Kriminellen Hackern ist es in den vergangenen Monaten über ein clever ausgeführtes Manöver gelungen, Geld von Bankkunden auf eigene Konten umzuleiten. Bei dem Verfahren haben die Hacker eine Schwachstelle im Telekommunikationsnetz ausgenutzt und mit zwielichtigen Anbietern kooperiert.
Auch deutsche Kunden waren betroffen. Mehrere Personen haben der Süddeutschen Zeitung bestätigt, dass es diese Angriffe gegeben hat. Sie wollen anonym bleiben, da sie nicht öffentlich über vertrauliche Informationen reden dürfen. Bankenvertreter sprechen von einer "enormen kriminellen Energie".
Der Hackerangriff bringt vor allem internationale Telekommunikationsanbieter in Erklärungsnot, da die ausgenutzte Schwachstelle seit Ende 2014 öffentlich bekannt ist. Bereits damals wurde gewarnt, dass es für motivierte Kriminelle ein Leichtes sei, auf diese Weise Geld zu klauen.
Die Branche hatte ausreichend Zeit, um das Problem zu lösen. Doch anscheinend versteht sie erst allmählich, wie lukrativ dieser Weg für Hacker sein kann. Im April sollen sich Vertreter der Telekommunikations- und Bankenindustrie in Berlin getroffen haben, um über diese Angriffe zu reden.
Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt TAN-Generatoren
Die Banken sind alarmiert. Man hatte sich stets darauf verlassen, dass Mobilfunkanbieter ihre Systeme absichern. Viele Kunden legitimieren ihre Bankgeschäfte über das Handy. Sie lassen sich dazu auf ihr Gerät via SMS das Einmalkennwort (Transaktionsnummer) für die Online-Überweisung schicken. Dieses mTAN-Verfahren galt lange Zeit als sicher. Doch der aktuelle Fall zeigt, dass Kriminelle immer wieder neue Sicherheitslücken finden.
Die Mobilfunkanbieter sind schon früher ins Gerede gekommen. Kriminelle gaben sich als Mobilfunkkunden aus und beantragten beim Anbieter auf die zuvor ausgespähte Handynummer eine neue SIM-Karte, deren Nachrichtenverkehr sie dann abfangen konnten. Einige Bankkonten wurden auf diese Art geplündert.
Angriff in zwei Schritten
Im aktuellen Fall agieren die Hacker in zwei Schritten. Zuerst müssen sie an sämtliche Daten kommen, die für eine Überweisung nötig sind: Kontonummer, dazugehöriges Passwort und die Handynummer.
Dafür verschicken sie Phishing-Mails. Diese Mails täuschen vor, sie kämen von der Bank des Kunden - statt ihre-bank.de steht zum Beispiel ihrebank.de in der Adresszeile. Es sind zwei Webseiten, die nichts miteinander zu tun haben. Nur wer genau aufpasst, entdeckt den Fehler. Alle anderen geben ihre Login-Daten preis.
Schwachstelle im SS7-Netzwerk
Mit diesen Informationen können die Angreifer sehen, wie viel Geld ein Opfer auf dem Konto hat. Was noch fehlt, ist der Zugang zum Handy, mit dem Überweisungen legitimiert werden. Hier nutzen die Hacker eine Schwachstelle im SS7-Netzwerk aus.
SS7 steht für Signalling System #7 und ist der Weg, über den Mobilfunkunternehmen sich weltweit austauschen. Nur deshalb ist es möglich, komplikationsfrei im Ausland zu telefonieren, SMS in fremde Netze zu verschicken und während einer Autofahrt ohne Unterbrechungen zu telefonieren, obwohl sich das Handy von einer Funkzelle in die nächste einwählt.
"Wenn ich zum Beispiel in der Schweiz bin, müssen die Anbieter dort überprüfen können, ob meine SIM-Karte gültig ist", erklärt Hendrik Schmidt von der IT-Sicherheitsfirma ERNW. "Diese Informationen finden sie in der Datenbank mit dem Namen Home Location Register (HLR)."
Zugänge in das Netzwerk sind günstig
Darüber könne man das Handy sowohl orten als auch Rufnummern umleiten. Noch vor Jahren sei man davon ausgegangen, dass es innerhalb des Netzwerks keine Angreifer gebe, sagt Schmidt. Doch mittlerweile könne man Zugänge bereits für knapp 1000 Euro kaufen. Das habe das Geschäft für "graue Anbieter" ermöglicht, deren Aktivitäten nur schwer zu kontrollieren seien.
Über diesen Zugang ist es den Kriminellen möglich, eine Rufnummerumleitung einzurichten. Erst mit diesem zweiten Schritt ist der Angriff komplett. Experten vermuten, dass die Attacken oft nachts stattfinden, weil die Opfer sonst erkennen könnten, dass ihr Handy in einem fremden Netz eingeloggt ist.
Die Betrüger können sich in das Konto des Opfers einloggen, die Überweisung tätigen, die SMS auf eine Rufnummer ihrer Wahl umleiten und damit die Überweisung bestätigen.
Dieses Umleiten der Rufnummer war in Deutschland bis vor Kurzem auch bei O2-Telefonica möglich. Der Konzern hat den Vorfall auf Anfrage bestätigt: "Ein krimineller Angriff aus dem Netz eines ausländischen Providers hat Mitte Januar dazu geführt, dass eingehende SMS für vereinzelte Rufnummern in Deutschland unbefugt umgeleitet wurden." Der entsprechende Provider wurde gesperrt und die Kunden informiert. Die Polizei ermittele.
Die Änderung der Rufumleitung durch Dritte könne blockiert werden, erklärt Schmidt von ERNW. "Wenn man Kunde bei Vodafone, O2 oder Telekom ist, sollte es auch nur Vodafone, Telekom oder O2 gestattet sein, Rufnummern umzuleiten - und nicht jeder Organisation mit Zugang zu diesem Netzwerk." Mittlerweile sind deutsche Kunden vor solchen Angriffen geschützt.*
"Enttäuschend, dass es so viele Jahre gedauert hat"
Karsten Nohl ist einer der Sicherheitsforscher, die 2014 auf die Schwachstelle in SS7 aufmerksam gemacht haben. Er zeigte, wie es Geheimdiensten möglich wäre, Nachrichten mitzulesen. Entsprechend vernichtend fällt sein Urteil nun aus: "Die ganze Industrie will dieses Problem lösen. Aber es ist enttäuschend, dass es so viele Jahre gedauert hat und erst ein finanzieller Schaden entstehen musste, bevor etwas unternommen wurde."
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt beim Onlinebanking schon länger, "auf den Einsatz von mTAN-Verfahren zu verzichten und Verfahren mit TAN-Generatoren zu nutzen".
Neben Mobilfunknetzen bieten aber auch die IT-Systeme der Banken genügend Angriffsfläche für Hacker. "Wir halten Cyberrisiken für eines der größten Risiken, denen die deutsche Finanzwirtschaft ausgesetzt ist", warnt Felix Hufeld, Präsident der Finanzaufsicht Bafin.
Die Aufseher befürchten, dass Hacker bereits in Bankensysteme eingedrungen sind, ohne sich zu zeigen. Diese kriminellen "Schläfer" könnten unbemerkt alle Sicherheitsabläufe der Institute beobachten und dann zuschlagen. Raimund Röseler, Chef der Bafin-Bankenaufsicht, erzählt, vor Kurzem sei es Mitarbeitern einer Bank gelungen, einen riesigen Betrag "ins Nirwana" zu überweisen, ohne dass es die IT blockiert habe.
*Die ursprüngliche Version dieses Textes wurde mit einem Satz ergänzt, in der die Situation in Deutschland ausführlicher dargestellt wird.