Kriminelle Hacker räumen Konten leer – Gängige Authentifizierungsverfahren beim Mobile Banking nicht sicher

Anzeige

  • Süddeutsche Zeitung berichtet über weitreichenden Hackerangriff.
  • PSD2-Richtlinie verschärft Anforderungen an eine starke Authentifizierung.
  • Multi-Faktor Out-of-Band Authentifizierungsverfahren sicherste Option.
  • Bei der südafrikanischen Nedbank war seit Einführung der Out-of-Band-Technologie im Jahr 2012 kein einziger Phishingangriff erfolgreich.

 

Wie die Süddeutsche Zeitung in ihrer Ausgabe vom 3. Mai 2017 berichtete, ist es kriminellen Hackern erneut gelungen, Sicherheitslücken zu nutzen und die Konten zahlreicher Bankkunden leerzuräumen. Diesmal betroffen sind Kunden des Mobilfunkanbieters 02 Telefonica. Die Geschädigten nutzten ihr Handy, um sich per SMS ein One-Time-Passwort (OTP) für eine Online-Überweisung schicken zu lassen. Diese SMS wurde von den Hackern abgefangen. Die weiteren notwendigen Angaben wie Kontonummer, Passwort und Handynummer hatten sie sich zuvor mit einer Phishing-Mail besorgt, bei der sie beim Bankkunden dem Eindruck erweckten, er kommuniziere seine Daten an sein Finanzinstitut.

Für den Zugang zu den Handys nutzten die Hacker dann eine bekannte Sicherheitslücke im sogenannten SS7-Netzwerk der Mobilfunkanbieter. Die Kriminellen konnten sich so problemlos und unbemerkt mit diesen Angaben in die Konten der Besitzer einloggen und jede beliebige Geld-Transaktion auf Konten ihrer Wahl veranlassen.

Sicherheitslücken lange schon bekannt

Zwar verschärft die neue PSD2-Zahlungsrichtline der Europäischen Bankenaufsichtsbehörde die Sicherheits- und Authentifizierungsanforderungen und fordert künftig eine Zwei-Faktoren-Authentifizierung. Missbrauchsfälle lassen sich damit jedoch nicht gänzlich ausschließen, denn extrem anfällige, d.h. leicht abzufangende Einmalpasswörter sind nach wie vor als ein Authentifizierungsfaktor zugelassen. IT-Experten warnen seit einiger Zeit, dass gängige OTP-Verfahren nicht mehr den aktuellen Sicherheitsanforderungen genügen.

Eine Zwei-Faktoren-Authentifizierung benötigt mindestens zwei der nachfolgenden drei Berechtigungs-Nachweise:

  • Wissen (Knowledge): Ein Passwort oder ein Einmalpasswort
  • Besitz (Possession): Token, Smartcard, Mobiltelefon oder etwas anderes, das nur der berechtigte Anwender besitzt oder
  • Eigenschaft (Inherence): Eine Computer-lesbare, biometrische Charakteristik des berechtigten Anwenders

Im aktuellen Fall zeigt sich aber, dass die Kommunikationskanäle nicht 100 % sicher sind. Der Faktor »Besitz« kann simuliert werden durch illegal erworbene Zugangsdaten zu dem Mobilfunkkonto, der Faktor »Eigenschaft«, bei dem etwa biometrische Angaben genutzt werden können, können Kriminelle ebenfalls ohne große Schwierigkeiten umgehen. Denn viele mobile Anwendungen, die Biometrie nutzen, informieren lediglich einen externen Diensteanbieter, wie beispielsweise eine Bank, dass der Fingerabdruck des Nutzers erfolgreich lokal abgeglichen wurde. Leicht können Betrüger diesen Kommunikationsprozess hacken und der Bank die Bestätigung mitteilen – ohne dass ein Abgleich des Fingerabdrucks tatsächlich stattgefunden hat.

Tan-Generator keine komfortable Lösung für Mobile-Banking

Laut SZ empfiehlt das Bundesamt für Sicherheit in der Informationstechnik TAN-Generatoren zu nutzen, um sichere Passwörter für Bank-Transaktionen zu erstellen. Besonders nutzerfreundlich und zukunftsweisend ist das nicht: Auch unterwegs müssten Nutzer von Mobile Banking den TAN-Generator immer mit sich führen.

Die Lösung: Out-of-Band Push-Verfahren

Die Lösung für diese Sicherheitsproblematik: die Authentifizierung einer Transaktion im Rahmen des Mobile Banking muss über einen zweiten Kommunikationskanal erfolgen. Das Auslösen von Transaktionen und die anschließende Authentifizierung über einen separaten, sicheren Kanal auf dem gleichen Mobilgerät ist Kern der Geschäftsidee des international tätigen Fintech Entersekt.

Statt eines konventionellen TLS-Kanals für die Authentifizierung nutzt Entersekt eine geschlossene Kommunikationsebene mit einer isolierten, zertifikatsbasierten Ende-zu-Ende-Verschlüsselung der Kommunikationskanäle zwischen Gerät und Bankserver. Keine Drittpartei – auch nicht Entersekt – kann auf diese Kommunikation zugreifen. Der vom kryptografischen Stack aufgebaute Kommunikationskanal ist vollkommen getrennt vom konventionellen TLS-Kanal, der vom Betriebssystem des mobilen Gerätes initiiert wird. Dadurch können sogar Transaktionen, die vom selben Mobilgerät ausgehen, Out-of-Band authentifiziert werden.

Die Multi-Faktor- und Out-of-Band-Authentifizierungslösungen wurden speziell für den hoch reglementierten Finanzsektor konzipiert und erfüllen alle wichtigen Sicherheitsvorgaben für das digitale Bankwesen, inklusive der Anforderungen, die von der Europäischen Bankenaufsichtsbehörde in den Final Guidelines on the Security of Internet Payments und den PSD2-spezifischen Regulatory Technical Standards formuliert wurden.

Gartner prognostiziert rasanten Anstieg beim Einsatz von Out-of-Band Push-Verfahren

Auch das international renommierte Marktforschungsinstitut Gartner prognostiziert in seinem jüngsten »Market Guide for User Authentication« eine Revolution bei den gängigen Verfahren zur Authentifizierung. Die Marktanalysten gehen davon aus, dass bis 2020 80 Prozent aller Transaktionen, bei denen Mobiltelefone als Sicherheits-Token verwendet werden, auf ein Out-of-Band-Push-Verfahren setzen werden, das damit zur wichtigsten Authentifizierungs-Methode würde. Heute kommt dieses Verfahren erst in 15 Prozent der Fälle zum Einsatz.

 


Schwachstellen im Mobilfunknetz: Stellungnahme des BSI

Logo Bundesamt für Sicherheit in der Informationstechnik

Zu den aktuellen Medienberichten über Schwachstellen im Mobilfunknetz und der damit verbundenen Möglichkeit, SMS-Nachrichten beim Online Banking abzufangen, erklärt BSI-Präsident Arne Schönbohm:

 

»Dem BSI sind Vorfälle im Zusammenhang mit Cyberangriffen auf das Mobilfunknetz bekannt. Als nationale Cyber-Sicherheitsbehörde sind wir dazu im vertrauensvollen Austausch mit den Mobilfunkbetreibern. Auf die Schwachstellen im SS7-Protokoll weisen wir schon seit einigen Jahren hin. Cyberangreifer verfügen heute über die notwendigen Mittel und das notwendige Know-how, diese Schwachstellen auszunutzen, auch wenn es wie in diesem Fall einen gewissen Aufwand bedeutet. Wenn wir eine erfolgreiche Digitalisierung wollen, dann können wir es uns nicht leisten, dass Schwachstellen über längere Zeiträume offen bleiben. Informationssicherheit ist die Voraussetzung für eine erfolgreiche Digitalisierung. Auch in Bezug auf das Online-Banking empfiehlt das BSI bereits seit längerem, auf den Einsatz von mTAN-Verfahren zu verzichten und stattdessen etwa Verfahren mit TAN-Generatoren zu nutzen. Wer unsere Empfehlungen zum Thema Online Banking [1] beherzigt, die wir auf unserer Webseite »BSI für Bürger« veröffentlicht haben, der hat einen großen Schritt zu mehr Sicherheit in der digitalen Welt gemacht.«

Das SS7-Protokoll wird von den Netzanbietern unter anderem dafür verwendet, sich mit anderen Anbietern auszutauschen, beispielsweise im Rahmen des Roamings. Mit dem Protokoll kann ein Mobilfunkbetreiber eines Landes signalisieren, dass sich ein bestimmter Teilnehmer gerade in seinem Netzwerk befindet. Akzeptiert der Mobilfunkbetreiber des Nutzers diese Nachricht, werden fortan Anrufe, SMS, und Datenverkehr an das neue Netzwerk (»Visited Network«) geroutet. Angreifer mit Zugang zur SS7-Signalisierung können also ohne Weiteres den Umstand simulieren, dass sich ein bestimmter Teilnehmer in dem jeweiligen Netzwerk befindet und ggf. den Traffic auf sich lenken. Auch ist es möglich, über SS7 den aktuellen Standort (CellID) eines Teilnehmers zu ermitteln.

[1] https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/OnlineBanking/onlinebanking_node.html

 


Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden. Diese Auswahl wurde von Menschen getroffen und nicht von Algorithmen.

 

Banking-Apps: Sieben Sicherheitslöcher pro App

Die aktuellen Herausforderungen im Mobile Banking

Angriff auf Mobile-Banking-Kunden in Deutschland

Deutschland auf dem Weg zur digitalen Republik: Apps, Online Banking, Smartphone und Co.

Banking: Klassische Filialbank ist kein Auslaufmodell

Onlinebanking ohne Trolle

Mobile Innovationen: Das Smartphone der Zukunft

Die größten mobilen Bedrohungen in 2016 und 2017

Sicheres Onlinebanking

Mobile Banking entwickelt sich zum Standard

Anforderungen an digitale Banking-Lösungen im Firmengeschäft steigen rasant