Der 30. Geburtstag der SMS ist ein guter Anlass, um einen Blick auf die Bedeutung dieser Technologie für die IT-Sicherheit zu werfen. Die SMS, die ursprünglich als einfache Möglichkeit gedacht war, kurze Nachrichten zwischen Mobiltelefonen auszutauschen, hat sich im Laufe der Jahre zu einem wichtigen Kommunikationsmittel entwickelt.
Leider birgt die Nutzung von SMS jedoch auch einige Sicherheitsrisiken. Eines davon ist das sogenannte SS7-Protokoll, das für die Übertragung von SMS-Nachrichten verwendet wird. SS7 ist ein älteres Protokoll, das ursprünglich entwickelt wurde, um die Kommunikation zwischen verschiedenen Telekommunikationsnetzen zu ermöglichen.
Das Problem mit SS7 ist, dass es nicht sicher ist. Es ist relativ einfach, das Protokoll auszunutzen, um SMS-Nachrichten abzufangen und zu manipulieren. Dies kann zu gravierenden Sicherheitsproblemen führen, insbesondere wenn SMS als MFA (Multi-Faktor-Authentifizierung) für sensitive Daten und Dienste verwendet wird.
Ein Beispiel für die Gefahren von SS7 ist der sogenannte „SIM-Swap-Angriff“. Hierbei wird versucht, die Kontrolle über eine SIM-Karte zu übernehmen, indem der Angreifer die Telefonnummer der SIM-Karte mit einer neuen Karte verknüpft. Dadurch kann der Angreifer Zugriff auf SMS-Nachrichten und andere Dienste erhalten, die über die betreffende SIM-Karte verfügbar sind.
Um die Sicherheit bei der Nutzung von SMS als MFA zu verbessern, empfiehlt es sich, auf alternative Technologien wie zum Beispiel Zeitbasierte Einmal-Passwörter (TOTP) oder Push-Benachrichtigungen zu setzen. Diese Technologien sind sicherer als SMS und bieten einen zusätzlichen Schutz vor Angriffen wie dem SIM-Swap.
Zusammenfassend lässt sich sagen, dass die Nutzung von SMS als MFA aufgrund der Unsicherheit von SS7 ein Risiko darstellt. Es empfiehlt sich, alternative Technologien zu verwenden, um die Sicherheit zu erhöhen und sich vor Angriffen zu schützen.
[Update 2022-12-11]: Eine Aufklärung zum Artikel befindet sich unter ChatGPT – Mit Sicherheit spannend.
[Update 2023-02-25]: Mittlerweile habe ich doch selbst einen Artikel zum Thema geschrieben: Keine SMS bei Twitter mehr für MFA.