Zur mobilen Ansicht wechseln »

Sicherheit "Handy-Signatur ist durch Phishing einfach zu knacken".

Die Handy-Signatur entspreche hohen Sicherheitsstandards, erklärt der A-Trust-Geschäftsführer
Die Handy-Signatur entspreche hohen Sicherheitsstandards, erklärt der A-Trust-Geschäftsführer - Foto: futurezone
Durch einen Phishing-Angriff seien die Sicherheitsmechanismen der Handy-Signatur einfach zu umgehen. Die Schwachstelle dabei bleibt aber der Nutzer.

In einem Blogeintrag beschreibt Robert Penz wie die Handy-Signatur sowie der Nutzer durch einen einfachen Phishing-Angriff inklusive einem Man-in-the-Middle-Server ausgetrickst werden kann. Es ist zwar nicht sonderlich neu, dass durch ausgeklügeltes Phishing so ziemlich alles geknackt werden kann, doch Penz stößt sich vor allem an der Selbstbeschreibung der Handy-Signatur, in der wörtlich behauptet wird: "Handy-Signatur und Bürgerkarte (...) bieten hohe Sicherheit vor Diebstahl der Zugangscodes (z.B. Phishing), Angriffen über das Netz (Man in the Middle) und Angriffen am Computer (z.B. Viren)."

"Das stimmt so einfach nicht", sagt Penz gegenüber der futurezone: "Wie ich in meinem Blogeintrag gezeigt habe, ist die Handy-Signatur durch Phishing und einer Man-in-the-Middle-Attacke relativ leicht zu knacken."

handysignatur1.jpg
Mit dieser Grafik erklärt Robert Penz die Phishing-Attacke - Foto: Robert Benz

Nutzer als Schwachstelle

Auf diese Phishing-Möglichkeit angesprochen meint Michael Butz, Geschäftsführer von A-Trust, das für die technische Infrastruktur hinter der Handy-Signatur zuständig ist: "Ja, das ist prinzipiell nichts Neues. Phishing ist immer schon ein Problem gewesen und wird auch eines bleiben, solange die Nutzer auf die Betrugsmasche hereinfallen. Durch die Zwei-Faktor-Authentifizierung bieten wir aber ein hohes Maß an Sicherheit."

Ohne auf Details einzugehen, erklärt man auch beim cert.at, dass derartige Angriffsvektoren eine gängige Betrugsmasche sind und in allen Bereichen, etwa dem Online-Banking, vorkommen. Die Schwachstelle bei dieser Betrugsmethode sei aber meist nicht die Technik an sich, sondern die Nutzer, die einen Fehler machen und auf Tricks hereinfallen.

"In unserem Nutzungsvertrag weisen wir ausdrücklich darauf hin, dass es derartige Betrugsmaschen gibt und dass man als Nutzer immer genau kontrollieren soll - etwa an der Adresszeile - wo man seine Nutzerdaten eingibt", sagt Butz. "Das wäre ungefähr so, als würde man jemand einen Zettel zum Unterschreiben hinhalten und derjenige unterschreibt, ohne vorher den Inhalt gelesen zu haben."

Verbesserungsvorschläge

In seinem Blogeintrag schlägt Penz mehrere Punkte vor, wie man die Handy-Signatur sicherer machen könnte. Demnach könnte man etwa in der Verifizierungs-SMS darauf hinweisen, bei welchem Service sich der Nutzer gerade anmelden möchte.

"Wir werden uns die Vorschläge genau ansehen und gegebenenfalls reagieren", sagt Butz. Er weist allerdings darauf hin, dass keiner dieser Punkte einen endgültigen Schutz vor Phishing sei und in der Verifizierungs-SMS ohnehin ein Referenzwert angegeben wird.

"Mittlerweile nutzen mehr als 600.000 Menschen in ganz Österreich die Handy-Signatur und es hat noch keinen einzigen 'erfolgreichen' Angriff gegeben", erklärt Butz. Darüber hinaus müsse A-Trust äußerst strenge Auflagen erfüllen und die Infrastruktur der Handy-Signatur stehe unter staatlicher Aufsicht. "Wir bieten das höchste Sicherheitslevel, das es derzeit am Markt gibt", sagt Butz.

 

Verwendet ihr die Handy-Signatur? Sagt uns eure Meinung zur Bürgerkarte am Smartphone

(futurezone) Erstellt am 03.02.2016, 11:28

Kommentare ()

Einen neuen Kommentar hinzufügen

( Abmelden )

Dein Kommentar

Antworten folgen
Melden Sie den Kommentar dem Seitenbetreiber. Sind Sie sicher, dass Sie diesen Kommentar als unangemessen melden möchten?
    Bitte Javascript aktivieren!