In der Welt der digitalen Sicherheit wird Zwei-Faktor-Authentifizierung (2FA) oft als das Nonplusultra für sicheren Zugang zu Accounts angepriesen. Doch aktuelle Forschungen des Chaos Computer Clubs (CCC) zeigen, dass der gute alte SMS-Code viel weniger sicher ist als wir vielleicht dachten. Hier ein Blick auf die neuesten Erkenntnisse und was sie für Ihre Sicherheitsstrategie bedeuten können.

Was ist Zwei-Faktor-Authentifizierung (2FA) und warum SMS?

Zwei-Faktor-Authentifizierung ist wie der zusätzliche Sicherheitsriegel an Ihrer Haustür: Neben Ihrem Passwort (dem ersten Faktor: Wissen) wird ein zweiter Code benötigt, den Sie per SMS (dem zweiten Faktor: Besitz) erhalten. Dieser zusätzliche Schritt soll sicherstellen, dass nicht nur jemand Ihr Passwort kennt, sondern auch Zugang zu Ihrem Telefon hat.

Aber so sicher, wie es scheint, ist die SMS-basierte 2FA nicht immer. Das zeigt die jüngste Entdeckung des CCC.

SMS als Sicherheitsmethode: Ein zweischneidiges Schwert

SMS-2FA sollte dazu beitragen, Ihre Accounts zu schützen. Doch was als sicher gilt, ist in der Realität anfällig für diverse Angriffe. SIM-Swapping, bei dem Angreifer Ihre Telefonnummer auf eine neue SIM-Karte umschreiben, und SS7-Angriffe, die es Angreifern ermöglichen, in das Mobilfunknetz einzugreifen, sind nur zwei der vielen Methoden, wie SMS-Codes abgefangen werden können. Schon 2013 warnte der CCC davor, SMS als zweiten Sicherheitsfaktor zu nutzen.

Der neue Sicherheits-Albtraum: Echtzeit-SMS-Zugriff

Der CCC hat kürzlich eine erhebliche Sicherheitslücke entdeckt. Die Sicherheitsforscher fanden heraus, dass der SMS-Dienstleister IdentifyMobile Einmalpasswörter und andere sensible Daten in Echtzeit online verfügbar machte. Diese Daten wurden von über 200 Unternehmen weltweit genutzt, darunter bekannte Namen wie Google, Amazon und Microsoft.

Durch einfaches Erraten der Subdomain „idmdatastore“ konnten die Forscher Zugang zu über 198 Millionen SMS-Nachrichten erhalten. Das beinhaltete nicht nur SMS-Codes, sondern auch Rufnummern, Absendernamen und teilweise zusätzliche Account-Informationen. Dies hätte es ermöglicht, WhatsApp-Nummern zu übernehmen, Finanztransaktionen durchzuführen oder sich bei verschiedenen Diensten einzuloggen, wenn auch nicht ohne das Passwort.

Wie konnte das passieren?

IdentifyMobile, der Dienstleister für SMS-2FA, hat in einem Live-Feed die versendeten Nachrichten online geteilt. Diese gravierende Nachlässigkeit ermöglichte es dem CCC, auf Daten zuzugreifen, die für die Authentifizierung von Nutzer*innen verwendet wurden. Die Sicherheitslücke verdeutlicht, dass die Sicherheit von 2FA-SMS nicht nur von der Methode selbst abhängt, sondern auch von der Sicherheitsstärke der Dienstleister.

Was bedeutet das für Sie?

Während SMS-2FA immer noch sicherer ist als die alleinige Verwendung von Passwörtern, ist es nicht die beste Methode für die Zwei-Faktor-Authentifizierung. Bessere Alternativen sind Einmalpasswort-Apps wie Google Authenticator oder Hardware-Token wie YubiKey, die nicht über das Mobilfunknetz laufen und somit weniger angreifbar sind.

Was können Sie tun?

• Nutzen Sie App-basierte 2FA: Verwenden Sie Apps wie Google Authenticator oder Authy für die Generierung von Einmalpasswörtern.
• Setzen Sie auf Hardware-Token: Diese kleinen Geräte bieten eine zusätzliche Sicherheitsebene ohne SMS.
• Seien Sie vorsichtig bei Links in SMS: Achten Sie darauf, keine Links aus SMS zu klicken und geben Sie Codes nur in vertrauenswürdigen Anwendungen ein.

Fazit: 2FA-SMS ist besser als nichts, aber…

2FA-SMS hat sicherlich seinen Platz in der Welt der Sicherheitsmaßnahmen, aber die aktuellen Enthüllungen des CCC zeigen klar, dass es nicht die goldene Lösung ist, die wir manchmal annehmen. Die Sicherheitslücke bei IdentifyMobile ist ein Weckruf, dass auch bewährte Sicherheitsmaßnahmen Schwächen haben können.

Sicherheit ist ein fortlaufender Prozess und kein einmal abgeschlossener Zustand. Es lohnt sich, regelmäßig die besten verfügbaren Sicherheitsmethoden zu überprüfen und gegebenenfalls anzupassen.

Bleiben Sie sicher, und denken Sie daran: Ein zweiter Faktor ist besser als keiner – aber manchmal lohnt es sich, einen besseren Faktor zu wählen!

Zweiter Faktor SMS: Noch schlechter als sein Ruf