Zu den aktuellen Medienberichten über Schwachstellen im Mobilfunknetz und der damit verbundenen Möglichkeit, SMS-Nachrichten beim Online Banking abzufangen, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) jetzt eine Stellungnahme abgegeben.
BSI-Präsident Arne Schönbohm erklärt "Dem BSI sind Vorfälle im Zusammenhang mit Cyber-Angriffen auf das Mobilfunknetz bekannt. Als nationale Cyber-Sicherheitsbehörde sind wir dazu im vertrauensvollen Austausch mit den Mobilfunkbetreibern. Auf die Schwachstellen im SS7-Protokoll weisen wir schon seit einigen Jahren hin. Cyber-Angreifer verfügen heute über die notwendigen Mittel und das notwendige Knowhow, diese Schwachstellen auszunutzen, auch wenn es wie in diesem Fall einen gewissen Aufwand bedeutet. Wenn wir eine erfolgreiche Digitalisierung wollen, dann können wir es uns nicht leisten, dass Schwachstellen über längere Zeiträume offen bleiben. Informationssicherheit ist die Voraussetzung für eine erfolgreiche Digitalisierung.
Auch in Bezug auf das Online Banking empfiehlt das BSI bereits seit längerem, auf den Einsatz von mTAN-Verfahren zu verzichten und stattdessen etwa Verfahren mit TAN-Generatoren zu nutzen. Wer unsere Empfehlungen zum Thema Online Banking beherzigt, die wir auf unserer Webseite 'BSI für Bürger' veröffentlicht haben, der hat einen großen Schritt zu mehr Sicherheit in der digitalen Welt gemacht."
Das SS7-Protokoll wird von den Netzanbietern unter anderem dafür verwendet, sich mit anderen Anbietern auszutauschen, beispielsweise im Rahmen des Roamings. Mit dem Protokoll kann ein Mobilfunkbetreiber eines Landes signalisieren, dass sich ein bestimmter Teilnehmer gerade in seinem Netzwerk befindet. Akzeptiert der Mobilfunkbetreiber des Nutzers diese Nachricht, werden fortan Anrufe, SMS, und Datenverkehr an das neue Netzwerk ("Visited Network") geroutet. Angreifer mit Zugang zur SS7-Signalisierung können also ohne Weiteres den Umstand simulieren, dass sich ein bestimmter Teilnehmer in dem jeweligen Netzwerk befindet und ggf. den Traffic auf sich lenken. Auch ist es möglich, über SS7 den aktuellen Standort (CellID) eines Teilnehmers zu ermitteln.
