Das Thema SIM swapping finde ich eine interessante Fragestellung, welche dir von offizieller Seite in diesem Forum wohl niemand beantworten wird. Swisscom und auch andere Anbieter müssten hier ihre Prozesse anpassen resp. über Schutzmassnahmen Auskunft geben, was vermutlich keiner tun wird.
An deiner Stelle würde ich auf SMS MFA verzichten und auf modernere Verfahren wie Push Tokens inkl. number matching, software / hardware OTP, FIDO2 key oder gleich passkey setzen.
https://learn.microsoft.com/de-de/entra/identity/authentication/concept-authentication-methods
@Metteunteu61 schrieb:Du fühlt man sich als Swisscom-Kunde jetzt doch viel sicherer.
Da wiegt man sich wohl leider in falscher Sicherheit:
- SMS ist ein unsicherer, unverschlüsselter Kommunikationskanal. Dank SS7 ist es für Kriminelle und Geheimdienste sehr leicht, SMS mitzulesen, abzufangen oder zu verfälschen. Auch der Versand von SMS mit gefälschten Telefonnummern des Absenders ist sehr einfach.
- Klassische Sprachtelefonie per MSISDN (Telefonnummer +41....) ist ein unsicherer, unverschlüsselter Kommunikationskanal. Die Telefonnummer des Anrufenden ist sehr leicht fälschbar. Bei VoIP-Telefonieanbieter wie DUS.net kann man die beim Angerufenen anzuzeigende Telefonnummer auf einer Webseite (Kundencenter) konfigurieren:
Bei diesen VoIP-Telefonieanbietern verhindert nur ein "Verifizierungsanruf" durch den VoIP-Telefonieanbieter gröberen Unfug mit der Telefonnummer.
Zur Erinnerung: Wegen der mangelhaften Authentifizierung des Mobilfunknetzwerks durch das Mobiltelefon ist jedes ordentlich konfigurierte WLAN sicherer als das sicherste Mobilfunknetzwerk auf dieser Erdkugel! Siehe dazu:
Für die eigene Sicherheit muss man immer SELBER sorgen! Da darf man sich NIE auf Zweit- oder Drittpersonen verlassen...
=> Nach Möglichkeit sichere, verschlüsselte Kommunikationskanäle mit Ende-zu-Ende-Verschlüsselung verwenden (TLS, SSH, S/MIME, OpenPGP, HTTPS, SIPS/SRTP, zRTP, Axolotl-/Matrix-Protokoll und so weiter). Alle Endgeräte unter vollständiger, eigener Kontrolle. Zügig alle Sicherheitsupdates auf allen Endgeräten installieren.
=> Nach Möglichkeitkeit für den Netzwerkzugriff benötigte Basisdienste, wie DNS, Radius und NTP, mit sicherer Authentifizierung (und Verschlüsselung) absichern: DNSSEC, DNS mit TLS, Network Time Security (NTS), Radsec und so weiter. Alle Netzwerkkomponenten unter vollständiger, eigener Kontrolle. Zügig alle Sicherheitsupdates auf allen Netzwerkkomponenten installieren.
=> Nach Möglichkeit eigene Netzwerke und Funknetzwerke verwenden und betreiben (WLAN, LoRaWAN, Meshtastic) .Netzwerkzugriff mit Massnahmen wie SPI-Firewall, VPN, VLAN, EAP-TLS, 802.1x und so weiter absichern.
=> Die für die verschlüsselte Kommunikation, Netzwerkzugriff und Authentifikation verwendeten privaten Schlüsseln sind nach Möglichkeit in einem HSM aufzubewahren (Smartcard, (f)TPM, USB-Security-Token, SIM-Karte und so weiter).
