raubten die Hacker Bankanmeldedaten und Passwörter. (Natürlich ist der Diebstahl solcher Daten in den meisten Fällen nicht genug— der Bestätigungscode von der Bank, der per SMS gesendet wird, ist auch notwendig.)

2. Anscheinend wurde derselbe Trojaner dafür genutzt, die Telefonnummern der Nutzer zu stehlen. Diese Angabe wird meistens gefordert, wenn man online einkauft und ist nicht schwierig zu stehlen. Danach hatten die Gauner beides, die Angaben, um auf das Bankkonto des Nutzers zuzugreifen und deren Mobiltelefonnummern.

3. Die Verbrecher nutzten die gestohlenen Bankanmeldedaten, um mit der Geldüberweisung auf ihr eigenes Bankkonto zu beginnen. Danach, mit dem Zugang auf das SS7 von Seiten eines ausländischen Trägers, leiteten sie die SMS-Nachrichten, die an diese Telefonnummer gesendet wurden, auf ihr eigenes Telefon weiter und erhielten die Bestätigungscodes, die sie brauchten, um die Anmeldung und die Geldüberweisung zu vervollständigen. Die Bank hatte keinen Grund, einen möglichen Verstoß zu ahnen.

Der deutsche Träger, dessen Kunden von diesem Angriff geschädigt wurden, bestätigte den  Fall. Der ausländische Träger, dessen SS7-Netzwerkzugang man für den Angriff verwendete, wurde blockiert und die Betroffenen informiert. Wir wissen nicht, ob sie ihr Geld zurückbekommen haben.

Brauchen Sie immer noch keine Antivirussoftware?

Zwei-Faktor-Autorisierung wird normalerweise als solide Sicherheit angesehen— falls niemand außer Ihnen Zugang zu ihrem Mobiltelefon hat, wer sollte da die Nachrichten auf diesem lesen?  Na ja, jeder, der Zugang zu dem SS7-System hat und der daran interessiert ist, Ihre SMS-Nachrichten zu verwenden, um an Ihr Geld zu kommen.

Was können Sie tun, um eine richtige Zwei-Faktor-Autorisierung einzubauen und sich vor ähnlichen Angriffen wie dem, der hier beschrieben wurde, zu schützen? Hier sind zwei Tipps.

  • Verwenden Sie eine gute Sicherheitslösung auf jedem Gerät. Leider kann es sein, dass Banken keine alternativen Zwei-Faktor-Autorisierungen nutzen; manche senden Bestätigungen nur per SMS und dann ist Ihre einzige Hoffnung eine starke Sicherheitslösung. Im Falle des oben beschriebenen Angriffs hätte eine gute Antivirussoftware von Anfang verhindert, dass der Trojaner den Computer infizierte, und die Bankangaben wären nie gestohlen worden. An diesem Punkt wäre es egal, ob jemand Zugang zu Ihren SMS hat.