Die Schwachstellen der SMS-Zwei-Faktor-Authentifizierung

24. Januar 2024

Die Schwachstellen der SMS-Zwei-Faktor-Authentifizierung

Die SMS-basierte Zwei-Faktor-Authentifizierung (2FA) galt einst als zuverlässiger Schutz, doch Angreifer haben längst Wege gefunden, ihre Schwächen auszunutzen. Von der Übernahme von Konten durch recycelte Telefonnummern bis hin zu SIM-Swapping-Kampagnen von Gruppen wie Scattered Spider- SMS-basierte MFA setzt Unternehmen vermeidbaren Sicherheitsverletzungen aus. Was als persönliche Unannehmlichkeit beginnt - wie der Verlust des Zugriffs auf ein Google- oder Amazon-Konto - kann sich schnell zu einer Gefährdung des Unternehmens, zu Finanzbetrug und Datenexfiltration ausweiten.

Dieser Blog zeigt anhand von Beispielen aus der Praxis und fortgeschrittenen Angreifern, warum SMS 2FA als Sicherheitskontrolle nicht mehr zu verteidigen ist und was Führungskräfte tun müssen, um ihre Unternehmen zu schützen.

Beispiel aus der Praxis: Warum ist SMS 2FA nicht sicher?

Vor ein paar Jahren musste ich eine neue Telefonnummer einrichten und lernte schnell, wie anfällig die SMS-basierte Multi-Faktor-Authentifizierung (2FA) sein kann. Die erste Überraschung erlebte ich bei meinem Amazon-Konto. Die Nummer, die ich gerade erworben hatte, war immer noch an das Konto einer anderen Person gebunden.

Als ich versuchte, mein eigenes Konto zu sichern, stellte ich fest, wie einfach es für eine andere Person gewesen wäre, darauf zuzugreifen. Amazon ermöglicht es Nutzern, sich mit einer Handynummer anzumelden und das Passwort zu umgehen, indem sie einen einmaligen Passcode (OTP) anfordern, der per SMS gesendet wird. In der Praxis bedeutet dies, dass jeder, der eine mit dem Konto verknüpfte Telefonnummer besitzt, den Code erhalten und sich Zugang verschaffen kann, ohne jemals das ursprüngliche Passwort zu kennen.

‍

Amazon-Anmeldeschnittstelle und OTP per SMS erhalten. — *Screenshot der Anmeldeseite von Amazon und des per SMS erhaltenen OTP.*

Dort kann die Person das Passwort des Kontos zurücksetzen, die zugehörige E-Mail ändern und sogar Einkäufe mit den gespeicherten Kreditkartendaten tätigen. Da Amazon für diese Transaktionen keine zusätzliche Bankvalidierung verlangt, könnte ein entschlossener Angreifer diese Schwachstelle für betrügerische Aktivitäten ausnutzen.

Verletzung des Amazon-Kontos wegen veralteter SMS-basierter MFA — *Screenshots der Amazon-Schnittstelle, die das Konto des ehemaligen Inhabers der Handynummer zeigen*

In meinem Fall habe ich versehentlich auf das Konto des Vorbesitzers zugegriffen, bin aber sofort zurückgetreten und habe die Nummer getrennt, um mein eigenes Konto zu sichern. Dieser Vorfall veranschaulicht, wie die SMS-basierte Authentifizierung die Tür zu Risiken der Kontoübernahme öffnet. Für ein Unternehmen gehen die Folgen weit über persönliche Unannehmlichkeiten hinaus. Würde sich dieses Szenario mit einem Unternehmenskonto abspielen, könnte dies zu nicht autorisierten Finanztransaktionen, Datenverlust und einem direkten Vertrauensverlust bei den Kunden führen.

Wie entferne ich sms mfa aus einem Amazon-Konto? — *Screenshots der Amazon-Benutzeroberfläche, die die Entfernung von Mobiltelefonnummern zeigt*

Dieses einfache Beispiel zeigt, warum SMS-basierte 2FA zwar bequem, aber nicht sicher ist. Eine Telefonnummer kann neu zugewiesen, abgefangen oder gekapert werden, und damit erlangt ein Angreifer die Schlüssel für das Konto. Für Führungskräfte, die das Unternehmensrisiko bewerten, ist dies nicht nur ein Problem auf Benutzerebene, sondern eine systemische Schwachstelle, die fortgeschrittene Angreifer aktiv ausnutzen.

Schwachstellen bei der Multi-Faktor-Authentifizierung

Als ich meine Telefonnummer änderte, aber vergaß, sie in meinem Google-Konto zu aktualisieren, wurde ich ausgesperrt, obwohl ich mein Passwort kannte. Für die Anmeldung war ein Verifizierungscode erforderlich, der an meine alte Nummer geschickt wurde, und da diese Nummer mir nicht mehr gehörte, konnte ich ihn nicht erhalten. Für eine Führungskraft oder einen Mitarbeiter kann dieses Szenario bedeuten, dass er nicht nur den Zugriff auf E-Mails, sondern auch auf Google Drive-Dateien, freigegebene Dokumente und Anwendungen von Drittanbietern verliert, die mit der Google-Authentifizierung verbunden sind.

Googles Fehlermeldung "Sie können sich nicht anmelden" — *Screenshot der Anmeldeseite von Google: "Sie können sich nicht anmelden".*

‍

Diese persönlichen Unannehmlichkeiten machen ein größeres Problem deutlich: SMS-basierte MFA schafft einzelne Schwachstellen, die Angreifer ausnutzen können. Im Gegensatz zur App-basierten oder phishing Authentifizierung können SMS One-Time-Passcodes (OTPs) abgefangen, umgeleitet oder gekapert werden.

In den letzten Jahren sind mehrere Angriffstechniken aufgetaucht, die dieses Risiko für Unternehmen zur Realität werden lassen. Hier sind die Top 3:

SIM-Swapping (oder SMS-Swapping): Angreifer überzeugen Mobilfunkanbieter, die Telefonnummer einer Zielperson auf eine von ihnen kontrollierte SIM-Karte zu übertragen. Sobald dies gelungen ist, erhalten sie alle für das Opfer bestimmten SMS-Nachrichten, einschließlich MFA-Codes. Diese Technik hat zu Finanzbetrug und Unternehmensverletzungen geführt, die Unternehmen Millionen kosten.
Social Engineering: Angreifer können Mitarbeiter dazu verleiten, die MFA-Einstellungen zurückzusetzen und die SMS-basierte Verifizierung auszunutzen. Gruppen wie Scattered Spider haben SMS 2FA bei mehreren aufsehenerregenden Einbrüchen erfolgreich umgangen und damit bewiesen, wie effektiv gezieltes Social Engineering in Kombination mit SMS-Schwachstellen sein kann.
Massenhafte Ausnutzung von Nummern: Angreifer kaufen Blöcke recycelter oder ungenutzter Nummern und setzen darauf, dass einige mit Online-Konten verbunden bleiben. Mit der Massenautomatisierung suchen sie nach Konten, die mit diesen Nummern verbunden sind, und versuchen, sie zu übernehmen.

Jeder dieser Angriffsvektoren zeigt, warum SMS-basierte MFA kein zuverlässiger Schutz gegen moderne Bedrohungen ist. Für Unternehmen sind die Auswirkungen viel gravierender als ein gesperrtes Konto. Diese Schwachstellen schaffen Eintrittspunkte für die Übernahme von Konten, seitliche Bewegungen innerhalb von Netzwerken und die Exfiltration von Daten, die von fortschrittlichen Gruppen wie Scattered Spider aktiv als Waffe eingesetzt werden.

Führungskräfte müssen die SMS-basierte MFA als das sehen, was sie ist: eine Bequemlichkeitsmaßnahme, keine Sicherheitskontrolle. In Umgebungen mit hohem Risiko setzt sie das Unternehmen vermeidbaren Sicherheitsverletzungen aus. Die Umstellung auf phishing MFA-Methoden wie Sicherheitsschlüssel oder Passkeys in Kombination mit einer kontinuierlichen Überwachung auf abnormales Identitätsverhalten ist für die Verringerung dieses Risikos unerlässlich.

Nachdem die SMS 2FA umgangen wurde: Wie Angreifer vorgehen, ein Beispiel für eine Scattered Spider

Wenn Angreifer die SMS-basierte MFA umgehen, bleibt es selten bei einem einzelnen Konto. Für Führungskräfte besteht die eigentliche Gefahr in dem, was folgt: Missbrauch von Anmeldeinformationen, heimliche Persistenz und schnelle Eskalation in kritische Systeme. Im Folgenden finden Sie eine prägnante, für Führungskräfte verständliche Aufschlüsselung des typischen Angriffsverlaufs, veranschaulicht durch die Taktiken von Scattered Spider, einer Gruppe, die dafür bekannt ist, Social Engineering und SIM-Swapping zu kombinieren, um SMS 2FA zu umgehen.

Typischer Verlauf eines Angreifers nach Umgehung der SMS MFA

Sofortige Kontokontrolle: Mit einem SMS-Einmalcode in der Hand meldet sich der Angreifer als rechtmäßiger Benutzer an. Er kann normal aussehende Aktionen durchführen, wodurch er grundlegende Warnungen vermeiden kann.
Standbein sichern, Reibungsverluste reduzieren: Der Angreifer ändert die Wiederherstellungsoptionen, fügt alternative E-Mail-Adressen oder Telefonnummern hinzu und setzt das Kennwort zurück, um zu verhindern, dass der eigentliche Benutzer den Zugang wiedererlangt.
Eskalieren Sie die Privilegien in SaaS: Als Nächstes nehmen sie Identitäts- und Kollaborationsplattformen wie Office 365 oder Google Workspace ins Visier und versuchen, Einstellungen auf Administratorebene oder Mailbox-Berechtigungen zu erhalten. Kleine Änderungen wie Delegation, Posteingangsregeln oder Weiterleitung können langfristige Transparenz in die Kommunikation bringen.
Schaffung von Persistenz und Hintertüren: Angreifer fügen Dienstprinzipale, gefälschte Vertrauensbeziehungen oder API-Tokens hinzu. Diese Elemente sehen auf dem Papier legitim aus und lassen den Angreifer zurückkehren, selbst wenn ein gestohlener Berechtigungsnachweis ausgetauscht wird.
Schwenken Sie auf die cloud und kritische Ressourcen um: Mit gültigen Identitäts-Tokens und delegierten Rechten können Angreifer cloud , Speicher und administrative Panels untersuchen und nach sensiblen Daten, Anmeldeinformationen in Code-Repositories oder falsch konfigurierten Diensten suchen.
Exfiltrieren, monetarisieren oder sabotieren: Schließlich exportieren sie Daten, verschieben Geldmittel oder setzen ransomware ein. Da die Aktivität von legitimen Konten ausgeht, können Erkennung und Reaktion langsamer sein, was die Auswirkungen auf das Geschäft erhöht.

Scattered Spider, als anschauliches Spielbuch

Scattered Spider nutzen phishing und SMS-Swapping als Teil ihres Angriffsprozesses. — *Anatomie eines Scattered Spider*

Scattered Spider nutzt Social Engineering als Eröffnungsstrategie und wendet sich häufig an Mitarbeiter des Helpdesks oder des Kundensupports, um SIM-Austausch oder MFA-Resets zu ermöglichen. Ihr Ansatz folgt in der Regel diesen Schritten:

Gezieltes Social Engineering, bei dem Betreiber oder Support-Teams überzeugt werden, Telefonnummern zu übertragen oder MFA-Änderungen zu genehmigen.
Verwendung von SIM-Swaps oder umgeleiteten SMS, Empfang von OTPs und Authentifizierung als Opfer.
Schnelles Privilege Harvesting, Zugriff auf SaaS-Verwaltungskonsolen und Aktivierung von Mailbox-Weiterleitung oder API-Zugang.
Aufbau einer legitim erscheinenden Persistenz, wie z. B. föderierte Vertrauensbeziehungen oder Dienstprinzipale, die sich in normale cloud einfügen.
Seitliche Bewegung in hochwertige Systeme, wo es zu Exfiltration oder Finanzbetrug kommen kann.

Warum Unternehmen MFA per SMS abschaffen müssen: Strategische Risiken und sichere Alternativen

Die Schwächen der SMS-basierten Multi-Faktor-Authentifizierung gehen weit über persönliche Konten hinaus. Für Unternehmen stellen sie eine systemische Sicherheitslücke die mit verheerender Wirkung ausgenutzt werden kann. Eine einzige gekaperte Telefonnummer oder ein abgefangener Einmal-Passcode reichen aus, damit sich ein Angreifer als vertrauenswürdiger Benutzer ausgeben und die Sicherheitsvorkehrungen am Netzwerk umgehen kann.

Gruppen wie Scattered Spider haben gezeigt, wie weit diese Schwachstellen als Waffe eingesetzt werden können. Durch SIM-Swapping und Social Engineering haben sie erfolgreich die SMS-basierte MFA umgangen, sich Zugang zu Identitätssystemen wie Entra ID verschafft und eine langfristige Persistenz in cloud aufgebaut. In einigen Fällen haben diese Taktiken zu Sicherheitsverletzungen beigetragen, die Unternehmen Dutzende oder sogar Hunderte von Millionen Dollar an direkten Verlusten und Wiederherstellungsaufwand kosten.

Für Führungskräfte sind die Auswirkungen klar:

Finanzielle und betriebliche Auswirkungen: Kompromittierte Konten können zu betrügerischen Transaktionen, Ausfallzeiten und behördlichen Strafen führen.
Schädigung des Ansehens: Kunden und Partner verlieren das Vertrauen, wenn Angreifer solche vermeidbaren Schwachstellen ausnutzen.
Strategische Haftung: Das Festhalten an SMS-basierter MFA macht das Unternehmen anfällig für Methoden, die Angreifer aktiv entwickeln.

Der Weg in die Zukunft erfordert phishing MFA-Methoden wie FIDO2-Sicherheitsschlüssel, Passkeys oder biometrische Verfahren. Im Gegensatz zu SMS-Codes können diese nicht umgeleitet oder abgefangen werden, was sie widerstandsfähig gegen SIM-Austausch und phishing macht. Agenturen wie die CISA empfehlen diese Standards bereits als Best Practice für Unternehmen, die mit sensiblen Daten umgehen.

Die Technologie ist jedoch nur eine Seite der Gleichung. Eine auf Sicherheit ausgerichtete Kultur muss diese Maßnahmen verstärken. Die Mitarbeiter müssen geschult werden, um Social-Engineering-Methoden zu erkennen, z. B. betrügerische Anrufe beim IT-Support, die darauf abzielen, die MFA zurückzusetzen. In Kombination mit der kontinuierlichen Erkennung von Identitätsbedrohungen und der KI-gesteuerten Überwachung können Unternehmen abnormale Aktivitäten unterbinden, bevor sie zu einer Sicherheitsverletzung führen.

Das Fazit für die Führungskräfte ist einfach: SMS-basierte MFA ist als Sicherheitskontrolle für Unternehmen nicht mehr vertretbar. Die Ersetzung durch phishing Alternativen und die Kombination mit kontinuierlicher Erkennung gewährleisten einen stärkeren Schutz, Widerstandsfähigkeit gegen fortschrittliche Gruppen wie Scattered Spider und den langfristigen Erhalt des Vertrauens in das Unternehmen.

Um besser zu verstehen, wie Angreifer schwache MFA-Implementierungen umgehen und warum dieser blinde Fleck ein dringendes Risiko für Unternehmen bleibt, lesen Sie unseren Blogbeitrag: Angreifer hacken sich nicht ein - sie loggen sich ein: Der blinde Fleck der MFA.

Möchten Sie mehr erfahren?

Vectra AI ist der führende Anbieter von KI-gestützter hybrider cloud und -Reaktion. Die Vectra-Plattform und -Dienste decken öffentliche cloud, SaaS-Anwendungen, Identitätssysteme und Netzwerkinfrastrukturen ab - sowohl vor Ort als auch cloud. Unternehmen auf der ganzen Welt verlassen sich auf die Vectra-Plattform und -Services, um sich vor ransomware, Kompromittierung der Lieferkette, Identitätsübernahmen und anderen Cyberangriffen zu schützen, die ihr Unternehmen betreffen.

Wenn Sie mehr darüber erfahren möchten, setzen Sie sich mit uns in Verbindung und wir zeigen Ihnen genau, wie wir das machen und was Sie tun können, um Ihre Daten zu schützen. Wir können Sie auch mit einem unserer Kunden in Kontakt bringen, um direkt von ihm über seine Erfahrungen mit unserer Lösung zu hören.

Kontaktieren Sie uns

Häufig gestellte Fragen

Was ist SMS-basierte Multi-Faktor-Authentifizierung (MFA) und warum wird sie verwendet?

SMS-basierte MFA ist ein Sicherheitsverfahren, das Textnachrichten verwendet, um einen einmaligen Code oder Link als zusätzliche Verifizierungsebene bei der Anmeldung bei einem Konto zu liefern. Es wird verwendet, um die Sicherheit zu erhöhen, indem neben dem Passwort eine zweite Form der Authentifizierung verlangt wird.

Was sind die Hauptrisiken im Zusammenhang mit SMS-basierter MFA?

Zu den wichtigsten Risiken gehören:

Abfangen von SMS-Nachrichten: SMS-Nachrichten sind unverschlüsselt und können von Angreifern abgefangen werden.
Abhängigkeit vom Mobilfunknetz: Ausfälle können den Empfang von Authentifizierungscodes verhindern.
SS7-Schwachstellen: Obwohl heute weniger verbreitet, können Angreifer das SS7-Protokoll ausnutzen, um Nachrichten abzufangen.
Social Engineering: Angreifer können Personen oder Anbieter dazu bringen, Telefonnummern zu übertragen.
Massenhafte Käufe von Telefonnummern: Angreifer können Telefonnummern in großen Mengen kaufen, um Konten zu übernehmen.

Wie kann eine alte Telefonnummer, die mit einem Konto verknüpft ist, zu Sicherheitsproblemen führen?

Wenn eine Telefonnummer einem neuen Benutzer zugewiesen wird, aber immer noch mit den Konten des vorherigen Besitzers verbunden ist, kann der neue Benutzer möglicherweise auf diese Konten zugreifen. Dies kann zu unbefugtem Zugriff und potenziellem Missbrauch von persönlichen Informationen und finanziellen Details führen.

Was sollten Sie tun, wenn Ihre Telefonnummer neu zugeteilt wird und noch mit Ihren Konten verknüpft ist?

Aktualisieren Sie sofort Ihre Telefonnummer in allen Ihren Online-Konten. Wenden Sie sich an die Dienstanbieter, um Ihre alte Nummer von Ihren Konten zu trennen. Überwachen Sie Ihre Konten regelmäßig auf ungewöhnliche Aktivitäten und aktivieren Sie nach Möglichkeit stärkere MFA-Methoden.

Welche weitergehenden Auswirkungen haben SMS-basierte MFA-Schwachstellen für Unternehmen?

Unternehmen sind aufgrund der großen Mengen an sensiblen Daten und finanziellen Vermögenswerten einem größeren Risiko ausgesetzt. SMS-basierte MFA-Schwachstellen können zu erheblichen Sicherheitsverletzungen, finanziellen Verlusten und Rufschädigung führen. Unternehmen müssen stärkere MFA-Lösungen einführen, um ihre digitale Infrastruktur zu schützen.

Welche Alternativen zur SMS-basierten MFA sind empfehlenswert?

Stärkere Alternativen sind:

App-basierte Authentifikatoren: Zum Beispiel Google Authenticator und Microsoft Authenticator.
Biometrische Überprüfung: Verwendung von Fingerabdrücken oder Gesichtserkennung.
Sicherheitsschlüssel: Physische Geräte, die eine zusätzliche Sicherheitsebene bieten.

Wie können Benutzer die mit SMS-basierter MFA verbundenen Risiken mindern?

Benutzer können:

Verwenden Sie eine eindeutige und unveröffentlichte Telefonnummer für SMS-basierte MFA.
Reservieren Sie SMS-basierte MFA für weniger sensible Konten.
Aktualisieren Sie regelmäßig die Kontoinformationen, insbesondere die Telefonnummern.
Überwachen Sie die Kontoaktivitäten auf Anzeichen für unbefugten Zugriff.

Welche Rolle spielen Security Operations Centers (SOCs) bei der Behebung von MFA-Schwachstellen?

SOCs sind entscheidend für die Überwachung, Erkennung und Reaktion auf Sicherheitsbedrohungen. Die Implementierung einer robusten Plattform zur Erkennung von und Reaktion auf Bedrohungen innerhalb von SOCs kann dazu beitragen, Schwachstellen im Zusammenhang mit MFA zu identifizieren und zu entschärfen und so die allgemeine Sicherheit zu verbessern.

Welche Bedeutung hat die regelmäßige Aktualisierung von Kontoinformationen für die digitale Sicherheit?

Die regelmäßige Aktualisierung der Kontoinformationen, einschließlich der Telefonnummern, hilft, unbefugten Zugriff zu verhindern. Wenn eine alte Telefonnummer noch mit Konten verknüpft ist, kann dies zu Zugangsproblemen und potenziellen Verstößen führen, wenn die Nummer einem neuen Nutzer zugewiesen wird.

Wie können Unternehmen eine Kultur des Sicherheitsbewusstseins bei ihren Mitarbeitern fördern?

Unternehmen können:

Regelmäßige Durchführung von Sicherheitsschulungen und Sensibilisierungsprogrammen.
Förderung bewährter Praktiken für die digitale Sicherheit.
Förderung des Einsatzes starker MFA-Methoden und der regelmäßigen Überwachung von Kontoaktivitäten.
Sorgen Sie dafür, dass Ihre Mitarbeiter die Risiken kennen und auf mögliche Bedrohungen aufmerksam sind.

Durch die Umsetzung dieser Maßnahmen und die Beibehaltung eines proaktiven Ansatzes für die digitale Sicherheit können die mit der SMS-basierten MFA verbundenen Risiken erheblich reduziert werden.