Ihr Smartphone, Ihre Identität: Wie Sie PII-Daten schützen

Haben Sie schon einmal darüber nachgedacht, wie oft Sie Ihre Telefonnummer weitergeben? Die meisten von uns tun das ständig – an Freunde, Bekannte, Kollegen und sogar an gigantische, unpersönliche Unternehmen. Wir drucken sie vielleicht sogar noch auf Visitenkarten oder hinterlassen sie in öffentlichen Foren. 

Ein Mobiltelefon ist schon lange deutlich mehr als ein Medium, um mit anderen in Kontakt zu treten. Es ist inzwischen die schnellste Möglichkeit, einen großen Teil der Weltbevölkerung zu erreichen, und das nicht nur für Telefongespräche. Denken Sie an die breite Palette von Einsatzmöglichkeiten eines durchschnittlichen Smartphones: 

Anzeige
  • SMS und andere Instant Messaging-Nachrichten
  • Social Media
  • Aufnehmen und Speichern von Fotos und Videos
  • Lokalisierungsdienste
  • Spiele und
  • viele andere Annehmlichkeiten.

Die Geräte haben sich in unserer Kultur festgesetzt und sind scheinbar anatomisch mit der menschlichen Hand verbunden. Für viele Nutzer ist ein Blick auf die Nutzungsstatistiken nicht selten ernüchternd. Und man kann durchaus auf den Gedanken kommen, sich von seinem Mobilgerät zu trennen.

Mobilgeräte und PII-Daten (persönlich identifizierbare Informationen)

Mobile Endgeräte und Smartphones haben unser Leben vereinfacht. Die Kehrseite: wir sind anfälliger für Cyberkriminalität denn je. Allein aus der Telefonnummer lassen sich eine Vielzahl weiterer Informationen ableiten. Telefonnummern gehören neben anderen Daten also zu Recht zu den personenbezogenen Daten (PII). Diese Tatsache macht Mobiltelefone für Cyberkriminelle besonders attraktiv.

Eine Möglichkeit, uns angreifbar zu machen, ist, es Artikel auf einem Online-Marktplatz zu kaufen oder zu verkaufen oder auch nur anzufragen. Anbieter fragen beispielsweise nach der Handy-Nummer, um sich einfacher austauschen zu können. Bequem und auf den ersten Blick harmlos, vor allem weil die Messaging-Programme solcher Seiten im Gebrauch meist umständlich sind. 

In einigen Fällen hören Sie allerdings nie wieder von dem vermeintlichen Interessenten. Denn alles, was er wollte ist Ihre Telefonnummer. Eine verifizierte Telefonnummer lässt sich für alle möglichen Dinge verwenden – von gefälschten Anrufen und SMS bis hin zu Kontoübernahmen. Die Nummer landet dann vielleicht noch auf einer Liste mit Daten, die an andere Cyberkriminelle verkauft werden.

Handynummern und E-Mail-Adressen sind grundlegende Formen der Identifizierung in der Online-Welt. Eigentlich aufgrund von Schwachstellen im SS7-Routing-Protokoll veraltet, sind Sie dennoch die wichtigste Methode zur Identifikation mittels Zwei-Faktor-Authentifizierung (2FA). Und das für ein IoT-Thermostat, genauso wie für ein beruflich genutztes VPN oder die eigene Banking-Website. Auch der Kurznachrichtendienst Twitter hat früher Telefonnummern für seinen 2FA-Mechanismus verwendet. Als er endlich abgeschafft wurde, war das für die Sicherheits-Community durchaus ein Grund zum Feiern. 

Die meisten Websites unterstützen 2FA in unterschiedlichen Formen. Dazu kann man sich unter 2fa.directory schlau machen. Hier finden Sie nicht nur den 2FA-Status der betreffenden Website, sondern auch einen Link zu den entsprechenden 2FA-Setup-Anweisungen.

Allerdings gibt es nur wenige Sicherheitsvorkehrungen für Telefonnummern, sodass ein Angreifer einen „Sim-Karten-Swap“ auslösen kann, um sich als das betreffende Mobiltelefon auszugeben. Dadurch ist er in der Lage, Zwei-Faktor-Authentifizierungscodes und Links zum Zurücksetzen von Passwörtern abzufangen und sich möglicherweise Zugang zu Ihren Online-Konten verschaffen. 

So schützen Sie sich und Ihre Daten

Handybasierte Angriffe sind nicht neu, aber sie sind sehr viel häufiger geworden, mit potenziell schwerwiegenden Folgen auf privater wie geschäftlicher Ebene. Jedenfalls wenn Ihr Handy SMS zur Validierung Ihrer Identität erhält. 

Wie Sie sich schützen können: 

  • Wenn Sie die Möglichkeit haben, verwenden Sie keine Textnachrichten als Methode zur 2FA. Wählen Sie besser eine 2FA-App wie Duo oder Google Authenticator. 
  • Wenn Sie keine Authentifizierungs-App verwenden können, sollten Sie sich eine separate Telefonnummer zulegen, die Sie lediglich zu Authentifizierungszwecken verwenden. Viele Handys verfügen über mehrere SIM-Karten, so dass Sie dem Gerät zwei Nummern zuordnen können. 
  • Richten Sie eine Google Voice-Nummer für Ihre 2FA-Benachrichtigungen ein, um so die echte Telefonnummer zu verbergen. 
  • Die meisten Mobilfunkanbieter bieten die Möglichkeit, Ihre Nummer durch einen PIN-Code zu “sperren”. Wenn eine Sperre für eine Nummer eingerichtet ist, kann diese Nummer nicht mehr auf einen anderen Anschluss oder Anbieter transferiert oder portiert werden, es sei denn, die PIN wird angegeben. 

Verwenden Sie beim Ausfüllen von Online-Formularen nicht Ihre tatsächliche Telefonnummer, es sei denn, es ist unbedingt erforderlich. Verwenden Sie die „Hollywood“-Version einer Nummer, d.h. eine Nummer, die mit 555 beginnt.

Ihr Handy kommuniziert auf viele unterschiedliche Arten. Da verwundert es kaum, dass sich die Angriffsfläche für Cyberkriminelle vergrößert hat. Einladend für Cyberkriminelle, denn das Telefon bietet Unmengen an Informationen, alles in einem handlichen Paket. Telefonnummern sind PII-Daten und als solche mit allen Facetten Ihrer Identität verknüpft. Gehen Sie entsprechend damit um. 

Lamar Bailey, Tripwire 

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.