Erst kürzlich erfuhren wir von einem Gespräch eines Kunden mit dem Bankangestellten zum Thema Onlinezugang, über die gesamte Verwaltung des Bankkontos und natürlich dem Onlinebanking an sich.

Bisher hatte der Kunde ein kleines externes Gerät, das recht umständlich TANs generierte für die Legitimierung der Onlinegeschäfte. Der Banker empfahl mir der Einfachheit halber auf das mTan-Verfahren umzusteigen. Es sei supersicher, die Anmeldung ginge ganz einfach und schnell und Push-TANs kämen dann via Handy. Zum Glück kam dem Kunden immer wieder was dazwischen und hat das Verfahren wurde noch nicht umgestellt.

Vielleicht ist das umständliche und vermeintlich altmodische cardTAN-Verfahren vielleicht doch gar nicht so schlecht, wie sich nun herausstellt. Denn, in den letzten Monaten haben Hacker eine alt-bekannte Schwachstelle im Mobilfunknetz dreist ausgenutzt und Bankkonten von ahnungslosen Menschen leer geräumt – mithilfe der mTAN Technik.

Schwachstellen und zwielichtige Anbieter

Doch in diesem Fall braucht es mehr als nur eine Schwachstelle, um solche Coups durchzuziehen. Nötig sind auch ganz offensichtliche, generelle Sicherheitsprobleme bei der Legitimation von Telekommunikationsunternehmen. Denn, obwohl die allermeisten Verbraucher nur die ganz Großen der Telekommunikationsbranche kennen, gibt es durchaus auch viele zwielichtige kleine Anbieter, die in diesem Geschäftsbereich mitmischen. Nun könnte ja auch dagegen gehalten werden, dass es Letzter ja in jeder Branche gibt. Allerdings ist es in der Tat etwas anders in der internationalen Telekommunikationsbranche. Mobilfunkunternehmen in aller Welt müssen auf eine bestimmte Weise zusammenarbeiten – und das geht mit dem sogenannten SS7. Das Signalling System 7 wurde vor über 30 Jahren aufgestellt, so gut wie nie verändert und verfügt offenbar über eine sehr geringe Sicherheit. Es ist nun nicht so, dass das seither niemandem aufgefallen wäre – aber dazu mehr später.

Das SS7 ist die stille Verknüpfung im Hintergrund, die es uns Verbrauchern ermöglicht mit dem eigenen Handy von irgendeinem Mobilfunknetzwerk der Welt aus, Telefongespräche zu führen oder SMS-Nachrichten zu versenden. Telefonieren während der Fahrt quer durch Europa ist dadurch möglich, weil sich unsere Handys von einem Telekommunikationsanbieter, zum Nächsten entlanghangeln. Die Mobilfunknetzwerke der jeweiligen Länder müssen dabei auch jeweils die Gültigkeit der einwählenden SIM-Karte überprüfen. Dazu greifen sie auf eine riesige Datenbank zurück. HLR, kurz für Home Location Register enthält alle nötigen Daten.

Wenn sich nun irgendein neuer Mobilfunkanbieter am Markt beteiligen will, dann muss er sich diesem Netzwerk anschließen. Und bisher kannte sich die Branche untereinander und sah vielleicht auch daher überhaupt kein Gefahrenpotenzial von innerhalb. Doch mit lukrativen Geschäften kommen meistens auch zwielichtige Absahner in Spiel. Die Branche selbst macht es möglich, denn für etwa 1.000 Euro können solche Zugänge gekauft werden. Außerdem hat sie offenbar nur wenige bis gar keine Kontrollprozeduren parat, um die Aktivitäten dieser neuen Mitspieler zu kontrollieren.

Ungeahntes Zusammenspiel von Mitwissern, Ahnungslosen und Opportunisten

Und genau hier laufen nun alle Fäden zusammen. Die Beteiligten: Banken, Bankkunden, Mobilfunkanbieter, SS7 und Cybergauner. Insbesondere, aber nicht nur Letzteren, waren die Funktionsweise und die Schwachstellen des SS7 bekannt. Interessanterweise wussten die Telekommunikationsunternehmen selbst auch über die Sicherheitslücken im SS7 Bescheid. Denn schon vor drei Jahren hatten Sicherheitsexperten darauf hingewiesen und auch gewarnt, wie sie insbesondere von Geheimdiensten ausgenutzt werden können.

Das Stichwort Geheimdienst erklärt dann vielleicht auch, warum bisher nichts unternommen wurde, um die Sicherheit von SS7 zu verbessern. Allerdings gab es in der Vergangenheit durchaus schon Alarmsignale hinsichtlich der Sicherheitsmaßnahmen an die Branche. Beispielsweise, als es zur Plünderung von Bankkonten kommen konnte, da Kriminelle sich als Kunden ausgegeben und eine neue SIM-Karte beantragt haben, um dann Nachrichten der Kunden abzufangen. Die Mobilfunkunternehmen unternahmen nichts und beklagten lieber den Kostenfaktor und wie aufwendig das alles werden würde.

Und so gingen die kriminellen Hacker schließlich vor: Zuerst spielten sie eine bestimmte Malware auf Handys auf, die alle benötigten Daten des Benutzers ausspionieren konnte. Meistens erfolgte das über Phishing-E-Mails. Die dabei verwendeten E-Mail-Adressen der falschen Banken sahen dabei denen der echten Bank täuschen ähnlich. Und natürlich verlangten die E-Mails Log-in-Daten. Spätestens hier müssten bei jedem Bankkunden die Alarmglocken ringen! Schließlich warnt jede Bank der Welt auf ihrer Onlinepräsenz davor, dass sie selbst niemals die Zugangsdaten ihrer Kunden abfragen würde.

Also bestenfalls verfügten die Hacker im ersten Schritt dann über alle Daten, die für einen Gelddiebstahl via Onlineüberweisung nötigen waren, nämlich: die Handynummer, die Kontonummer und das richtige Passwort. Daraufhin wurde erst einmal nachgeschaut, ob das Bankkonto des Opfers auch gut gefüllt war. Falls das der Fall war, wurde der zweite Schritt eingeleitet, denn um das Geld abzuheben, ist ja eine telefonische Legitimation nötig – die mTAN. Dafür brauchten sie Zugang zum Handy selbst. Meistens nachts richteten sie unbemerkt eine Rufnummernumleitung ein und loggten sich in aller Ruhe auf das Bankkonto des Opfers ein. Die Rufnummernumleitung leitete dann die SMS auf eine bestimmte Rufnummer um und damit war der Diebstahl abgeschlossen.

Alarmierte Banken, besorgte Kunden

Als die Banken von diesen Vorfällen Kenntnis erlangten, waren sie äußerst alarmiert, denn genau wie meine Bank, wägten sie das Verfahren mit dem Einmalkennwort bisher als sehr sicher. In Deutschland waren Mitte Januar einige Kunden von O2-Telefonica betroffen. Das Mobilfunkunternehmen hat sofort reagiert und Rufumleitungen in an ausländische Provider blockiert. Auch andere Telekommunikationsunternehmen in Deutschland haben entsprechend reagiert und deutsche Kunden sind damit von derartigen Angriffen geschützt.

Ob die Banken hier Rückwärtsrudern und das mTAN Verfahren einstampfen, ist zu diesem Zeitpunkt noch ungewiss. Sicher ist, dass das BSI schon seit Längerem den Einsatz von TAN-Generatoren empfiehlt und mTAN als unsicher eingestuft hat. Felix Hufeld, Präsident der Finanzaufsicht Bafin hält Cyberrisiken

„für eines der größten Risiken, denen die deutsche Finanzwirtschaft ausgesetzt ist.“

Am Schluss bleiben noch ein paar Fragen … Wie wussten die Hacker, dass die Kunden jeweils am mTAN Verfahren teilnehmen? Dazu muss jeder Bankkunde schließlich zuvor eine schriftliche Erklärung abgeben und unterschreiben. Und nicht jeder nutzt mTAN. Woher wussten sie, welche Bank die Opfer nutzten? Alles Fragen, die Bankkunden zum zittern bringen können.

Artikel von sueddeutsche.de, 03.05.2017: Schwachstelle im Mobilfunknetz: Kriminelle Hacker räumen Konten leer
Artikel von theregister.co.uk, 03.05.2017: After years of warnings, mobile network hackers exploit SS7 flaws to drain bank accounts