Warum SMS-Textnachrichten weder privat noch sicher sind

Hände, die ein Smartphone halten.

ImYanis/Shutterstock.com



Sie könnten denken, dass der Wechsel von Facebook Messenger zu altmodischen Textnachrichten dazu beitragen würde, Ihre Privatsphäre zu schützen. Aber Standard-SMS-Textnachrichten sind nicht sehr privat oder sicher. SMS ist wie Fax – ein alter, überholter Standard, der sich weigert, wegzugehen.

Ihr Mobilfunkanbieter kann Ihre SMS-Nachrichten sehen

Bei SMS sind die von Ihnen gesendeten Nachrichten nicht Ende-zu-Ende-verschlüsselt. Ihr Mobilfunkanbieter kann den Inhalt von Nachrichten sehen, die Sie senden und empfangen. Diese Nachrichten werden auf den Systemen Ihres Mobilfunkanbieters gespeichert. Anstatt dass ein Technologieunternehmen wie Facebook Ihre Nachrichten sieht, kann Ihr Mobilfunkanbieter Ihre Nachrichten sehen.





Mobilfunkanbieter speichern den Inhalt dieser Nachrichten für verschiedene Zeiträume . Nachrichten werden oft nur mehrere Tage aufbewahrt, aber Metadaten (welche Nummer hat wann eine Nachricht an welche Nummer gesendet) speichern sie noch länger. Diese Aufzeichnungen können in Gerichtsverfahren einer Vorladung unterzogen werden – zum Beispiel sind SMS-Aufzeichnungen eine gängige Form von Beweismitteln in Scheidungsfällen.

Vergleichen Sie dies mit einer Ende-zu-Ende-verschlüsselten Chat-App wie Signal . Signal hat nicht den Inhalt Ihrer Kommunikation. Signal weiß nicht einmal, mit wem Sie sprechen. Ihre Gesprächsdaten werden nur auf Ihrem Gerät und dem Gerät Ihres Gesprächspartners gespeichert – fertig.



Anzeige

Abgesehen davon, sollten Sie Ihrem Mobilfunkanbieter Ihre Gespräche anvertrauen? Nun, im Jahr 2019 wurden AT&T, Sprint und T-Mobile als alle enthüllt Verkauf von Standortdaten von Kunden an Aggregatoren. Es wurde von jedem benutzt, vom Kautionsverwalter bis zum abtrünnigen Kopfgeldjäger. (Nachdem dies in den Nachrichten gemeldet wurde, versprachen die Mobilfunkanbieter, aufzuhören.)

Möchten Sie, dass diese Unternehmen alle Inhalte Ihrer persönlichen Gespräche sehen?

VERBUNDEN: Kann jeder den genauen Standort meines Telefons wirklich verfolgen?



SMS-Nachrichten können von Kriminellen abgefangen werden

Mobilfunktürme vor einem Sonnenunterganghintergrund.

SERDTHONGCHAI/Shutterstock.com

Aber SMS-Nachrichten werden aus Sicherheitsgründen verwendet, oder? Es gibt einen Grund, warum sich jede Bank und jedes Finanzinstitut auf SMS-Nachrichten verlässt, um Ihre Identität zu bestätigen – oder?

Nun ja, es gibt einen Grund. Aber dieser Grund liegt nicht in der Sicherheit. Es ist nur so, dass jeder eine Telefonnummer hat. Das Erfordern einer Bestätigung per SMS erhöht die Sicherheit zusätzlich. Auch wenn SMS nicht besonders sicher ist, stellt es zumindest sicher, dass ein Angreifer neben der Eingabe Ihres Passworts auch eine SMS-Nachricht abfangen muss.

SMS-Nachrichten können abgefangen werden. Mobilfunknetze auf der ganzen Welt sind über das Signaling System No 7 (SS7)-Protokoll miteinander verbunden. Auf diese Weise kann sich Ihr Telefon mit einem Mobilfunknetz verbinden und Anrufe tätigen und empfangen, selbst wenn Sie sich in einem anderen Land auf der anderen Seite der Welt befinden.

Das SS7-System wurde immer wieder von Hackern angegriffen die SMS-Nachrichten ausspioniert oder abgefangen haben. Dies ist beispielsweise bei der Kompromittierung von Bankkonten besonders nützlich – die Angreifer können die üblicherweise per SMS versendeten Verifizierungscodes ausspionieren, damit auf Bankkonten zugreifen und diese entleeren.

Aus diesem Grund haben Sicherheitsexperten Von der Verwendung von SMS für die Zwei-Faktor-Authentifizierung wird abgeraten . Eine App, die generiert Codes auf Ihrem Gerät oder ein physischer Sicherheitsschlüssel ist viel kugelsicherer. (Wenn jedoch SMS die einzige verfügbare Option ist, SMS ist besser als nichts .)

SMS-Nachrichten können von Behörden überwacht werden

Regierungen auf der ganzen Welt haben Zugang zu Stachelrochen , Geräte, die im Wesentlichen einen Mobilfunkmast imitieren. Wenn sie in der Nähe Ihres physischen Standorts platziert werden, verleiten diese Ihr Telefon dazu, sich mit ihnen zu verbinden (wie Ihr Telefon mit einem normalen Mobilfunkmast verbunden wäre). Das Stingray-Gerät kann dann Ihre Bewegungen verfolgen und Ihre SMS-Textnachrichten anzeigen – genau wie Ihr Mobilfunkanbieter.

Anzeige

Über die lokale Überwachung hinaus können SMS-Nachrichten auch in größeren Überwachungssystemen erfasst werden. Gemäß Dokumente, die von Edward Snowden im Jahr 2014 veröffentlicht wurden , sammelte die NSA zu dieser Zeit täglich über 200 Millionen SMS aus der ganzen Welt.

Auch die Geheimdienste anderer Länder haben Zugang zu Stachelrochen und SMS-Überwachungstechnologie, also ist klar, warum verschlüsselte Kommunikations-Apps wie Signal und Telegram sind besonders beliebt bei Aktivisten, die unter repressiven Regimen leben. Telegramm und Signal sind beispielsweise im Iran verboten .

VERBUNDEN: Signal vs. Telegram: Welches ist die beste Chat-App?

Ihre Telefonnummer ist überraschend einfach zu kapern

Abgesehen von SMS haben Telefonnummern tatsächlich eine sehr schlechte Sicherheit – auf Betreiberebene. Ein Betrüger kann Ihren Mobilfunkanbieter anrufen oder in ein Geschäft gehen und sich als Sie ausgeben. Wenn der Betrüger genügend Details hat und die Kundendienstmitarbeiter Ihres Mobilfunkanbieters austricksen kann, können sie die Kontrolle über Ihre Telefonnummer erlangen. Sie können den Mobilfunkanbieter veranlassen, Ihre Telefonnummer zu einem anderen Mobilfunkanbieter zu portieren – genau wie Sie es tun würden, wenn Sie zu einem anderen Mobilfunkanbieter wechseln würden. Oder sie lassen den Mobilfunkanbieter eine neue SIM-Karte ausstellen, die an Ihre Telefonnummer gebunden ist, und deaktivieren Ihre vorhandene SIM-Karte, wodurch der Zugriff auf Ihre Telefonnummer aufgehoben wird.

Jetzt hätte der Angreifer Ihre Telefonnummer. Damit können sie auf Konten zugreifen, die durch SMS-basierte Zwei-Faktor-Authentifizierung geschützt sind. Für einen einzelnen Betrüger ist es schließlich einfacher, einen Kundendienstmitarbeiter auszutricksen, als SS7 zu hacken. Das nennt man ein Port-Out-Betrug oder ein SIM-Swapping-Angriff.

Anzeige

Sie können Ihre Telefonnummer oft schützen, indem Sie bei Ihrem Mobilfunkanbieter zusätzliche PINs und Sicherheitsfunktionen hinzufügen. Erkundigen Sie sich bei Ihrem Mobilfunkanbieter, welche Sicherheitsfunktionen er zum Schutz vor Port-Out-Betrug bietet.

Das ist schon einigen passiert – genug davon die FCC und Besseres Geschäftsbüro haben Warnungen vor diesem Betrug veröffentlicht.

VERBUNDEN: Kriminelle können Ihre Telefonnummer stehlen. So stoppen Sie sie

iMessage und RCS: Besser als SMS?

Ein iMessage-Gespräch mit blauen Blasen auf dem iPhone.

DenPhotos/Shutterstock.com

Die Nachrichten-App auf dem iPhone unterstützt sowohl SMS als auch Apples eigene iMessage-Dienst . Auf Android sind immer mehr Android-Handys Unterstützung bekommen für die moderneren Rich Communication Services (RCS)-Standard . Beide wurden entwickelt, um SMS-Konversationen im Hintergrund auf modernere und sicherere zu aktualisieren, wenn beide Personen Geräte verwenden, die sie unterstützen. Wie sind sie also im Vergleich zu SMS?

Apples iMessage nutzt SMS gewissermaßen als Huckepack und verwendet Telefonnummern als Identifikatoren. Wenn sowohl Sie als auch die Person, der Sie eine SMS senden möchten, über ein iPhone verfügen und iMessage aktiviert haben, wird jeder von Ihnen gesendete Text stattdessen als iMessage gesendet. Diese werden Ende-zu-Ende verschlüsselt und über die Server von Apple gesendet. Sie wissen, dass iMessage verwendet wird, weil die Nachrichten haben blaue Blasen . Wenn Sie stattdessen grüne Blasen sehen, verwendet die Nachrichten-App stattdessen SMS – weil Sie jemandem ohne iMessage Nachrichten senden, wahrscheinlich einer Person, die ein Android-Benutzer ist.

Der RCS-Standard, der für Android-Benutzer gepusht wird – stellen Sie sich das Google/Android-Äquivalent zu Apples iMessage vor – unterstützte ab Januar 2021 keine Ende-zu-Ende-Verschlüsselung. Ab November 2020 war Google arbeiten daran, RCS um Ende-zu-Ende-Verschlüsselung zu erweitern . Das bedeutet, dass Ihr Mobilfunkanbieter auch mit diesem schicken neuen RCS-System auf Ihrem Android-Telefon den Inhalt der von Ihnen gesendeten Nachrichten wie bei SMS sehen kann.

Die Probleme mit SMS, zusammengefasst

Lassen Sie uns die Probleme mit SMS schnell zusammenfassen und mit einer sicheren, Ende-zu-Ende-verschlüsselten Chat-App wie Signal vergleichen.

Mit SMS:

  • Ihr Mobilfunkanbieter kann den Inhalt der Nachrichten sehen, die Sie senden und empfangen. Alle gesammelten Aufzeichnungen könnten in Gerichtsverfahren vorgeladen werden.
  • SMS-Nachrichten können von Hackern aufgrund von Schwachstellen in dem klapprigen alten Protokoll, das sie antreibt, abgefangen werden. Dies gefährdet finanzielle und andere Konten.
  • Behörden können Stachelrochen einsetzen, um den Inhalt von Textnachrichten in einem Gebiet auszuspionieren.
  • Betrüger können versuchen, Ihre Handynummer zu stehlen, indem sie die Kundendienstmitarbeiter Ihres Mobilfunkanbieters austricksen.

Mit Signal zum Beispiel:

  • Ihr Mobilfunkanbieter kann den Inhalt Ihrer Nachrichten nicht sehen. Nicht einmal Signal kann den Inhalt Ihrer Nachrichten sehen oder mit wem Sie Kontakt aufnehmen – das bleibt geheim. Signal sammelt diese Daten nicht. Wenn es durch eine Vorladung erzwungen wird, kann Signal verraten fast nichts über Ihre Nutzung des Dienstes.
  • Signalnachrichten können realistischerweise nicht von Hackern gekapert werden. Sie müssten Kompromisse eingehen Signalverschlüsselungsprotokoll , die Sicherheitsexperten für hervorragend halten. (Im Gegensatz dazu wurde SS7 wiederholt kompromittiert.)
  • Stachelrochen können Ihre Unterhaltungen nicht sehen. Behörden können den Inhalt von Signal-Nachrichten nicht ausspionieren – nicht ohne ein Telefon in die Hände zu bekommen, das sie enthält. Alles, was sie sehen können, ist verschlüsselter Datenverkehr, der an die Server von Signal hin und her gesendet wird.
  • Ein Port-Out-Betrug, bei dem Ihre Telefonnummer erfasst wird, würde keinen Zugriff auf Ihr Signal-Konto gewähren. Sie können Ihr Signal-Konto schützen mit a STIFT , sodass ein Betrüger nicht einfach auf Ihr Signal-Konto zugreifen kann. Selbst wenn der Betrüger Ihre PIN erraten und auf Ihr Signal-Konto zugreifen könnte, werden Ihre Signal-Nachrichten auf Ihrem Telefon gespeichert und nicht mit neuen Geräten synchronisiert, die Zugriff auf Ihr Konto erhalten.

Was Sie stattdessen verwenden sollten

Signal-Apps, die die Konversationsliste und Konversation anzeigen.

Signal

Wir haben hier Signal als Beispiel verwendet, da der Kontrast so stark ist. Signal ist die am häufigsten empfohlene private Chat-App mit immer aktiver Ende-zu-Ende-Verschlüsselung .

Anzeige

Wenn Sie ein iPhone haben, ist die Kommunikation mit iMessage viel privater und sicherer als die Verwendung einfacher alter SMS. Hoffentlich werden Android-Benutzer eines Tages sichere Ende-zu-Ende-verschlüsselte Nachrichten in ihre Geräte integriert haben, nachdem Verbesserungen an RCS vorgenommen wurden. Leider sind iMessage und RCS nicht miteinander kompatibel, sodass iPhones und Android-Telefone über SMS kommunizieren müssen – oder zu anderen Chat-Apps wechseln müssen, die nicht integriert sind.

Andere Chat-Apps sind ebenfalls eine Option. Telegramm ist beliebt, verwendet jedoch standardmäßig keine Ende-zu-Ende-Verschlüsselung. WhatsApp verwendet zumindest standardmäßig eine Ende-zu-Ende-Verschlüsselung, im Gegensatz zu Facebook Messenger – wenn Sie einer von Facebook betriebenen Chat-App vertrauen. Aber sogar Facebook Messenger ist wohl sicherer als SMS – Sie vertrauen Facebook mit Ihren Nachrichten, müssen sich aber zumindest keine Sorgen um die Probleme des alten, knarrenden alten SS7-Protokolls machen.

Aus Gründen der Zwei-Faktor-Sicherheit ist es am besten, SMS für wirklich kritische Aufgaben zu vermeiden. Leider greifen einige Dienste sowieso auf die SMS-Authentifizierung zurück – der Einfachheit halber. Manchmal gibt es Alternativen. Beispielsweise, Google bietet erweiterten Schutz für Journalisten, Aktivisten, Wirtschaftsführer und Politiker, die maximale Sicherheit für ihre Konten benötigen, und es erfordert die Verwendung von a physischer Sicherheitsschlüssel . Trotzdem ist SMS-basierte Zwei-Faktor-Sicherheit immer noch besser als nichts.

VERBUNDEN: Was ist Signal und warum verwendet es jeder?

Die Zukunft von SMS: Wird es jemals behoben?

SMS ist einfach veraltete Technologie. Es wurde eindeutig nicht im Hinblick auf Datenschutz und Sicherheit entwickelt, und diese Designentscheidungen sind noch heute enthalten.

Hoffentlich wird dies in Zukunft behoben. Wenn RCS ausgereifter wird, eine Ende-zu-Ende-Verschlüsselung erhält und auf allen Android-Telefonen verfügbar ist – nun, dann müsste Apple nur noch zustimmen, RCS in irgendeiner Weise mit iMessage kompatibel zu machen. Dann hätten alle modernen Smartphones sicheres Messaging, das nicht von alten integrierten Protokollen abhängt.

Im Moment ist es am besten, Textnachrichten zu vermeiden, wenn Sie sich Sorgen um Ihre Privatsphäre oder die Sicherheit Ihrer Konten machen.

VERBUNDEN: Signal vs. Telegram: Welches ist die beste Chat-App?

WEITER LESEN Profilfoto von Chris Hoffman Chris Hoffmann
Chris Hoffman ist Chefredakteur von How-To Geek. Er schreibt über ein Jahrzehnt über Technologie und war zwei Jahre lang Kolumnist bei PCWorld. Chris hat für die New York Times geschrieben, wurde als Technologieexperte von Fernsehsendern wie Miamis NBC 6 interviewt und ließ sich von Nachrichtenagenturen wie der BBC über seine Arbeit berichten. Seit 2011 hat Chris über 2.000 Artikel geschrieben, die fast eine Milliarde Mal gelesen wurden – und das nur hier bei How-To Geek.
Vollständige Biografie lesen

Interessante Artikel