Dieses Umleiten der Rufnummer war in Deutschland bis vor Kurzem auch bei O2-Telefonica möglich. Der Konzern hat den Vorfall auf Anfrage bestätigt: "Ein krimineller Angriff aus dem Netz eines ausländischen Providers hat Mitte Januar dazu geführt, dass eingehende SMS für vereinzelte Rufnummern in Deutschland unbefugt umgeleitet wurden." Der entsprechende Provider wurde gesperrt und die Kunden informiert. Die Polizei ermittele.
Die Änderung der Rufumleitung durch Dritte könne blockiert werden, erklärt Schmidt von ERNW. "Wenn man Kunde bei Vodafone, O2 oder Telekom ist, sollte es auch nur Vodafone, Telekom oder O2 gestattet sein, Rufnummern umzuleiten - und nicht jeder Organisation mit Zugang zu diesem Netzwerk." Mittlerweile sind deutsche Kunden vor solchen Angriffen geschützt.*
"Enttäuschend, dass es so viele Jahre gedauert hat"
Karsten Nohl ist einer der Sicherheitsforscher, die 2014 auf die Schwachstelle in SS7 aufmerksam gemacht haben. Er zeigte, wie es Geheimdiensten möglich wäre, Nachrichten mitzulesen. Entsprechend vernichtend fällt sein Urteil nun aus: "Die ganze Industrie will dieses Problem lösen. Aber es ist enttäuschend, dass es so viele Jahre gedauert hat und erst ein finanzieller Schaden entstehen musste, bevor etwas unternommen wurde."
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt beim Onlinebanking schon länger, "auf den Einsatz von mTAN-Verfahren zu verzichten und Verfahren mit TAN-Generatoren zu nutzen".
Neben Mobilfunknetzen bieten aber auch die IT-Systeme der Banken genügend Angriffsfläche für Hacker. "Wir halten Cyberrisiken für eines der größten Risiken, denen die deutsche Finanzwirtschaft ausgesetzt ist", warnt Felix Hufeld, Präsident der Finanzaufsicht Bafin.
Die Aufseher befürchten, dass Hacker bereits in Bankensysteme eingedrungen sind, ohne sich zu zeigen. Diese kriminellen "Schläfer" könnten unbemerkt alle Sicherheitsabläufe der Institute beobachten und dann zuschlagen. Raimund Röseler, Chef der Bafin-Bankenaufsicht, erzählt, vor Kurzem sei es Mitarbeitern einer Bank gelungen, einen riesigen Betrag "ins Nirwana" zu überweisen, ohne dass es die IT blockiert habe.
*Die ursprüngliche Version dieses Textes wurde mit einem Satz ergänzt, in der die Situation in Deutschland ausführlicher dargestellt wird.
