Ablauf und Feststellung der Gründe
Im Zeitraum vom 30. März bis 1. April 2025 wurde eine sogenannte SMS Massen Attacke (SMS Pumping Request) ausgeübt. Dieses führte automatisch zu einer Sicherheitsabschaltung des besagten SMS Service und einen Rückfall auf den Backup SMS Service der Swisscom Trust Services am Wochenende.
Die Analyse ergab zunächst einen Partner Test Account, der die Eingabemaske für die Mobilnummer unzureichend geschützt hatte und über das Internet für den Angreifer erreichbar war. CAPTCHA verification oder Limitierung der SMS Anfragen fehlten an dieser Eingabemaske, so dass der Angreifer seine Attacke durchführen konnte. Der Account wurde sofort gesperrt. Im weiteren Verlauf wurde festgestellt, dass die Attacke dadurch weniger wurde, aber dennoch SMS in Staaten abgeführt wurden, die normalerweise nicht in den Signing Service eingebunden sind.
Daraufhin wurde die komplette Aussendung von SMS ausserhalb EU, EWR, Schweiz und Grossbritannien unterbunden. Der primäre SMS-Service wurde wieder in Betrieb genommen.
Es wurde eine zweite Applikation gefunden, die ebenfalls die Schnittstelle unberechtigterweise nutzte. Auch diese Applikation wurde von der SMS-Auslösung getrennt.
Auch nach Abschaltung der zweiten Testapplikation konnten wir eine SMS-Zustellung an Drittländer ausserhalb der genannten europäischen Staaten feststellen. Im anschliessenden Dialog mit einigen Partnern wurde festgestellt, dass sporadisch wohl auch Bürger mit Wohnsitz in Drittstaaten diesen Dienst nutzen, obwohl das vertraglich ausgeschlossen war.
Wir haben ebenfalls auf den Standardtestapplikationen die Nutzung von Passwort-OTP Authentifizierung unterbunden.
Auswirkungen
Der Ausfall betraf ausschliesslich Legacy Signaturapplikationen mit OASIS Schnittstelle auf AIS, die noch nicht die Brokertechnologie im Einsatz haben und auch nur diejenigen Signaturapplikationen, die auf Einmalpasswörter im Zusammenhang mit der Signaturfreigabe setzen.
Betroffen durch den Wechsel auf den Backup SMS Service sind insbesondere Personengruppen, die Verträge mit einem (häufig günstigen) Networkoperator haben, zu dem dieser Backup SMS Service nur unzureichende Vertragsbeziehungen hat. Hintergrund sind oft die günstigeren Routing Optionen, die im Zusammenhang mit Interworking und Roamingvereinbarungen genutzt werden. Unser Primäranbieter hat eine wesentlich bessere Abdeckung solcher Verträge als der Backup Service.
Von der Abschaltung der SMS ausserhalb der EU/EWR/CH/UK sind EU/EWR Bürger, Bürger der Schweiz und der UK betroffen, die sich auf Reisen befanden oder befinden und ausserhalb Ihrer Wohnsitzländer eine SIM Karte des jeweiligen Ferienortes besorgt haben und diese für die Signatur nutzen wollten oder wollen.
Von der Einschränkung der Standardtestapplikationen sind Nutzer betroffen die die Signaturfreigabe mittels Passwort-Einmalcode via SMS testen wollen. Tests können nur mit Mobile ID oder Mobile ID App durchgeführt werden.
Empfehlungen und weitere Schritte
Grundsätzlich empfiehlt die Swisscom Trust Services nur sehr eingeschränkt die Nutzung von SMS im Bereich der Signaturfreigabe. Neben möglicher zukünftiger regulatorischer Einschränkungen im Rahmen der Verschärfung der Signaturgesetzgebung aufgrund der Angreifbarkeit einer SMS ist auch die Zustellung einer SMS nicht immer zuverlässig.
Wir empfehlen generell die Umstellung auf die Multiple Authentication Broker (MAB) Architektur und damit die verbunden die Nutzung der Authentisierungsverfahren wie Passkey, Mobile ID oder Signaturfreigabe App.
Für sogenannte One-Shot Signaturen, d.h. Signaturen, die immer mit einer Identifikation einhergehen, ermöglicht das Brokerverfahren eine Nutzung ohne Einmalcode via SMS Eingabe.
Sofern Bürger mit Wohnsitz in Drittstaaten den Einmalcode via SMS-Service nutzen müssen, muss das aufgrund der rechtlichen Bestimmungen explizit vertraglich vereinbart werden. Hierzu wurde bereits ein Memo verteilt. Wir werden sukzessive nun die SMS-Aussendung mit den hierin genannten Drittstaaten wieder aufnehmen. Allerdings werden Drittstaaten mit hohem Pricing (wie z.B. Pakistan) oder Drittstaaten mit unzureichenden Datenschutzvorkehrungen (China, Russland, etc.) weiterhin davon ausgeschlossen werden.
Die Aussendung in Drittstaaten wird jetzt gesondert gemonitored, so dass Gegenmassnahmen (z.B. Accountsperrungen) schneller durchgeführt werden können.
Test Accounts mit Passwort-Einmalcode-via SMS Freigabe werden ab sofort nur dediziert für besondere Partner und hierfür unterzeichneten Verträgen eingerichtet. Für bestehende Test-Accounts werden sukzessive neue Testverträge vorgesehen.
Mit diesem umfangreichen Bündel an Massnahmen sind wir zuversichtlich, die Einmalpasswortnutzung wieder ohne weitere Schäden für das Produktivsystem weiter anbieten zu können.