SMS werden unverschlüsselt übertragen und können so auch von allen am Transport beteiligten Firmen mitgelesen werden.

Foto: AZIZ KARIMOV /REUTERS

Der breiten Masse mag der Name Syniverse nicht viel sagen, in der Mobilfunkbranche ist die Firma aber eine fixe Größe – fungiert sie doch als eine Art Vermittlungsstelle zwischen unterschiedlichen Mobilfunkanbietern, die SMS und Anrufe von einem Anbieter zum nächsten leitet. Sie ist also für das Roaming zuständig, und das eben nicht nur in Richtung Ausland, sondern auch zu anderen Anbietern im selben Land. Entsprechend unerfreulich ist eine aktuelle Nachricht.

Warnung

Syniverse war jahrelang von Hackern unterwandert, meldet man offiziell in einer Mitteilung an die US-amerikanische Federal Communications Commission (FCC). Im Mai 2016 sollen die Angreifer in die Systeme des Unternehmens eingedrungen sein und sich dort breitgemacht haben. Aufgefallen ist das allerdings erst fünf Jahre später. Im Mai 2021 habe man den unautorisierten Zugriff bemerkt und beendet, zudem seien die Behörden informiert worden, heißt es jetzt von Syniverse. Bis zu einer öffentlichen Mitteilung ließ man sich aber noch einmal fünf Monate Zeit. Weitere Details wolle man aufgrund der laufenden Ermittlungen nicht nennen, heißt es in einer Stellungnahme gegenüber Arstechnica. Insofern bleibt vorerst auch offen, welche Daten tatsächlich abgegriffen wurden und, wenn überhaupt, in welchem Ausmaß. Auch die Frage, wer – und mit welchen Interessen – hinter der Attacke steht, bleibt vorerst ungeklärt.

Fast alle betroffen

Klar ist jedenfalls: Der Schaden ist potenziell riesig. Syniverse selbst behauptet, dass man jedes Jahr 740 Milliarden Textnachrichten verarbeitet. Zudem arbeite das Unternehmen weltweit mit 300 Mobilfunkanbietern zusammen, darunter 95 der 100 weltweit größten Provider. Laut Motherboard zählen dazu praktisch alle großen Namen der Branche, darunter auch T-Mobile, Vodafone und Telefónica.

Doch die schlechten Nachrichten enden hier noch nicht, denn wie eine Quelle bei einem Mobilfunkunternehmen betont, hätten die Angreifer potenziell nicht nur Zugriff auf die Metadaten zu Anrufen und SMS von Milliarden Nutzern gehabt, also wer mit wem wann kommuniziert, auch der ungefähre Standort ließe sich so theoretisch bestimmen. Vor allem aber hätten sie potenziell auch alle über Syniverse abgewickelten SMS mitlesen können.

Ob das auch passiert ist, lässt sich angesichts des Schweigens des Unternehmens nicht endgültig sagen, das sei noch einmal herausgestrichen. Immerhin heißt ein Zugriff noch nicht, dass auch wirklich Daten abgegriffen wurden – und auch ob die Hacker wirklich Einblick in die Daten hatten, ist nicht komplett geklärt. Sollte das aber so gewesen sein, wäre es eine Art "globale Katastrophe für die Privatsphäre", wie es der Mobilfunkexperte Karsten Nohl gegenüber Golem formuliert.

Zweiter Faktor: Komplett ausgehöhlt

Das Mitlesen von privaten Kurznachrichten ist dabei nämlich noch das geringste Problem, auch weil mittlerweile viele für ihre Kommunikation auf sichere Messenger gewechselt sind. Zudem nutzen SMS-Apps wie Apples iMessage oder Android Messages mittlerweile Ende-zu-Ende-Verschlüsselung zur Kommunikation mit Geräten mit derselben Software, was die Zahl der betroffenen Nachrichten weiter reduziert. Allerdings käme dies einer praktisch vollständigen Aushöhlung SMS-basierter Zwei-Faktor-Authentifizierung gleich – hätten die Angreifer doch theoretisch auch solche Sicherheitscodes, die eigentlich dazu dienen sollen, Onlinekonten besser abzusichern, abfangen können. Und diese werden immer unverschlüsselt übertragen, zudem stammen sie üblicherweise von einem anderen Netzanbieter, womit sie also auch über Firmen wie Syniverse geleitet werden.

Generell raten Sicherheitsexperten zwar schon länger von der Nutzung von SMS für Zwei-Faktor-Authentifizierung ab, da diese sich auch über andere bekannte Attacken wie SIM-Swapping unterwandern lässt. Trotzdem bleibt es die beliebteste Methode zur Absicherung von Onlinekonten über ein klassisches Passwort hinaus. Während SIM-Swapping allerdings zumindest noch einigen Aufwand bedeutet, hätten sie die passenden Codes in dem Syniverse-Beispiel quasi automatisch geliefert bekommen. Sicherere Formen von Zwei-Faktor-Authentifizierung sind die Nutzung von via eigene Apps gelieferten OTP-Codes oder, besser noch, von eigenen Hardware-Sicherheitsschlüsseln.

Viele offene Fragen

Sollte sich der Worst Case bestätigen, wirft das natürlich auch die Frage auf, wann die betroffenen Mobilfunker ihre Kunden informieren werden, immerhin geht es hier um deren private Daten. Bisher scheint dies aber noch kein Provider vorgenommen zu haben. Von Seiten "3" heißt es in einer kurzen Stellungnahme gegenüber dem STANDARD, dass die eigenen Kunden davon nicht betroffen seien, weil man Syniverse nicht nutze. Bei Magenta tönt man ähnlich, man habe keinen Vertrag mit Syniverse, und sei auch sonst nicht betroffen.

Etwas vorsichtiger gibt sich A1 in seinem Statement: Demnach seien innerhalb von Europa verschickte SMS prinzipiell nicht betroffen, da hier die Produkte von Syniverse nicht zum Einsatz kommen. Anders sieht das vor allem bei SMS in Richtung Nord- und Südamerika aus, wo Syniverse tatsächlich den Markt dominiert. Genau aus diesem Grund sei man auch derzeit mit Syniverse in Kontakt, um die Folgen des Vorfalls abschätzen zu können. (Andreas Proschofsky, 6.10.2021)