Sim-Tausch

    • Nachdem bei der Firma Ledger eine KundenDB mit fast ca 300′000 Kundendaten gehackt wurde, und diese dann nach einige Monaten in die Public Domain gestellt wurde ist das Thema Mobile Telefonie Sim Swap wieder einmal aktuell geworden. Als Swisscom Mobile Kunde frage ich mich, ob Sim Swap für mich eine Bedrohung sein könnte, wenn die Hacker zB. meinen Namen, Adresse, MobilNr haben? Für die alten Sim sehe ich eigentlich keine Gefahr, da eine neue Sim nach Hause geschickt wird. Aber wie sieht es bei eSim aus. Bekomme ich da in jedem Falle einen QR Code mit der Post? oder kann/darf das der Support auch remote/online machen?

    Dieser Beitrag ist in Deutsch
    • Walter_Wp gefällt das.

    • Hallo @Yed

      Sorry, dass du so lange auf eine Antwort warten musstest.

      Sicherheit ist bei Swisscom selbstverständlich ein grosses Thema. Und dies ist im Bereich eSIM und der Gefahr von SIM Swap nicht anders. Wir prüfen mögliche Lücken und Bedrohungen konstant.

      Wir können unseren Kunden versichern, dass eSIMs absolut sicher vor Cyberangriffen sind. Die GSMA Association (weltweite Industrievereinigung der Mobilfunkanbieter) stellt durch die eSIM und SIM Zertifizierung (SAS-Zertifizierung) sicher, dass alle eSIMs und eSIM Server im Markt den höchstmöglichen Sicherheitsstandard aufweisen. Aktuell sind keine Sicherheitslücken für eSIMs bekannt.

      Grundsätzlich kann gesagt werden, dass eine eSIM nicht anfälliger ist als eine physische SIM Karte. Das grösste Risiko bei allen SIM-Karten ist häufig in den Prozessen zu finden (SIM-Austausch, SIM-Karte wird liegen gelassen, altes Gerät wird mit aktiver SIM-Karte weitergeben, …). Da eine eSIM, nicht wie eine “normale” SIM Karte bei unbeaufsichtigten Geräten einfach aus dem Gerät entnommen werden kann, ist eine eSIM betreffend SIM-Diebstahl sogar sicherer. Der QR Code als Schlüssel zur persönlichen eSIM ist dem Kunden ausschliesslich über My Swisscom, dem eingeloggten und sicheren Kundencenter, zugänglich.

      Gruss Samuel

    17 Tage später

    Hallo @Yed

    Sorry, dass du so lange auf eine Antwort warten musstest.

    Sicherheit ist bei Swisscom selbstverständlich ein grosses Thema. Und dies ist im Bereich eSIM und der Gefahr von SIM Swap nicht anders. Wir prüfen mögliche Lücken und Bedrohungen konstant.

    Wir können unseren Kunden versichern, dass eSIMs absolut sicher vor Cyberangriffen sind. Die GSMA Association (weltweite Industrievereinigung der Mobilfunkanbieter) stellt durch die eSIM und SIM Zertifizierung (SAS-Zertifizierung) sicher, dass alle eSIMs und eSIM Server im Markt den höchstmöglichen Sicherheitsstandard aufweisen. Aktuell sind keine Sicherheitslücken für eSIMs bekannt.

    Grundsätzlich kann gesagt werden, dass eine eSIM nicht anfälliger ist als eine physische SIM Karte. Das grösste Risiko bei allen SIM-Karten ist häufig in den Prozessen zu finden (SIM-Austausch, SIM-Karte wird liegen gelassen, altes Gerät wird mit aktiver SIM-Karte weitergeben, …). Da eine eSIM, nicht wie eine “normale” SIM Karte bei unbeaufsichtigten Geräten einfach aus dem Gerät entnommen werden kann, ist eine eSIM betreffend SIM-Diebstahl sogar sicherer. Der QR Code als Schlüssel zur persönlichen eSIM ist dem Kunden ausschliesslich über My Swisscom, dem eingeloggten und sicheren Kundencenter, zugänglich.

    Gruss Samuel

    Dieser Beitrag ist in Deutsch
    ein Jahr später

    Bei SIM swaps ist praktisch IMMER social engineering im Spiel. Jemand ruft im call center an und kann sehr glaubwürdig erzählen, dass er die berechtigte Person sei, aber durch eine Verkettung von Umständen er keinen Zugriff mehr hat und nun alles zurück gesetzt werden muss. Das funktioniert auch mit gefälschten IDs im Shop.

    Ich würde wetten, Swisscom ist nicht gegen social hacking gefeit.

    Dieser Beitrag ist in Deutsch

    Relevanter wäre vermutlich:

    1. Hat oder hatte Swisscom Geschäftsbeziehungen mit der Firma Ledger?
    2. Falls ja: Befanden sich Swisscom Kundendaten unter den veröffentlichten?
    3. Wo gibt es eine Übersicht wann Dritte von Swisscom zur Verfügung gestellte Daten nicht genügend geschützt haben?
    4. Gibt es einen Prozess um bestimmte “Sicherheitsmerkmale” als nicht mehr sicher(verbrannt) zu melden sobald diese irgendwo veröffentlicht wurden?
    Dieser Beitrag ist in Deutsch