Zwei-Faktor-Authentifizierung per SMS

Login, User, cyber security in two-step verification, identification information security and encryption, Account Access app to sign in securely or receive verification codes by email or text message.

Vielleicht haben Sie es schon mitbekommen: Seit März 2023 macht Twitter seine Zwei-Faktor-Authentifizierung nur noch gegen Bezahlung für die Nutzer und Nutzerinnen verfügbar. Diese Meldung sorgte natürlich für Aufsehen und kam nicht unbedingt positiv an. Dabei ist die SMS nicht unbedingt sicher.

Die Probleme bei Zwei-Faktor-Authentifizierung per SMS

Die Zwei-Faktor-Authentifizierung – oder kurz: 2FA – dient dem Schutz von Accounts und Konten. Statt nur den Benutzernamen und ein Passwort als Zugangsdaten zu verwenden, bringt 2FA noch eine weitere Komponente ins Spiel. Dadurch soll verhindert werden, dass Accounts und Konten von Unbefugten gehackt werden.

In der Regel funktioniert das auch, denn 2FA funktioniert ausschließlich über etwas Persönliches, das Hacker nicht einfach kopieren können.

Im Falle der Zwei-Faktor-Authentifizierung per SMS ist dieser persönliche Gegenstand das Handy des Anwenders. Hacker benötigen für den Zugang also nicht nur Namen und Passwort, sondern auch das Handy, damit sie die SMS empfangen können.

Oder?

Hacker sind leider intelligente Menschen, die immer wieder Wege finden, Sicherheitssysteme zu umgehen oder auszuhebeln. So auch die Zwei-Faktor-Authentifizierung via SMS.

Handys beziehungsweise Smartphones sind ein beliebtes Angriffsziel von Hackern. Schließlich befinden sich darauf in der Regel viele persönliche Daten wie Telefonnummern und E-Mail-Adressen von Freunden, Familie und Bekannten. Ein Paradies für Hacker sozusagen.

Ist ein Handy mit Malware infiziert, können Hacker aber nicht nur die Daten auf dem Handy auslesen. Im schlechtesten Fall lesen sie auch alle Nachrichten und SMS, die auf dem Handy eingehen. Und so auch die SMS im Rahmen von 2FA.

Das SS7-Protokoll

Der Grund dafür, warum die Gefahr so hoch ist, ist das sogenannte SS7-Protokoll. Das ist das „Signalling System 7“. Dieses Protokoll wurde 1975 entwickelt, um alle Telefonnetze weltweit miteinander zu verbinden. Das Problem: 1975 gab es das Internet noch nicht und auch Mobiltelefone, wie wir sie kennen, waren noch weit entfernt.

Das SS7-Protokoll ist also auf gewisse Weise veraltet, wird aber weiterhin verwendet. Updates und Verbesserungen gab und gibt es zwar, aber eine Authentifizierung ist mit dem SS7-Protokoll nicht möglich. Das bedeutet, dass Hacker sich relativ einfach Zugang verschaffen und dann beispielsweise Gespräche mithören oder Textnachrichten lesen können. Die SMS mit dem Authentifizierungs-Code ist dann also gut einsehbar und die Sicherheit dahin.

Leider kann man das SS7-Protokoll selbst nicht beeinflussen und auch nichts gegen die Schwachstellen unternehmen. Man kann aber zumindest das eigene Handy so sicher vor Hackern wie möglich machen. So sinkt die Wahrscheinlichkeit eines Angriffs.

Maßnahmen für sichere SMS

Ganz wichtig ist natürlich, dass Sie Ihr Handy beziehungsweise Smartphone vor dem direkten Zugriff von anderen schützen, indem Sie eine Displaysperre nutzen. Das kann ein Passwort sein, aber noch besser ist ein Fingerabdruck oder ein Augenscan. Etwas, dass Ihnen niemand stehlen kann.

Außerdem sollten Sie Benachrichtigungen auf dem Sperrbildschirm ausschalten. Was nützt es, eine Displaysperre zu verwenden, wenn trotzdem jeder alles mitlesen kann, sobald es oben aufploppt?

Wichtig ist zudem, die SIM-Karte mit einer PIN zu schützen. Geht das Handy verloren beziehungsweise gerät in falsche Hände, kann mit der SIM-Karte allerhand Schabernack getrieben werden, den Sie lieber vermeiden wollen.

Apropos SIM-Karte: Fähige Hacker sind dazu in der Lage, mit einer separaten SIM-Karte Ihre Telefonnummer abzugreifen und darauf zu installieren. Dann gehen Nachrichten und Anrufe nicht mehr an Ihre SIM-Karte, sondern an die der Hacker. Wenn Ihre SIM-Karte aus irgendeinem Grund nicht mehr zu funktionieren scheint, lassen Sie diese am besten bei Ihrem Anbieter sperren. Sicher ist sicher.

Was häufig vergessen wird, aber eigentlich selbstverständlich sein sollte: Installieren Sie eine Anti-Viren-Software auf Ihrem Mobiltelefon. Was für die meisten am heimischen Computer Standard ist, wird auf dem Handy oft vernachlässigt. So öffnet man Hackern Tür und Tor.

Fazit

2FA mit SMS ist nicht die sicherste Methode. Es gibt gewisse Schwachstellen, die man leider nicht beeinflussen kann. Allerdings kann man sich selbst an Maßnahmen halten, die das eigene Handy sicherer vor unbefugtem Zugriff machen.

Übrigens: Für das Problem mit Twitter gibt es eine ganz einfache Lösung: Eine alternative Zwei-Faktor-Authentifizierung wie den Authenticator von Reiner SCT. Damit lässt sich jeder Account schützen, auch der auf Twitter. Und das ganz ohne zusätzliche Kosten.