Unternehmen mit SMS-Verifizierung beim Login geraten wegen SIM-Swap-Angriffen in die Verantwortung
(keydiscussions.com)- Bei SIM-Swap-Angriffen bringen Täter Mobilfunkanbieter dazu, eine Telefonnummer auf ihr eigenes Gerät zu übertragen, und fangen danach SMS-Login- und Passwort-Reset-Codes ab. Der zentrale Streitpunkt ist, dass Unternehmen diesen unsicheren Weg in ihre Authentifizierungsabläufe eingebaut haben.
- SMS werden als Klartext übertragen und sind kein Sicherheitsprotokoll. Werden sie für Passwort-Resets, Account-Recovery, Onboarding oder Login genutzt, wandert die digitale Sicherheit des Nutzers zusammen mit der übertragenen Telefonnummer ab.
- Viele Dienste wie Apple, Google, Dropbox, PayPal, Block, Chase, Wells Fargo, Robinhood, Schwab und Bank of America nutzen oder nutzten SMS für Login, Wiederherstellung oder 2FA; Cloud-Anbieter wie Azure, AWS, Twilio und Google bieten Dienste für SMS-Einmalcodes an.
- Bessere Alternativen sind E-Mail-basierte Resets und Authenticator-Apps wie Authy oder Google Authenticator. Selbst wenn SMS-2FA zusammen mit stärkeren Optionen nur eingeschränkt eingesetzt wird, sollte sie nicht zum Fallback für die Account-Wiederherstellung werden.
- Seit 2024 gerät diese Annahme weiter ins Wanken, weil große US-Mobilfunkanbieter wie AT&T, T-Mobile und Verizon zusätzlich über längere Zeit durch den Angriff Salt Typhoon kompromittiert waren.
Wie SMS-basierte Authentifizierung SIM-Swap-Angriffe begünstigt
- Bei einem SIM-Swap-Angriff fordert der Angreifer den Mobilfunkanbieter auf, die Telefonnummer des Opfers auf sein eigenes Telefon zu portieren.
- In den USA müssen Anbieter wegen Vorgaben zur Rufnummernmitnahme zur Förderung des Wettbewerbs Nummernübertragungen vergleichsweise leicht ermöglichen.
- Ist die Nummer erst übertragen, kann der Angreifer von Unternehmen versendete SMS-Login-Informationen oder Passwort-Reset-Codes empfangen und so auf Konten zugreifen.
- Die Kritik an schwachem Nummernschutz bei Mobilfunkanbietern ist berechtigt, doch auch viele Unternehmen haben auf diesem schwachen Glied geschäftskritische Authentifizierungsabläufe aufgebaut.
- Im Kern steht die Haltung: „Nur weil jemand T-Mobile, AT&T oder Verizon davon überzeugt, meine Nummer zu portieren, darf nicht meine gesamte digitale Sicherheit mitportiert werden.“
SMS wurden nicht als Authentifizierungsmittel entworfen
- SMS sind unverschlüsselte Klartextnachrichten und können wie eine Postkarte unterwegs gelesen oder abgefangen werden.
- Ein Protokoll, das kein Sicherheitsprotokoll ist, für Passwort-Resets, Account-Recovery, Onboarding oder Login zu verwenden, ist strukturell ungeeignet.
- SMS-basierte 2FA gilt höchstens dann als „am wenigsten schlechte“ schwache Sicherheitsvariante, wenn sie zusätzlich zu stärkeren 2FA-Optionen angeboten wird.
- Hauptziel der Kritik sind SMS-basierte Passwort-Resets, Nutzer-Onboarding und Account-Recovery.
- Bessere Optionen sind E-Mail-basierte Passwort-Resets und Authenticator-Apps wie Authy oder Google Authenticator.
- Wenn SMS als Fallback für die Account-Wiederherstellung bestehen bleiben, können selbst stärkere 2FA-Implementierungen geschwächt werden.
Wie Unternehmen SMS in Authentifizierungsabläufe eingebaut haben
- Apple stellte 2018 auf dem iPhone die Funktion SMS passcode automatic fill vor und verstärkte damit Abläufe, in denen SMS für Passwort-Resets und Account-Login verwendet werden.
- Es gibt Szenarien, in denen SMS beim Zurücksetzen eines Apple-Kontos verwendet werden können.
- Auch bei der Zwei-Faktor-Authentifizierung für Apple-Entwicklerkonten kommen SMS oder Anrufe zum Einsatz.
- Apples native 2FA-Umsetzung wird wegen des SMS-Fallbacks als geschwächt bewertet.
- Google bot 2019 mit SMS autofill für Android das automatische Ausfüllen von Einmalcodes an.
- Cloud-Anbieter und Messaging-Infrastrukturunternehmen haben eine SMS-Code-Industrie aufgebaut.
- Auch bei Finanz- und Zahlungsdiensten sind SMS-Resets, SMS-Login, SMS-2FA und SMS-basierte Account-Recovery weit verbreitet.
- Genannt werden etwa Wells Fargo, Cash App, Robinhood, Schwab, PayPal und Bank of America.
- Diese SMS-Optionen werden zwar als Mittel zur „Identitätsprüfung“ angeboten, begünstigen aber zugleich SIM-Swap-Angreifer.
- Auch bei Essensbestelldiensten, sozialen Netzwerken und Datenspeicherdiensten ist SMS oft das Standardmittel zum Zurücksetzen von Konten.
- Selbst wenn sich der Mechanismus wie bei Dropbox deaktivieren lässt, müssen Nutzer für jeden Dienst einzeln aktiv
opt-outdurchführen. - Viele Dienste bieten gar kein
opt-outan.
- Selbst wenn sich der Mechanismus wie bei Dropbox deaktivieren lässt, müssen Nutzer für jeden Dienst einzeln aktiv
Verantwortung für Sicherheitsdesign steht über Bequemlichkeit
- Nutzer verstehen die Schwächen von SMS-Resets möglicherweise nicht, und es sollte nicht ihre Aufgabe sein, das selbst zu beurteilen.
- SMS können für Nutzer bequemer sein als E-Mail-Resets oder 2FA-Apps wie Authy und deshalb bevorzugt werden.
- Das automatische Ausfüllen von SMS auf dem iPhone wird zwar oft als gute iOS-Funktion gelobt, doch Bequemlichkeit garantiert keine Sicherheit.
- Die Verantwortung dafür, ob ein Sicherheitssystem sicher ist und wie es entworfen wird, liegt bei Technologieunternehmen.
- Wer behauptet, Kundensicherheit und Schutz zu priorisieren, aber SMS-basierte Authentifizierung beibehält, lässt Kunden in einem exponierten Zustand zurück.
Protokollverbesserungen und Regulierung reichen nicht aus
- Bemühungen zur Härtung von Telefonprotokollen wie SHAKEN/STIR wurden weder vollständig übernommen noch streng genug durchgesetzt und taugen daher kaum als Rechtfertigung dafür, weiterhin SMS-Passwort-Reset-Codes zu versenden.
- Selbst stärkere Telefonprotokolle würden SIM-Swap-Angriffe als solche nicht verhindern.
- Die EU-Initiative Sim Verify wird als Möglichkeit genannt, mit der SMS-abhängige Unternehmen prüfen können, ob eine SIM kürzlich portiert wurde.
- Ob eine solche Änderung in den USA kurzfristig eingeführt wird, ist unklar; die Einführung von SHAKEN/STIR zeigt, dass Veränderungen lange dauern können.
- In Hacker-News-Kommentaren wird zudem auf starke NIST-Empfehlungen verwiesen, die mit Stand Oktober 2023 von der Nutzung von SMS oder Telefonanrufen zur Nutzeridentifikation abraten.
Seit 2024 noch höhere Risiken bei Mobilfunkanbietern
- In einem Update wird zusammengefasst, dass große US-Mobilfunkanbieter wie AT&T, T-Mobile und Verizon durch den Angriff Salt Typhoon monatelang kompromittiert waren.
- Diese Anbieter transportieren unverschlüsselte SMS, die in zahllosen Login-Flows, Reaktivierungen von Konten und Passwort-Resets verwendet werden.
- Nimmt man die Kompromittierung von US-Mobilfunkanbietern und die anhaltende Bedrohung durch SIM-Swap-Angriffe zusammen, sollte man die Vorstellung aufgeben, dass SMS in irgendeinem Teil des Login-Ablaufs reale Sicherheit bieten.
- Google wird als Beispiel genannt, das bei Gmail die Schwächen von SMS in begrenztem Umfang anerkennt und sich davon wegbewegt.
- Chase, Block/Square und Apple werden dagegen weiterhin als Beispiele genannt, die in Teilen ihres Login-Prozesses auf SMS setzen.
Schadensfälle aus Hacker-News-Kommentaren
- Wer in einer Region ohne SMS-Empfang unterwegs ist, kann aus seinem Konto ausgesperrt werden.
- Problematisch sind auch Banken wie Bank of America, bei denen SMS-2FA aktiviert sein muss, damit überhaupt irgendeine 2FA aktiviert werden kann.
- Ebenfalls genannt werden Fälle, in denen Nutzer nach einem Nummernwechsel aus Viber ausgesperrt werden oder Citibank für die Änderung der Kontotelefonnummer eine SMS-Bestätigung verlangt.
- Wenn Mobilfunkanbieter SMS-Roaminggebühren verlangen, zahlen Nutzer dafür, auf ein unsicheres Sicherheitsmittel angewiesen zu sein.
- Wird eine SIM wegen nicht aufgeladenem Prepaid-Guthaben gesperrt, können Nutzer keine SMS mehr empfangen und verlieren damit auch den Zugang zu Diensten, die SMS erzwingen.
- Ein Kommentator mit Erfahrung im EU-Bankensektor bewertet SMS 2FA als weniger verbreitet als in den USA, weil SMS dort teurer sind, und zugleich als anfällig sowohl für Sicherheitsverletzungen als auch für Aussperrungen von Nutzern.
Warum wir uns von telefonnummernbasierter Identitätsprüfung lösen müssen
- Im Zeitalter von Deepfakes werden robuste Identitätsprüfungsdienste immer wichtiger.
- KI-basierte Dienste für gefälschte Ausweise werden massentauglich, und auch die von Finanzunternehmen und ISPs genutzte Stimmbiometrie kann angesichts von Deepfake-Audio und hartnäckigen Angreifern an Nutzen verlieren.
- Wir müssen uns von unverschlüsselten und für SIM-Swaps anfälligen Identitätsprüfungsverfahren wie SMS lösen.
- Auch Ransomware ist ein großes Problem für die IT, und SIM-Swap-Angriffe werden als wichtiger Vektor für die Kompromittierung von Unternehmensnetzwerken genannt.
- Der Rückbau von SMS-Login kann demnach auch einen Teil des Ransomware-Problems entschärfen.
1 Kommentare
Hacker-News-Kommentare
Bevor der SMS-Müll überhandnahm, hat 1Password TOTP-Codes auf jedem Gerät, von jedem Ort aus automatisch ausgefüllt
Jetzt muss man ständig das Handy herausholen, und selbst wenn man die Nummer gar nicht braucht, muss man zum Reisen internationales Roaming bezahlen oder SMS-Weiterleitung einrichten. Tolle Sicherheit also
Wenn die Logik lautet, dass eine Telefonnummer jederzeit auf eine reale Identität zurückgeführt werden kann, dann sollen sie meine Nummer nicht an alle Firmen der Welt verteilen, sondern lieber Authenticator-Apps mit SMS verknüpfen
Aber dumme Firmen verlangen eine Telefonnummer und blockieren die Nutzung von Google Voice
Je nach Kosten sollte man Dinge wie das Vorzeigen eines staatlich ausgestellten Ausweises, Fingerabdruckprüfung oder sogar einen echten schnellen DNA-Test wählen können, und man sollte auch Kontobegünstigte für den Fall von Tod oder Geschäftsunfähigkeit festlegen können
Es ist absurd, dass die heutige ultimative Identitätsprüfung von E-Mail, Google-Konten oder SMS abhängt. Alle drei sind entweder nicht sicher, bergen das Risiko willkürlicher Sperren, sind schwer wiederherzustellen oder prüfen die reale Identität nicht und sind daher anfällig für Spam
Ein gängiges Gegenargument lautet ungefähr, dass WhatsApp Passwort-Resets und Ähnliches verhindert, wenn die Nummer 90 Tage lang ungenutzt war, also sei das okay
Danach geht es dann weiter mit dem Argument, dass man bei der Bank einfach schriftlich eine Änderung der Handynummer beantragen könne, also sei auch das okay
SMS für wichtige Kontoaktionen zu verwenden, ist furchtbar
Bitte bindet Konten nicht an Telefonnummern
Edit: Ich habe die erste Zeile geändert, um klarzustellen, dass ich nicht von einmaligen Benachrichtigungen o. Ä. spreche
Ich stimme zu, dass man besser Authenticator und Passkeys nutzt, aber man sollte die Vorteile von SMS nicht komplett leugnen
Ich sehe oft Paare, die gegenseitig die Handys benutzen und die Passwörter des anderen kennen, aber ich weiß nicht, ob ich jemandem so weit vertrauen könnte. Nicht einmal meiner eigenen Mutter würde ich mein Passwort geben, und sie hat mir nie einen Grund gegeben, ihr nicht zu vertrauen
Das Schlimmste ist, dass das keine Wahl ist. Dienste fangen einfach plötzlich an, SMS als 2FA zu verwenden
Ich wüsste nicht, was ich tun sollte, wenn ich meine Telefonnummer ändere. Wenn ich die alte Nummer nicht mehr kontrolliere und nicht in das Konto komme, wie soll ich sie dann auf die neue ändern? Und was, wenn ein Konto, von dem ich gar nicht daran gedacht habe, es zu aktualisieren, plötzlich eines Tages 2FA verlangt? Insgesamt ist das ein wirklich schlechtes System
STOPbeenden kann, ist das okayWährend eines zweiwöchigen Campingtrips zog in meinem Heimatbundesstaat ein schwerer Sturm durch, und der Strom war 5 Tage weg. Ohne SMS-Benachrichtigungen hätte ich das nicht gewusst, und ich konnte direkt nach der Rückkehr Kühlschrank und Gefriertruhe leeren
Selbst wenn das Telefon kompromittiert wird, bleibt die E-Mail erhalten
Aus Sicht der Endnutzer ist es auch tatsächlich bequem. Selbst wenn solche Probleme nur 1 % betreffen, kann es für Milliarden Menschen trotzdem kein Problem sein. Es ist billig und bequem. Das Handy empfängt die Nachricht und füllt sie automatisch aus
Man muss nicht die App wechseln, um E-Mails zu prüfen. Solange die E-Mail nicht kompromittiert wird, ist das Konto immer wiederherstellbar. Wenn man die E-Mail verliert, ist das schade, aber solche Dinge passieren eben, und genau deshalb sollte man regelmäßig Passwörter ändern und Multi-Faktor-Authentifizierung einrichten
Sicherheit kann niemals 100 % sein. Das ist ein aussichtsloses Unterfangen. Es muss ausreichend bequem und ausreichend sicher sein, damit es für möglichst viele Menschen funktioniert
Fast alle außerhalb von HN kümmert das nicht und sie verstehen es auch nicht. Sie müssen es auch nicht. Sie sollen einfach die App nutzen, ihre Aufgabe erledigen und weitermachen
Das Backend können die Nerds regeln
In Argentinien gab es ein großes Problem rund um Payoneer-SMS für Movistar-Nutzer. Ich wollte es auf HN posten, aber es ging unter.
Die Übersetzung dieses aufschlussreichen Tweets [1] auf Spanisch lautet ungefähr so:
„Das Payoneer-Rätsel ist gelöst.
#PayoneerHacked
Seid vorsichtig. Facebook, Twitter usw. teilen sich dasselbe Gateway, um SMS-Kosten zu sparen
Ich hinterlasse Screenshots der SMS, die die Opfer im Morgengrauen erhielten. Die Opfer konnten diese mit keinem Phishing teilen, und diese SMS waren nötig, um die Konten leerzuräumen
Was auch immer ihr in den Medien lest … es gibt viel Obst und reichlich Salat, aber wenig Sauce. Das Original steht hier
Danke an alle für die Zusammenarbeit“
[1] https://twitter.com/julitolopez/status/1748440685743587811
Es heißt, „[Kunden] finden [SMS-Resets] bequemer als E-Mail-Resets“, aber persönlich nervt es mich jedes Mal, wenn ich mich per Telefonbestätigung in ein Google-Konto einloggen muss
Ich muss vom Schreibtisch aufstehen und mein Handy suchen, und manchmal liegt es in einem anderen Zimmer. Nur damit ich einen Anruf oder eine Nachricht mit dem Code empfangen kann
Im Vergleich dazu ist TOTP viel bequemer. Ich speichere die Codes in KeePassXC, daher muss ich nicht vom Schreibtisch aufstehen
Google nennt diese Option „Bestätigungscode aus der Google Authenticator App abrufen“, auch wenn man Authenticator nie verwendet hat
https://www.google.com/account/about/passkeys/
https://blog.google/technology/safety-security/passkeys-defa...
Websites mit Passkey-Unterstützung: https://passkeys.directory/
Es ist auch wirklich miserabel, wenn man seine Telefonnummer verliert
Ich kann mich seit Jahren nicht mehr in mein primäres Google-Konto einloggen. Ich habe Benutzername, Passwort, Wiederherstellungs-E-Mail-Adresse, und alle E-Mails werden sogar an mich weitergeleitet, aber weil die mit dem Konto verknüpfte Telefonnummer nicht mehr existiert, werde ich offensichtlich wie ein Eindringling behandelt
Die einzige Lösung ist, in einen IP-Bereich zurückzukehren, der wie der ursprüngliche „Heim“-Standort aussieht, und zu hoffen, dass es funktioniert. Ich hätte einem Google-Mitarbeiter, der meint, es sei eine gute Sache, keinen Kontozugang und keine Wiederherstellung zu erlauben, einiges zu sagen
Der Ausweis meines Landes enthält einen Chip mit Public-Key-Kryptografie. Wenn Google erlauben würde, ein Google-Konto dauerhaft mit der staatlichen Identität zu verknüpfen, würde das das Problem lösen, zumindest für EU-Bewohner
Dann könnte man es nutzen, ohne ständig Angst haben zu müssen, einen YubiKey zu verlieren, und selbst wenn ihn jemand stiehlt, könnte man das Konto zurückbekommen
Aber Google hat keinen Helpdesk und keine Möglichkeit, Bugs zu melden. Google sollte sich schämen
Ich hasse es am meisten, wenn Firmen behaupten, meine Google-Voice-Nummer könne „nicht zur Verifizierung verwendet werden“ oder noch unverblümter „sei keine gültige Telefon-/Mobilfunknummer“.
Manche Firmen haben die Registrierung mit dieser Nummer zunächst erlaubt und die Richtlinie dann irgendwann nach der Anmeldung geändert. Meist merkt man das erst, wenn man aus dem Konto ausgesperrt wird.
Glücklicherweise waren das meistens nur Store-Apps oder Zahlungsdienste, die ich künftig einfach meiden kann. Offenbar ist ihnen mein Geschäft nicht wichtig. Aber ich sorge mich, dass meine Bank eines Tages dasselbe macht und mich aus meinem Konto aussperrt.
Jeder hat ein Handy, die meisten wechseln ihre Nummer kaum, und viele geben ihre Telefonnummer leichter heraus als ihre Sozialversicherungsnummer.
Es geht ihnen nicht um Kontosicherheit oder darum, ob es eine gültige, vom Nutzer kontrollierte Nummer ist. Sie wollen die Nutzer nur eindeutig identifizieren und eine Nummer haben, die bereits in den Datenbanken der Adtech-Unternehmen steckt, die Nutzerdaten am teuersten einkaufen.
Ich habe in einem anderen Kommentar unter diesem Beitrag etwas dazu geschrieben, warum man Google Voice nicht verwenden sollte: https://news.ycombinator.com/item?id=39270503
Meine Erfahrungen gelten vielleicht nicht für alle, aber ich halte es weiterhin für riskant, sich auf das „kostenlose“ Google Voice zu verlassen.
Gegenargument: SMS-Login und Kontowiederherstellung bieten eine gute User Experience, und die Mobilfunkanbieter müssen insgesamt ihr Niveau anheben.
Wenn ich an einem Desktop-Computer sitze, sollte man mich nicht bei jedem Login aufs Handy zwingen, nur weil man FIDO oder andere echte Zwei-Faktor-Authentifizierung nicht unterstützen will.
Mein Laptop hat einen Fingerabdrucksensor, mein Handy hat Face ID, und am USB-Port hängt ein YubiKey. Das reicht doch.
E-Mail ist eindeutig besser. Der Hauptgrund ist, dass der E-Mail-Anbieter etwas ist, das der Nutzer kontrolliert, oder etwas wie unsere benutzerdefinierten Domains für Nerds, oder ein großer, unpersönlicher Akteur wie Google. Nicht etwas, das ein Angreifer so leicht austauschen kann wie einen Telefonnummern-Anbieter.
Ich arbeite bei einem Identitätsanbieter, und es gibt ziemlich viele Leute, die genau diese Funktion verlangen, besonders aus Sicht der User Experience.
Wie oben gesagt, muss es auch Verantwortung auf Seiten der Telefonnummern-Anbieter geben. Wenn der Trend weitergeht, Telefonnummern als globale Kennung für offline und online durchzudrücken, dann müssen Mobilfunkanbieter bei Nummernänderungen deutlich strengere Anforderungen stellen.
„Jahrelang haben Leute in der Branche immer wieder so argumentiert: ‚SMS-basierte Authentifizierung anzubieten ist insgesamt besser für die Sicherheit der Kunden. Es gibt Nachteile, aber es ist bequemer als andere Methoden, etwa E-Mail-Bestätigung, die viel sicherer ist.‘ Darauf sage ich: ‚Wer seid ihr, dass ihr den Kunden Sicherheit wegnehmt?‘“
Weiter:
„Dass sich ein großer Teil der Wut über SIM-Swap-Angriffe gegen die Mobilfunkanbieter richtet, ist verständlich. Tatsächlich sichern Mobilfunkanbieter die Telefonnummern ihrer Kunden miserabel und könnten für dieses Versagen verantwortlich sein. Aber der Kernpunkt ist folgender: Die Sicherheit der Mobilfunkanbieter war schon immer schlecht, teils sogar wegen gesetzlicher Rahmenbedingungen, und andere Unternehmen haben sich trotzdem entschieden, geschäftskritische Systeme auf genau diesem schwachen Glied aufzubauen.“
Weiter:
„SMS ist sicherheitstechnisch schlecht, ermöglicht aber nahezu reibungsfreies Onboarding neuer Kunden, etwa bei Uber, und Passwortzurücksetzungen. Unternehmen hatten das Gefühl, mitziehen zu müssen, weil Wettbewerber diese Technik eingeführt haben.“
Dieser letzte Teil wurde leider beim Aktualisieren des WordPress-Beitrags überschrieben, ich habe ihn aber wieder ergänzt.
Ich stimme zu, dass SMS ein schrecklicher Mehrfaktor-Authentifizierungsfaktor ist.
Aber von Leuten zu verlangen, eine App zu installieren, ist eine enorme Hürde, deshalb hat sich SMS verbreitet. Außerdem speichern die Leute ihre Wiederherstellungscodes praktisch nie.
Man kann Authy verwenden und die Codes sichern, aber das ist fast schon Terrain „für Techniker“.
Am Ende ist SMS für ganz normale Durchschnittsmenschen die einzig realistische Lösung. Man muss die Mobilfunkanbieter dazu bringen, SIM-Swaps schwieriger zu machen.
Dort ist SMS glücklicherweise teuer genug, dass Banken entschieden haben, dass es als Einmalpasswort-Faktor wirtschaftlich unattraktiv ist und für Zahlungsbestätigungen allein nicht sicher genug, sodass ein zweiter Faktor nötig wurde.
Das Ergebnis ist, dass Banken sicherere oder ergonomischere Methoden anbieten, zum Beispiel bankeigene Authentifizierungs-Apps, die oft auch ohne Internet oder Mobilfunksignal funktionieren, etwa auf internationalen Reisen, Hardware-Token, WebAuthN usw.
Statt „SIM-Swaps schwieriger machen“ sollten Finanzunternehmen ihr Niveau anheben und Verfahren anbieten, die weder für Sicherheitsverletzungen noch für das Aussperren von Nutzern anfällig sind.
Für die Steuererklärung braucht man MyGovID. Das ist auch nicht gut.
Wenden wir dieselbe Logik doch auch anderswo an
Ein Unternehmen, das Passwort-Logins eingeführt hat, müsste für den Diebstahl von Post-its verantwortlich sein.
Ein Unternehmen, das E-Mail-Zwei-Faktor-Authentifizierung eingeführt hat, müsste für den Diebstahl von E-Mail-Konten verantwortlich sein.
Ich weiß nicht, ob diese Logik trägt. Man sieht so etwas immer wieder. Es gibt Akteure, die nicht gegen das Gesetz verstoßen und bei der Rechtsdurchsetzung kooperieren können, und dann gibt es kriminelle Akteure, die deren Kunden angreifen. Da man nicht einfach mit den Fingern schnippen und den Staat dazu bringen kann, Diebstahl doppelt oder dreifach illegal zu machen, packen die Leute stattdessen meist die Unschuldigen und machen ihnen das Leben schwerer.
Tief durchatmen und loslassen. Es gibt kein harmloses Maß daran, Unschuldige anstelle der Schuldigen zu bestrafen.
So seltsam und verrückt es auch klingen mag: Die Person, die die SIM getauscht hat, sollte für den SIM-Swap-Angriff verantwortlich sein. Was? Man soll den Kriminellen die Schuld geben? Eine gewagte Position, aber richtig.
Soweit ich weiß, hat keiner der US-Mobilfunkanbieter für Endkunden angemessene Schutzmechanismen implementiert, um Dinge wie unautorisierte SIM-Swaps zu verhindern.
Ein Unternehmen, das SMS-Zwei-Faktor-Authentifizierung implementiert, sollte das wissen, und wenn es Verbrauchern wissentlich ein tief fehlerhaftes Zwei-Faktor-System als „sicherer“ verkauft hat, sollte es bei einem Scheitern dafür verantwortlich sein.
Je schneller SMS-Zwei-Faktor-Authentifizierung verschwindet, desto eher werden auch veraltete Websites, die nur SMS-Zwei-Faktor-Authentifizierung implementiert haben, gezwungen sein, tatsächlich sichere Methoden einzuführen.
Sie hätten es vielleicht besser machen können, aber die Versuche, sie dafür zu „bestrafen“, wirken auf mich wie eine rückwirkende Gesetzgebung. Man sollte neue Regeln schaffen und künftige Fälle ahnden, aber nicht diesen Fall.
Einen SIM-Swap-Angriff kann man nicht kontrollieren.
Aus Sicht eines Online-Dienstanbieters ergibt der Einsatz von SMS durchaus Sinn.
Die folgenden zwei Ziele sind sehr ähnlich, aber getrennt voneinander:
SMS ist für Punkt 2 sehr wirksam. Denn kaum jemand hat Zugriff auf 100 verschiedene Telefonnummern.
Eine Mobilfunknummer zu bekommen, beinhaltet normalerweise einen personenbezogenen Prozess, der Dinge wie Adresse, Reisepass oder Sozialversicherungsnummer erfordert. Es gibt also Hürden.
Unternehmen verlassen sich auf SMS, weil sie die Identitätsprüfung an die Mobilfunkanbieter auslagern können. Sie nutzen es nicht, weil es die optimale oder sicherste Lösung für den Nachweis des Kontobesitzes wäre.
Die Leute, die sich ständig beschweren, haben offensichtlich noch nie bei einem Unternehmen aus dem regulierten Bereich oder bei einem Finanzdienstleister solche Authentifizierungsentscheidungen treffen müssen.
Man kann bei der Kontoerstellung zwar eine Telefonnummer verlangen und trotzdem nicht zulassen, dass das Konto allein mit einer an diese Nummer gesendeten SMS übernommen werden kann.
Mit derselben Logik könnte man auch rechtfertigen, dass Unternehmen Nutzer verfolgen und persönliche Daten verkaufen. Sie verdienen damit Geld, und Geld zu verdienen ist ein wichtiger Teil des Geschäftsbetriebs.
Für sehr kleine Beträge wie 50 Cent pro Verifizierung kann man Dutzende oder Hunderte von Telefonnummern nutzen. Wer auch nur ein wenig motiviert ist, wird dadurch nicht aufgehalten.