16th - Mrz - 2017

Zwei-Faktor-Authentifizierung mithilfe von SMS – immer noch die beste Sicherheit für Online-Dienste

Graphic of a trophy resting on top of a book next to an apple

Begünstigt durch die Cloud sind Online-Business und persönliche Dienstleistungen allgegenwärtig. Und alles, was wir online machen, erfordert eine Registrierung und dann eine Anmeldung. Unsere Identität (in Form von Benutzernamen oder E-Mail und Kennwort) wird immer wieder als Zugang zur Ausführung einer ständig wachsenden Zahl von Funktionen ins Spiel gebracht. Alles ist erlaubt, von Geschäftsanwendungssoftware bis zu wichtigeren Diensten wie Online-Banking.

Aktuelle Untersuchungen von Centrify weisen darauf hin, dass mehr als jeder Vierte von uns ein Passwort mehr als 10-mal am Tag oder 3.500 bis 4.000-mal pro Jahr online eingibt. Tatsächlich sagen 42 Prozent der Befragten in Großbritannien und 37 Prozent in den USA, dass sie mehr als 50 neue Kontoprofile pro Jahr anlegen.

Daran lässt sich erkennen, dass die Online-Identität eine Herausforderung ist. Bei Benutzern gibt es eine Tendenz dahingehend, den Prozess zu vereinfachen, indem derselbe Benutzername und dasselbe Kennwort verwendet werden, wodurch es für Betrüger einfach ist, mit einem einzigen Computerhacking gleich Zugriff auf mehrere Konten zu erhalten.

Es besteht eindeutig ein echter Bedarf, eine zusätzliche Sicherheitsebene oder Benutzerauthentifizierung für eine Vielzahl von Online-Diensten hinzuzufügen. Die Kombination von etwas, das Sie wissen (z. B. Benutzername / Kennwort), mit etwas, das Sie besitzen (Telefon, physisches Token), ist deutlich sicherer, da dies nicht einfach aus der Ferne ausgenutzt werden kann. Als solche wurde die Zwei-Faktor-Authentifizierung (2FA) seit Jahren als die Antwort auf Bedenken beim Online-Zugang angesehen.

Sie erfordert von Benutzern die Verwendung sowohl von etwas, das sie wissen, (z. B. ein Kennwort) und etwas, das Sie besitzen (z. B. ein Mobiltelefon). Nach Eingabe eines Kennworts wird ein zweiter Code (in der Regel eine Zufallszahl) mittels SMS an das mobile Gerät des Benutzers gesendet, und erst nachdem er diese eingibt, erhält ein Benutzer Zugriff auf einen bestimmten Dienst.

Gmail von Google, LinkedIn, PayPal, Evernote, Dropbox und viele andere haben alle die Zwei-Faktor-Authentifizierung als Standardfunktion integriert.

Das Hinzufügen dieser zweiten Schutzschranke ist von wesentlicher Bedeutung, und als bester Weg, die zu tun, wurde der Einsatz eines per SMS versendeten Einmal-Zugangscodes angesehen. In der Tat stammen bis zu 20 Prozent aller A2P(Anwendung zu Person)- Nachrichtenübermittlungen auf dem CLX-Netzwerk von der Authentifizierung. Banken, soziale Netzwerke und andere haben das Verfahren eindeutig als wirksam erkannt.

Aber im Jahr 2016 stellte sich heraus, dass SMS-2FA fehlbar war. Eine Mitteilung vom Nationalen Institut für Wissenschaft und Technologie (NIST) in den USA hob hervor, dass es Mängel in 2FA per SMS-Nachrichten gefunden hatte, und sagte, dass es diese Risiken prüfen würde und SMS in zukünftigen Standards „ablehnen“ könnte.

Das NIST war insbesondere darüber besorgt, dass Hacker Schwachstellen im SS7-Protokoll ausnutzen könnten, mit dem Betreiber das Roaming in ihren Netzwerken ermöglichen. In einigen sehr anspruchsvollen Fällen können Hacker das Telefonnetz dahingehend täuschen, dass es denkt, ein Gerät ist ein anderes Netzwerk, und somit das Abfangen einer 2FA-SMS ermöglicht wird.

Theoretisch könnte dies der Fall sein, aber wenn wir ein paar Schichten ablösen, ist es offensichtlich, dass das Risiko stark übertrieben dargestellt wurde. In Wirklichkeit wären die einzigen Leute, die diesen SS7-Protokoll-Fehler in größerem Maßstab wiederholt ausnutzen könnten, betrügerische Mitarbeiter eines Betreibers eines GSM-Netzes – das Äquivalent eines Facebook-Mitarbeiters, der auf Ihr Facebook-Konto zugreift.

Viele Kritiker von SMS für 2FA ignorieren die wirklichen Schwächen von SS7 und verweisen stattdessen auf Beispiele von SIM-Austausch-Vorfällen, bei denen der Angreifer einen Netzbetreiber überzeugt, eine Ersatz-SIM-Karte bereitzustellen oder eine Nummer zu einem anderen Mobilfunkanbieter zu portieren, als Beweis dafür, dass SMS nicht zur 2FA verwendet werden sollte. Obwohl diese Exploits sehr reell sind, stellen sie keine Schwächen der SMS, sondern eher Schwächen von Geschäftsprozessen und Kontrollen dar. Netzbetreiber sind nicht die einzigen Unternehmen, die unter diesen Schwächen leiden, und es gibt viele Beispiele von Social-Engineering, das zum Zugriff auf Domänennamen-Registrierungsstellen, E-Mail-Anbieter und Konten sozialer Medien eingesetzt wurde, um nur einige zu nennen.

Die Reaktion zuungunsten von SMS ignoriert die Tatsache, dass es in der Regel sicher ist und – ganz wichtig – dass sich Benutzer daran gewöhnt haben, weil es bequem und allgegenwärtig ist.

Außerdem ist es wichtig, realistisch zu bleiben und die bestmögliche Sicherheit zu bieten, die von Personen auch tatsächlich angenommen wird. Mit anderen Worten, es gibt immer eine Abwägung zwischen Sicherheit und Benutzerfreundlichkeit. In dieser Hinsicht ist die 2FA mit SMS für die überwiegende Mehrheit der Online-Dienste die beste Möglichkeit, die wir haben. Bei der Betrachtung realistischer Alternativen zu SMS wie „Zeitbasiertes Einmal-Kennwort“(Time-based One-Time Password, TOTP)-Applikationen, scheint der Beweis klar zu sein, dass es sehr unwahrscheinlich ist, einen normalen und technisch nicht bewanderten Benutzer zum Herunterladen einer unterschiedlichen App für jeden Online-Dienst zu bewegen, und die Alternative daher ein Rückschritt zum System mit Benutzernamen und Kennwort ist.

Anstatt die SMS als Sicherheitsstandard abzulehnen, sollte die Lösung darin bestehen, die bekannten SS7-Schwachstellen zu beheben, statt die Nutzung von SMS zur 2FA zu verhindern. Dies ist etwas, was viele Betreiber tun, indem sie SS7-Firewalls installieren, um diese und andere Risiken wie graues Routing zu entschärfen.

Während es immer möglich ist, Schlupflöcher im System zu schließen, ist es viel schwieriger, der Neigung von Menschen zu begegnen, „hereingelegt“ zu werden. Es ist eine Tatsache, dass das Social-Engineering – und nicht technische Hacks – hinter den meisten Angriffen steht. Kriminelle, die einen Mitarbeiter im Netzwerk-Callcenter überreden, die ursprüngliche SIM zu deaktivieren oder zu portieren und eine neue zur Verfügung zu stellen. Oder das Phishing bei Benutzern mittels einer gefälschten Textnachricht oder E-Mail mit dem Ziel, den Verbraucher zur Preisgabe persönlicher Daten wie Bankverbindung oder Kennwörter für Online-Dienste zu bewegen, indem zur Tarnung eine Marke verwendet wird, die der Verbraucher kennt (wie ihre Bank). In der jüngsten CLX MEF-Konsumentenuntersuchung haben wir beispielsweise festgestellt, dass im vergangenen Jahr 33 Prozent der mobilen Nutzer eine Phishing-Nachricht erhalten haben. Die Netzbetreiber müssen die Kontrollen zu verschärfen, um sicherzustellen, dass diese Exploits beseitigt werden, da diese Probleme über SMS und 2FA hinausgehen.

Es ist in der Tat die Zwei-Faktor-Authentifizierung, die bei der Verringerung dieser Angriffe helfen kann, weil durch sie der Zugriff so viel schwieriger wird als lediglich zu probieren, sich den Benutzernamen oder das Kennwort einer Person zu verschaffen.

Autor: Rob Malcolm, VP Marketing & Online-Sales bei CLX Communications

Signup for Blog Updates