Ein Passwort allein reicht als Schutz vor unberechtigtem Zugang zu IT-Systemen oftmals nicht aus. Deshalb nutzen viele Online-Dienste zusätzlich Einmal- oder auch One-Time-Passwörter (OTP), die sie per SMS an den Nutzer schicken und die als zweiter Sicherheitsfaktor dienen. Doch wie sicher ist das?
Zugangsdaten werden gestohlen oder geknackt
Stellen Sie sich vor, ein Freund teilt Ihnen mit, dass er eine Spam-Mail von Ihnen bekommen hat. Entweder jemand benutzt Ihren Namen für Spam, oder Ihr Web-Mail-Konto wurde missbraucht. Sie versuchen, sich bei Ihrem Web-Mail-Zugang anzumelden, doch Ihr Passwort wird nicht mehr akzeptiert. Der Grund: Ihr Mail-Provider hat den Spam-Versand von Ihrem Web-Mail-Konto festgestellt und Ihr Konto deshalb sicherheitshalber deaktiviert.
Wie konnte das geschehen?
 |
| Einmal-Passwörter per SMS: Sind sie wirklich sicher? |
Offensichtlich hatte ein Spammer Ihr Mail-Passwort. Es war ungeschützt gespeichert, oder Sie haben es eingegeben, während Ihre Tastatureingaben mitgeschnitten wurden. Oder aber Ihr Passwort war so einfach, dass ein Angreifer es schlicht erraten und geknackt hat.
Zusätzliche Sicherheitsfaktoren sollen davor schützen
Um das zu vermeiden, setzen immer mehr Online-Dienste auf eine sogenannte Zwei-Faktor-Authentifizierung. Dabei reicht ein Passwort zur Anmeldung nicht aus. Es gibt einen zweiten Sicherheitsfaktor, der ebenfalls für die Anmeldung benötigt wird. Meist ist dies ein sogenanntes Einmal- oder auch One-Time-Passwort (OTP), ein für Sie generiertes zweites Passwort, das nur ein einziges Mal gilt.
Dieses Einmal-Passwort wird an den Nutzer meistens per SMS geschickt. Im Online-Banking wird dabei gefordert, dass das Smartphone, mit dem das Banking gemacht wird, nicht das gleiche Gerät sein darf, an das das Einmal-Passwort per SMS gesendet wird, aus Sicherheitsgründen. Doch wie sicher sind Einmal-Passwörter per SMS überhaupt?
Ungeschützte SMS sind ein Risiko
In der Regel liegen Nachrichten, die per SMS eingetroffen sind, unverschlüsselt auf dem Smartphone oder Handy. Eine Verschlüsselung findet man nur dann, wenn man die Nachrichten-App oder die SMS-App in einem geschützten Bereich auf dem Smartphone betreibt. Zudem muss man sich klar machen, dass viele Apps bei ihrer Installation oder im Rahmen eines App-Updates die Berechtigung verlangen, SMS zu lesen.
Nicht jede App, die auf SMS zugreifen will, braucht diese Berechtigung, im Gegenteil. Zudem gibt es bösartige Apps, die die SMS auslesen und den Inhalt missbrauchen könnten, zum Beispiel um einen starken Zugangsschutz zu umgehen, bestehend aus Nutzer-Passwort und Einmal-Passwort, das per SMS eingetroffen ist.
Angriffe auf starken Zugangsschutz waren bereits erfolgreich
Berichte über Vorfälle in dieser Art (etwa der sogenannte Reddit-Hack) zeigen, dass man nicht ohne Weiteres annehmen kann, dass die SMS, mit der das Einmal-Passwort geschickt wird, sich nicht ausspähen lässt. Neben dem Nutzer-Passwort könnte also auch das Einmal-Passwort, das per SMS kommt, in unbefugte Hände geraten.
Was ist genau beim Reddit-Hack passiert? Darüber hat zum Beispiel der IT-Sicherheitsanbieter 8com berichtet. Das Unternehmen Reddit setzt für seine Mitarbeiter auf eine Zwei-Faktor-Authentifizierung. Trotzdem konnten Mitte Juni Hacker in die Datenbanken von Reddit eindringen und Nutzerdaten erbeuten. Um sich Zugang zu den internen Netzwerken zu verschaffen, mussten die Kriminellen sowohl das Passwort als auch das Einmal-Passwort in der SMS des jeweiligen Mitarbeiters eingeben. Die SMS erhielten sie, indem sie sich eine Kopie der SIM-Karte des Mitarbeiters mit derselben Nummer beschafften. So konnten sie die SMS abfangen.
An eine Kopie einer SIM-Karte zu gelangen, ist nicht so kompliziert, wie man denkt, berichtet 8com. Manchmal reicht schon ein Anruf beim Anbieter, dass die SIM-Karte kaputt sei und man eine neue brauche. Zwar muss man sich dann legitimieren, aber viele Menschen geben die dafür relevanten Informationen wie den Geburtstag ganz öffentlich im Internet preis.
Trotzdem: Zwei-Faktor-Authentifizierung bleibt wichtig
Bedeuten Vorfälle wie der Reddit-Hack, dass ein starker Zugangsschutz gar nicht stark ist? Sicherheitsexperten sagen, dass es in jedem Fall besser ist, ein Einmal-Passwort zusätzlich einzusetzen, als nur ein einzelnes Passwort. Doch man sollte lieber zu an-deren Methoden übergehen, um Einmal-Passwörter zu erzeugen, etwa zu Security-Token.
Security-Token sind spezielle Geräte, um Einmal-Passwörter zu erzeugen. Sie haben im Vergleich zu Smartphones einige Vorteile. Unter anderem installiert der Nutzer auf Security-Tokens keine fremden Apps, die die Erlaubnis bekommen, SMS-Nachrichten zu lesen, und dies missbrauchen könnten. Zudem brauchen Security-Token keine SIM-Karten, die Datendiebe „nachbestellen“ könnten.
