Hackern ist es in den vergangenen Monaten offenbar in einem zweistufigen Angriff gelungen, Konten von Bankkunden zu plündern.Sie haben Geld von Bankkunden auf eigene Konten umgeleitet. Auch deutsche Kunden waren betroffen. Laut eines Bericht der „Süddeutschen Zeitung“ (Mittwochsausgabe) verschafften sich die Kriminellen erst Login-Daten und Mobilfunknummer, um anschließend SMS umzuleiten. Auf diese Weise konnten die Angreifer Geld auf eigene Konten überweisen. O2-Telefonica bestätigte die Vorfälle. Die konkrete Schwachstelle, die von Kriminellen ausgenutzt wurde, ist seit zwei Jahren öffentlich bekannt. Die Branche hatte ausreichend Zeit, um das Problem zu lösen.

Kriminellen Hackern ist es in den vergangenen Monaten über ein clever ausgeführtes Manöver gelungen, Geld von Bankkunden auf eigene Konten umzuleiten. Bei dem Verfahren haben die Hacker eine Schwachstelle im Telekommunikationsnetz ausgenutzt und mit zwielichtigen Anbietern kooperiert.

Auch deutsche Kunden waren betroffen. International besteht die Schwachstelle dem Bericht zufolge weiterhin. Mehrere Personen haben bestätigt, dass es diese Angriffe gegeben hat. Sie wollen anonym bleiben, da sie nicht öffentlich über vertrauliche Informationen reden dürfen. Bankenvertreter sprechen von einer „enormen kriminellen Energie“. Der Telekommunikationskonzern O2/Telefonica bestätigte, dass es Anfang des Jahres entsprechende Vorfälle gegeben habe: „Ein krimineller Angriff aus dem Netz eines ausländischen Providers hat Mitte Januar dazu geführt, dass eingehende SMS für vereinzelte Rufnummern in Deutschland unbefugt umgeleitet wurden.“

Der Hackerangriff bringt vor allem die Telekommunikationsanbieter in Erklärungsnot, da die ausgenutzte Schwachstelle seit Ende 2014 öffentlich bekannt ist. Bereits damals wurde gewarnt, dass es für motivierte Kriminelle ein Leichtes sei, auf diese Weise Geld zu klauen.

Die Branche hatte ausreichend Zeit, um das Problem zu lösen. Doch anscheinend versteht sie erst allmählich, wie lukrativ dieser Weg für Hacker sein kann. Im April sollen sich Vertreter der Telekommunikations- und Bankenindustrie in Berlin getroffen haben, um über diese Angriffe zu reden.

Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt TAN-Generatoren

Die Banken sind alarmiert. Man hatte sich stets darauf verlassen, dass Mobilfunkanbieter ihre Systeme absichern. Viele Kunden legitimieren ihre Bankgeschäfte über das Handy. Sie lassen sich dazu auf ihr Gerät via SMS das Einmalkennwort (Transaktionsnummer) für die Online-Überweisung schicken. Dieses mTAN-Verfahren galt lange Zeit als sicher. Doch der aktuelle Fall zeigt, dass Kriminelle immer wieder neue Sicherheitslücken finden.

Die Mobilfunkanbieter sind schon früher ins Gerede gekommen. Kriminelle gaben sich als Mobilfunkkunde aus und beantragten beim Anbieter auf die zuvor ausgespähte Handynummer eine neue SIM-Karte, deren Nachrichtenverkehr sie dann abfangen konnten. Einige Bankkonten wurden auf diese Art geplündert.

Angriff in zwei Schritten

Im aktuellen Fall agieren die Hacker in zwei Schritten. Zuerst müssen sie an sämtliche Daten kommen, die für eine Überweisung nötig sind: Kontonummer, dazugehöriges Passwort und die Handynummer.

Dafür verschicken sie Phishing-Mails. Diese Mails täuschen vor, sie kämen von der Bank des Kunden – statt „ihre-bank.de“ steht zum Beispiel „ihrebank.de“ in der Adresszeile. Es sind zwei Webseiten, die nichts miteinander zu tun haben. Nur wer genau aufpasst, entdeckt den Fehler. Alle anderen geben ihre Login-Daten preis.

Schwachstelle im SS7-Netzwerk

Mit diesen Informationen können die Angreifer sehen, wie viel Geld ein Opfer auf dem Konto hat. Was noch fehlt, ist der Zugang zum Handy, mit dem Überweisungen legitimiert werden. Hier nutzen die Hacker eine Schwachstelle im SS7-Netzwerk aus.

SS7 steht für Signalling System #7 und ist der Weg, über den Mobilfunkunternehmen sich weltweit austauschen. Nur deshalb ist es möglich, komplikationsfrei im Ausland zu telefonieren, SMS in fremde Netze zu verschicken und während einer Autofahrt ohne Unterbrechungen zu telefonieren, obwohl sich das Handy von einer Funkzelle in die nächste einwählt.

„Wenn ich zum Beispiel in der Schweiz bin, müssen die Anbieter dort überprüfen können, ob meine SIM-Karte gültig ist“, erklärt Hendrik Schmidt von der IT-Sicherheitsfirma ERNW. „Diese Informationen finden sie in der Datenbank mit dem Namen Home Location Register (HLR).“

Zugänge in das Netzwerk sind günstig

Darüber könne man das Handy sowohl orten als auch Rufnummern umleiten. Noch vor Jahren sei man davon ausgegangen, dass es innerhalb des Netzwerks keine Angreifer gebe, sagt Schmidt. Doch mittlerweile könne man Zugänge bereits für knapp 1000 Euro kaufen. Das habe das Geschäft für „graue Anbieter“ ermöglicht, deren Aktivitäten nur schwer zu kontrollieren seien.

Über diesen Zugang ist es den Kriminellen möglich, eine Rufnummerumleitung einzurichten. Erst mit diesem zweiten Schritt ist der Angriff komplett. Experten vermuten, dass die Attacken oft nachts stattfinden, weil die Opfer sonst erkennen könnten, dass ihr Handy in einem fremden Netz eingeloggt ist.

Die Betrüger können sich in das Konto des Opfers einloggen, die Überweisung tätigen, die SMS auf eine Rufnummer ihrer Wahl umleiten und damit die Überweisung bestätigen.

In Deutschland bis vor Kurzem bei O2-Telefonica möglich

Dieses Umleiten der Rufnummer war in Deutschland bis vor Kurzem auch bei O2-Telefonica möglich. Der Konzern hat den Vorfall auf Anfrage bestätigt: „Ein krimineller Angriff aus dem Netz eines ausländischen Providers hat Mitte Januar dazu geführt, dass eingehende SMS für vereinzelte Rufnummern in Deutschland unbefugt umgeleitet wurden.“ Der entsprechende Provider wurde gesperrt und die Kunden informiert. Die Polizei ermittele.

Die Änderung der Rufumleitung durch Dritte könne blockiert werden, erklärt Schmidt von ERNW. „Wenn man Kunde bei Vodafone, O2 oder Telekom ist, sollte es auch nur Vodafone, Telekom oder O2 gestattet sein, Rufnummern umzuleiten – und nicht jeder Organisation mit Zugang zu diesem Netzwerk.“

„Enttäuschend, dass es so viele Jahre gedauert hat“

Karsten Nohl ist einer der Sicherheitsforscher, die 2014 auf die Schwachstelle in SS7 aufmerksam gemacht haben. Er zeigte, wie es Geheimdiensten möglich wäre, Nachrichten mitzulesen. Entsprechend vernichtend fällt sein Urteil nun aus: „Die ganze Industrie will dieses Problem lösen. Aber es ist enttäuschend, dass es so viele Jahre gedauert hat und erst ein finanzieller Schaden entstehen musste, bevor etwas unternommen wurde.“

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt beim Onlinebanking schon länger, „auf den Einsatz von mTAN-Verfahren zu verzichten und Verfahren mit TAN-Generatoren zu nutzen“.

Neben Mobilfunknetzen bieten aber auch die IT-Systeme der Banken genügend Angriffsfläche für Hacker. „Wir halten Cyberrisiken für eines der größten Risiken, denen die deutsche Finanzwirtschaft ausgesetzt ist“, warnt Felix Hufeld, Präsident der Finanzaufsicht Bafin.

Die Aufseher befürchten, dass Hacker bereits in Bankensysteme eingedrungen sind, ohne sich zu zeigen. Diese kriminellen „Schläfer“ könnten unbemerkt alle Sicherheitsabläufe der Institute beobachten und dann zuschlagen. Raimund Röseler, Chef der Bafin-Bankenaufsicht, erzählt, vor Kurzem sei es Mitarbeitern einer Bank gelungen, einen riesigen Betrag „ins Nirwana“ zu überweisen, ohne dass es die IT blockiert habe.

von

Günter Schwarz – 03.05.2017