Das Ende der mTAN: Die Schwachstelle im Mobilfunk­netz heißt SS7-Protokoll – und ist seit 2014 bekannt

Schon seit Ende 2014 (genauer seit dem 31C3) ist bekannt, dass Online-Banking über die roaming infrastructure SS7-Signalisierung angreifbar ist (siehe golem.de). Jetzt berichteten Süddeutsche, Welt, Zeit, Stern und Spiegel-Online darüber, denn den Kriminellen ist es offenbar gelungen, über diese lange bekannte Schwachstelle Konten ab­zu­räu­men. Nun erscheint auch das BSI auf der Bildfläche und sagt: Das habe man alles schon lange gewusst …

Das sich Online-Banking kompromittieren lässt, zeigten Laurent Ghigonis und Alexandre De Oliveira schon Ende 2014 auf dem 31C3 – dem Kongress des Chaos Computer Clubs. Doch ihre Warnungen blieben (trotz eigener Website) ungehört. Bis nun offenbar doch Kriminelle diese Lücke ausnutzten und laut zahlreichen Medienberichten Konten leer räumten.

Doch das Beste daran ist: Das BSI wusste Bescheid. Warnte. Aber unternahm wohl keine weiteren Schritte. Nun erklärt BSI-Präsident Arne Schönbohm:

Dem BSI sind Vorfälle im Zu­sammenhang mit Cyber-Angriffen auf das Mobilfunk­netz bekannt. Als natio­nale Cyber-Si­cherheits­behörde sind wir dazu im vertrau­ensvol­len Aus­tausch mit den Mobilfunkbe­treibern. Auf die Schwach­stel­len im SS7-Pro­tokoll weisen wir schon seit einigen Jah­ren hin. Cyber-Angreifer verfügen heu­te über die notwendigen Mit­tel und das notwendige Knowhow, die­se Schwach­stel­len aus­zunut­zen, auch wenn es wie in diesem Fall ei­nen ge­wis­sen Auf­wand bedeu­tet. Wenn wir ei­ne erfolg­rei­che Digi­talisierung wol­len, dann können wir es uns nicht leis­ten, dass Schwach­stel­len über länge­re Zeit­räume offen blei­ben. In­formati­ons­si­cherheit ist die Vor­aus­setzung für ei­ne erfolg­rei­che Digi­talisierung. Auch in Bezug auf das Online Banking empfiehlt das BSI be­reits seit länge­rem, auf den Ein­satz von mTAN-Verfah­ren zu verzich­ten und stattdes­sen etwa Verfah­ren mit TAN-Ge­ne­ra­to­ren zu nut­zen. Wer un­se­re Empfehlun­gen zum The­ma Online Banking beherzigt, die wir auf un­se­rer Web­seite ‘BSI für Bür­ger’ veröff­entlicht ha­ben, der hat ei­nen großen Schritt zu mehr Si­cherheit in der digi­ta­len Welt gemacht.”

Was macht die SS7-Signalisierung?

Das SS7-Protokoll wird von den Netzanbietern unter anderem dafür verwendet, sich mit anderen Anbietern auszutauschen, beispielsweise im Rahmen des Roamings. Mit dem Protokoll kann ein Mobilfunkbetreiber eines Landes signalisieren, dass sich ein bestimmter Teilnehmer gerade in seinem Netzwerk befindet. Akzeptiert der Mobilfunkbetreiber des Nutzers diese Nachricht, werden fortan Anrufe, SMS, und Datenverkehr an das neue Netzwerk (“Visited Network”) geroutet. Angreifer mit Zugang zur SS7-Signalisierung können also ohne Weiteres den Umstand simulieren, dass sich ein bestimmter Teilnehmer in dem jeweiligen Netzwerk befindet und ggf. den Traffic auf sich lenken – also eine fremde Autorisierung anfordern und dann die SMS empfangen. Das Angriffsfenster dazu ist je nach Netz zwischen zehn Sekunden und fünf Minuten offen!

Ist das jetzt das Ende der mTAN?

Zumindest sieht es danach aus, denn in Bezug auf das Online Banking empfiehlt das BSI bereits seit längerem, auf den Einsatz von mTAN-Verfahren zu verzichten und stattdessen etwa Verfahren mit TAN-Generatoren zu nutzen – auch wenn diese gerade zusammen mit dem Smartphone reichlich unpraktisch sind.aj