Lexipedia

21.4649 · Interpellation · 2021-12-17

Finanzdepartement

Erledigt

Wortlaut

SIM-Swapping bzw. der Austausch von SIM-Karten ist eine Hackermethode, die seit der allgemeinen Einführung der 2-Faktor-Authentifizierung (2FA) auf dem Vormarsch ist.

Die Funktionsweise und deren Auswirkungen machen diese Methode zu einer Herausforderung für den Datenschutz, da der Angriff es ermöglicht, an die Telefonnummer des Opfers, die oft als zweiter Authentifizierungsfaktor verwendet wird, zu gelangen.

Der erhaltene Code ermöglicht anschliessend den Zugriff auf alle Arten von Online-Konten, Bankkonten, Geschäftskonten, Konten von Einrichtungen oder sogar von Betreiberinnen von Infrastrukturen, wenn sich der Angriff gegen eine solche richtet.

Weil 2FA-Lösungen für die gesamte Bevölkerung dieselben sind, sind wir alle betroffen, sowohl privat als auch beruflich oder politisch.

Ich bitte darum den Bundesrat, die folgenden Fragen zu beantworten:

1. Was unternimmt die Bundesverwaltung, um ihre Mitarbeitenden vor einem SIM-Swapping-Angriff zu schützen?

2. Hat sich das BAKOM bereits mit der Problematik befasst und Empfehlungen abgegeben?

3. Welche Massnahmen könnten zum Schutz der gesamten Bevölkerung, der Gemeinden, der Kantone und des Bundes ergriffen werden, um solche Angriffe zu verhindern?

Stellungnahme des Bundesrates

Für die Cybersicherheit und den Datenschutz ist die Umsetzung von Zwei-Faktor-Authentifizierungen (2FA) eine essentielle Massnahme. Sie verhindert sehr viele Angriffe, weil die Angreifer sich Zugang zu zwei verschiedenen Sicherungssystemen verschaffen müssen. Es trifft aber zu, dass Authentifizierungsmethoden, die auf einem Versand von Codes an eine Telefonnummer basieren, umgangen werden können. Neben dem erwähnten SIM Swapping werden dazu auch Schwachstellen in den Übermittlungs- und Signalisierungsprotokollen (SS7) ausgenutzt. Die Authentisierung mit Hilfe eines SMS Tokens ist deshalb zwar sicherer als eine Authentisierung mit nur einem Faktor (Passwort), aber nicht ausreichend für einen höheren Schutzbedarf.

Aus diesem Grund wurden sichere Alternativen für die 2FA entwickelt. Smartcards und Kryptosticks ermöglichen beispielsweise eine sichere Identifizierung und Verschlüsselung der Kommunikation. Auch Geräte, die ein einmaliges Passwort generieren sind seit vielen Jahren im Einsatz. Zunehmend wichtig für die 2FA werden Softwarelösungen, welche ein einmaliges Passwort generieren und Anwendungen wie die Mobile ID, welche direkt in die SIM-Karten integriert sind.

Zu den Fragen nimmt der Bundesrat wie folgt Stellung:

1) In der Bundesverwaltung sind die Anforderungen an die Authentifizierung in den Vorgaben für den Grundschutz geregelt. Der Zugriff von Personen auf Arbeitsplatz- und Serversysteme der Bundesverwaltung ist nur über eine 2FA möglich, welche Identifikationsmittel der Sicherheitsstufe "hoch" nutzt. Dies schliesst Lösungen über den Versand von Codes an Telefonnummern aus.

2) Das Nationale Zentrum für Cybersicherheit (NCSC) empfiehlt, 2FA umfassend umzusetzen, dabei aber die oben aufgeführten sicheren Methoden dafür einzusetzen. Es hat dies beispielsweise im Leitfaden "Home Office - Sicherer Umgang mit Fernzugängen" festgehalten.

3) Es bestehen sichere Alternativen für die 2FA via SMS. Diese können bereits heute umgesetzt werden. Beim Einsatz dieser Mittel lässt sich die Bedrohung der Sicherheit von 2FA durch SIM Swapping beseitigen.

Antwort des Bundesrates.