Am vergangenen Wochenende hackten Angreifer das Twitter-Konto von Jack Dorsey, Chef des Unternehmens und verbreiteten unter anderem rassistische Botschaften. Keine Woche später zieht Twitter aus dem Fall Konsequenzen – und schaltet eine heute schon fast archaisch anmutende Funktion des Dienstes ab: Nutzerinnen und Nutzer können ab sofort keine Tweets mehr per SMS veröffentlichen.

Twitter sagte nach der Übernahme von Dorseys Twitteraccount, dass seine Telefonnummer kompromittiert worden sei. Verantwortlich dafür soll ein "Sicherheitsfehler beim Mobilfunkprovider" gewesen sein. Aus diesen Angaben lässt sich ableiten, dass Dorsey aller Wahrscheinlichkeit nach Opfer einer Angriffsmethode geworden ist, die in den USA derzeit häufig zu beobachten ist: SIM-Swapping.

Was ist ein SIM-Swapping-Angriff?

Ein Angreifer verschafft sich Zugriff auf die SMS-Karte seines Opfers und leitet unter anderem alle Anrufe und SMS, die dort eingehen, auf seine eigene SIM-Karte um.

Das ist gefährlich, weil viele Menschen ihre Mobilfunknummer nutzen, um sensible Onlinekonten doppelt abzusichern – etwa, indem sie die Zwei-Faktor-Authentifizierung bei Diensten wie Google, Facebook, Instagram, Twitter und vielen anderen Anbietern eingeschaltet haben, oder indem sie zum Beispiel per SMS-Code Onlineüberweisungen freigeben. Je mehr solcher Onlinedienste über das Telefon abgesichert werden, desto gefährlicher ist ein SIM-Swapping-Angriff.

Nach oben Link zum Beitrag

Wie funktioniert das technisch?

SIM-Swapping ist eigentlich weniger ein ausgefuchster technischer Hack als vielmehr einer, der sogenannte Social-Engineering-Fähigkeiten erfordert, also die Manipulation von Menschen zum Erreichen eigener, bösartiger Ziele.

Der Angreifer muss die Mobilfunknummer seines Opfers kennen. Damit ausgestattet kann er sich beim Mobilfunkprovider melden und sich als Besitzer dieser Telefonnummer ausgeben. Er behauptet einfach, sein Telefon samt SIM-Karte verloren zu haben. Für diesen Fall nämlich bieten Mobilfunkanbieter die sogenannte Portierung der Telefonnummer an: Die Telefonnummer wird für eine neue SIM-Karte aktiviert. Oft reichen recht profane Zusatzinformationen aus, um sich erfolgreich beim Mobilfunkprovider zu identifizieren: das Geburtsdatum etwa, der Wohnsitz oder Kontodaten. Angreifer können versuchen, sich diese Angaben zum Beispiel über soziale Netzwerke zu beschaffen – unter Umständen ist es aber auch möglich, diese Informationen auf illegalem Wege im Netz zu kaufen.

Überzeugt ein Betrüger Mitarbeiter der Servicehotline seines Mobilfunkanbieters davon, dass er der rechtmäßige Besitzer dieser Nummer ist, bekommt er die Nummer seines Opfers auf die eigene SIM-Karte übertragen. Er kann nun sogar selbst von dieser Telefonnummer aus kommunizieren. Das Opfer hingegen empfängt keine Anrufe und Nachrichten mehr. 

Außerdem bekommt der Angreifer alle SMS weitergeleitet, die eigentlich sensible Accounts wie E-Mail-Adressen, Social-Media-Accounts oder Bankkonten über Zwei-Faktor-Authentifizierung schützen sollten. Bedeutet: Hat er zusätzlich auch noch das Passwort eines Accounts geknackt, kann er ihn übernehmen.

Auch wer keine Zwei-Faktor-Authentifizierung nutzt, ist in Gefahr: Viele Nutzerinnen und Nutzer haben ihre Handynummer als Notfallmethode angegeben, um Accounts, deren Passwörter sie vergessen haben, zurückzusetzen. Darum können SIM-Swapping-Angreifer auch über diesen Weg versuchen, sich an die Anbieter von Diensten zu wenden und Passwörter zurücksetzen zu lassen. 

Außerdem können die Angreifer SMS und Anrufe im Namen ihres Opfers absetzen – an alle Kontakte aus dem Adressbuch, aber natürlich auch an jede beliebige andere Nummer. Im Fall von Twitter war es bis jetzt aus historischen Gründen möglich, Tweets per SMS zu versenden – auch so war es möglich, Twitteraccounts zu übernehmen.

Nach oben Link zum Beitrag

Wie verbreitet sind SIM-Swapping-Angriffe in Deutschland?

Zahlen dazu gibt es nicht. In den USA sind SIM-Swapping-Angriffe in den vergangenen Jahren häufiger geworden – und es gibt keinen Grund, warum derartige Angriffe nicht auch in Deutschland zunehmen sollten.

In den USA werden zum einen Prominente angegriffen – Twitter-Chef Dorsey und die Schauspielerin Chloë Grace Moretz sind dafür nur die jüngsten Beispiele. Aber auch ganz gewöhnliche Nutzerinnen und Nutzer werden zu Opfern derartiger Attacken. In einigen Fällen werden Instagram-Accounts übernommen – auch, um beliebte Nutzernamen weiterzuverkaufen. Die Angreifer erpressen von ihren Opfern Lösegeld dafür, gekaperte Konten wieder freizugeben. Oder aber sie erbeuten Bitcoin: Im August wurde in den USA ein Fall vor Gericht verhandelt, bei dem einem Nutzer knapp 24 Millionen US-Dollar in Bitcoin gestohlen wurden, nachdem sich Angreifer per SIM-Swap Zugriff auf seine Mobilfunknummer verschafft hatten.

Nach oben Link zum Beitrag

Wie kann ich mich schützen?

Bei vielen Mobilfunkanbietern ist es möglich, die eigene Nummer mit einer PIN oder einem Passcode zu versehen. Ohne diese Zusatzinformation können Hotline-Mitarbeiter keine Änderungen in Bezug auf eine Telefonnummer vornehmen – und dürfen der Anruferin auch keine Informationen weitergeben. Einige deutsche Anbieter halten ihre Kundinnen schon heute zu dieser zusätzlichen Sicherheitsmaßnahme an.

Ein weiterer Schritt könnte darin bestehen, verlässlichere Formen der Zwei-Faktor-Authentifizierung zu wählen. Alternativen wären zum Beispiel Authentifizierungs-Apps wie Google Authenticator und Authy. Möglich ist außerdem, als zweiten Authentifizierungsfaktor kleine physische Schlüsselanhänger wie den Yubikey, zu nutzen, die man zur Authentifizierung auf das entsprechende Gerät legt oder in den Rechner steckt.

Und vielleicht ist die Lehre aus dem Aufkommen von SIM-Swapping, dass die Telefonnummer zur Sicherheitsidentifizierung sensibler Dienste vielleicht von Anfang an nicht die beste aller Ideen war. Selbstverständlich ist es praktisch, Zwei-Faktor-Authentifizierung per SMS besser als nichts – und doch waren Mobilfunkanbieter nicht darauf eingerichtet, eine derart große Verantwortung für sensible Daten ihrer Kundinnen und Kunden zu übernehmen. Weswegen es eine gute Idee sein kann, sein Onlinebanking unabhängig von SMS auf seinem Telefon zu organisieren. Da viele Apps aber eng an die mit dem genutzten Smartphone verknüpfte Telefonnummer gebunden sind, kann dies mitunter ziemlich schwierig werden.

Klar ist aber auch: Sollte das Smartphone plötzlich nicht mehr Nachrichten empfangen oder versenden, Anrufe nicht mehr ankommen, sollte schnell überprüft werden, ob man Opfer eines SIM-Swapping-Angriffs geworden ist. Um den Schaden so schnell wie möglich einzugrenzen.  

Korrektur: In einer ersten Version dieses Textes wurde auf einen Fall in den USA verwiesen. Dabei hieß es fälschlicherweise, es seien 224 Millionen US-Dollar in Bitcoin entwendet worden. Tatsächlich waren es knapp 24 Millionen US-Dollar, 224 Millionen ist die Schadensersatzsumme, über die nun vor Gericht verhandelt wird. Wir bitten, den Fehler zu entschuldigen.

Nach oben Link zum Beitrag