Digital Life

"Handy-Signatur ist durch Phishing einfach zu knacken"

In einem Blogeintrag beschreibt Robert Penz wie die Handy-Signatur sowie der Nutzer durch einen einfachen Phishing-Angriff inklusive einem Man-in-the-Middle-Server ausgetrickst werden kann. Es ist zwar nicht sonderlich neu, dass durch ausgeklügeltes Phishing so ziemlich alles geknackt werden kann, doch Penz stößt sich vor allem an der Selbstbeschreibung der Handy-Signatur, in der wörtlich behauptet wird: "Handy-Signatur und Bürgerkarte (...) bieten hohe Sicherheit vor Diebstahl der Zugangscodes (z.B. Phishing), Angriffen über das Netz (Man in the Middle) und Angriffen am Computer (z.B. Viren)."

"Das stimmt so einfach nicht", sagt Penz gegenüber der futurezone: "Wie ich in meinem Blogeintrag gezeigt habe, ist die Handy-Signatur durch Phishing und einer Man-in-the-Middle-Attacke relativ leicht zu knacken."

Nutzer als Schwachstelle

Auf diese Phishing-Möglichkeit angesprochen meint Michael Butz, Geschäftsführer von A-Trust, das für die technische Infrastruktur hinter der Handy-Signatur zuständig ist: "Ja, das ist prinzipiell nichts Neues. Phishing ist immer schon ein Problem gewesen und wird auch eines bleiben, solange die Nutzer auf die Betrugsmasche hereinfallen. Durch die Zwei-Faktor-Authentifizierung bieten wir aber ein hohes Maß an Sicherheit."

Ohne auf Details einzugehen, erklärt man auch beim cert.at, dass derartige Angriffsvektoren eine gängige Betrugsmasche sind und in allen Bereichen, etwa dem Online-Banking, vorkommen. Die Schwachstelle bei dieser Betrugsmethode sei aber meist nicht die Technik an sich, sondern die Nutzer, die einen Fehler machen und auf Tricks hereinfallen.

"In unserem Nutzungsvertrag weisen wir ausdrücklich darauf hin, dass es derartige Betrugsmaschen gibt und dass man als Nutzer immer genau kontrollieren soll - etwa an der Adresszeile - wo man seine Nutzerdaten eingibt", sagt Butz. "Das wäre ungefähr so, als würde man jemand einen Zettel zum Unterschreiben hinhalten und derjenige unterschreibt, ohne vorher den Inhalt gelesen zu haben."

Verbesserungsvorschläge

In seinem Blogeintrag schlägt Penz mehrere Punkte vor, wie man die Handy-Signatur sicherer machen könnte. Demnach könnte man etwa in der Verifizierungs-SMS darauf hinweisen, bei welchem Service sich der Nutzer gerade anmelden möchte.

"Wir werden uns die Vorschläge genau ansehen und gegebenenfalls reagieren", sagt Butz. Er weist allerdings darauf hin, dass keiner dieser Punkte einen endgültigen Schutz vor Phishing sei und in der Verifizierungs-SMS ohnehin ein Referenzwert angegeben wird.

"Mittlerweile nutzen mehr als 600.000 Menschen in ganz Österreich die Handy-Signatur und es hat noch keinen einzigen 'erfolgreichen' Angriff gegeben", erklärt Butz. Darüber hinaus müsse A-Trust äußerst strenge Auflagen erfüllen und die Infrastruktur der Handy-Signatur stehe unter staatlicher Aufsicht. "Wir bieten das höchste Sicherheitslevel, das es derzeit am Markt gibt", sagt Butz.

Verwendet ihr die Handy-Signatur? Sagt uns eure Meinung zur Bürgerkarte am Smartphone

Klicken Sie hier für die Newsletteranmeldung

Hat dir der Artikel gefallen? Jetzt teilen!

Florian Christof

FlorianChristof

Großteils bin ich mit Produkttests beschäftigt - Smartphones, Elektroautos, Kopfhörer und alles was mit Strom betrieben wird.

mehr lesen