Der Standard selbst ist sicher – die Schwäche liegt bei der Übermittlung!
Dass Passwörter wie „1234Passwort“ nicht sicher sind, sollte mittlerweile allgemein bekannt sein. Die Zwei-Faktor-Authentifizierung (2FA) gilt als Goldstandard, um Logins vor unberechtigten Zugriffen zu schützen. Dennoch hat sich dieser Standard in vielen kleinen und mittleren Unternehmen (KMUs) noch nicht durchgesetzt, obwohl wir immer wieder von Hacks hören. Oft wird die Bequemlichkeit als Argument angeführt. Doch auch der Goldstandard hat eine Schwäche. Diese liegt nicht an der 2FA selbst, sondern an der Wahl der Übermittlungsmethode. Systeme, die den 2FA-Schlüssel per SMS übermitteln, sind nicht sicher. Warum das so ist und was Sie dagegen tun können, zeigen wir in diesem Artikel auf.
Warum sind SMS kein sicherer Kanal für die Übermittlung eines 2FA-Schlüssels?
Es liegt am SS7-Protokoll, das bei der Übermittlung über das Mobilfunknetzwerk zum Einsatz kommt. Dieser Standard stellt die Kommunikation zwischen verschiedenen Betreibern sicher und wird in 2G- und 3G-Netzwerken verwendet. Generell nutzen Smartphones häufig die alten Netzwerkstandards, um den Empfang sicherzustellen oder weil sie mit einem Gerät kommunizieren, das diesen Standard verwendet. Entsprechend ist es zurzeit nicht möglich, als Handybesitzer, das SS7-Protokoll zu umgehen.
Wo liegt die Schwäche des SS7-Protokolls?
- Hacking
- Hacking eines Providers: Ein kleiner, schlecht vor Cyberattacken geschützter Betreiber kann gehackt werden. Anschliessend kann der Zugang dieses Providers verwendet werden.
- Hacking des Protokolls: Schwachstellen im SS7-Protokoll können ausgenutzt werden.
- Einkauf
Es gibt Provider, die den Zugang zum SS7-Protokoll verkaufen. Bei diesen kann man sich den Zugang für die passende Summe kaufen.
Was kann man mit dem Zugang alles machen?
Die Möglichkeiten sind beschränkt, aber die Kreativität der Angreifer ist grenzenlos.
- Möglichkeiten
- SMS und Telefonanrufe
Diese können mitgehört bzw. mitgelesen werden. Weiter können die Anrufe und SMS komplett umgeleitet werden, sodass sie beim eigentlichen Empfänger gar nicht erst ankommen. - Location
Es ist möglich, das Smartphone zu orten. Dies geschieht nicht über GPS, sondern über die Funkmasten, in die das Gerät eingeloggt ist. Besonders in einer Zone mit vielen Funkmasten kann dies sehr präzise erfolgen.
- SMS und Telefonanrufe
- Einsatz
- 2FA
Ich kann nun Accounts über die Handynummer zurücksetzen und mich in diese einloggen, ohne dass der echte Adressat dies überhaupt mitbekommt. Dies, da die SMS ja nie bei diesem ankommen. - Social-Engineering
Ich kann nicht nur im Namen des Adressaten Anrufe tätigen, sondern diese auch annehmen. Ich kann also zum Beispiel eine grosse Zahlung von der Nummer eines Vorgesetzten in Auftrag geben und von einem anderen bestätigen lassen. Dies mit zusätzlicher KI-Stimmensimulation. Wenn wir den Aspekt Zeitdruck noch hinzunehmen, sind die Möglichkeiten für den Hacker, an Daten und Geld zu kommen, endlos.
- 2FA
Ist es nötig, Zugriff auf das Smartphone zu haben?
Nein, ein Zugriff auf das Smartphone ist nicht erforderlich. Es ist lediglich die Nummer des Zieles sowie der Code der SIM-Karte erforderlich. Dies bedeutet, dass ich als potenzielles Opfer nicht direkt etwas gegen diese Form des Angriffs unternehmen kann.
Wie kann ich mich teilweise schützen?
- 2FA
Nutzen Sie eine Applikation wie den Google Authenticator, Facebook Authenticator etc. Diese arbeiten nicht mittels SMS und sind verschlüsselt. Damit sind Angriffe über SS7 nicht möglich. - Unterbinden von Mithören von SMS und Anrufen
Nutzen Sie verschlüsselte Dienste für Nachrichten und Anrufe wie WhatsApp, Threema, Signal etc.
Wie löst die awesome.cloud das Problem für das 2FA-Login?
- Partnerebene
Die awesome.cloud nutzt auf der Partner-Ebene eine 2FA, die mit den gängigen Authenticator-Apps von Google, Facebook, Microsoft und Co. funktioniert. - Kundenebene User
Hier kann die 2FA aktiviert werden. Es wird in jedem Fall die Lösung von Duo verwendet, ein Authenticator, der sehr anwenderfreundlich ist. Wird die 2FA im System aktiviert, erhält der User eine Einladung und wird durch die Aktivierung geführt. Wie bei allen Leistungen können Sie im System Ihre Marge für die 2FA generell und pro Kunde individuell definieren.
Das System ist also generell auf der sicheren Seite und durch die Sicherheitslücke SS7 nicht direkt beeinträchtigt. Wenn über Kombinationen mit Social-Engineering das Handy selbst gehackt wird, hilft die beste Lösung nichts.
Quellen und spannender YouTube-Beitrag zum Thema
- The Guardian
SS7 hack explained: https://www.theguardian.com/technology/2016/apr/19/ss7-hack-explained-mobile-phone-vulnerability-snooping-texts-calls - Veritasium – YouTube
SS7 Hack explained https://www.youtube.com/watch?v=wVyu7NB7W6Y&list=TLPQMDcxMDIwMjSGv6lCjmU0BQ&index=2