Im September 2025 deckte der zweitgrößte koreanische Telekommunikationsanbieter KT Corporation einen ausgeklügelten Cyberangriff auf, der die mobilen Zahlungssystemevon 278 Kunden kompromittierte und zu nicht autorisierten Transaktionen im Wert von 170 Millionen ₩ (122.400 $) führte. Während sich die finanziellen Verluste relativ in Grenzen zu halten scheinen, zeigen die technische Raffinesse und die neuartige Methodik des Angriffs katastrophale Schwachstellen in den telekommunikationsbasierten Authentifizierungssystemen auf, auf die sich Milliarden Menschen täglich verlassen. Dieser Vorfall, der sich nur wenige Monate nach dem Einbruch bei SK Telecom ereignete, von dem 27 Millionen Nutzer betroffen waren, zeigt, dass die Authentifizierung über Mobiltelefone zu einer systemischen Sicherheitslücke geworden ist, die sofort durch dezentrale Alternativen ersetzt werden muss.
KTs Femtozellen-Angriff stellt einen neuen Bedrohungsvektor dar
Der Vorfall bei KT ist der erste dokumentierte Fall von illegalen Femtozellen-Angriffen in Südkorea und stellt einen erschreckend leicht zugänglichen Angriffsvektor dar, der die traditionellen Sicherheitsmaßnahmen umgeht. Zwischen dem 6. August und dem 8. September 2025 setzten Angreifer modifizierte Femtozellen ein – kleine Mobilfunk-Basisstationen, die in der Regel zur Verbesserung der Abdeckung in Gebäuden verwendet werden – um die Authentifizierungsprozesse der Benutzer abzufangen und zu kompromittieren.
Der technische Mechanismus erwies sich als verheerend effektiv. Die Angreifer erwarben Standard-Femtozellen-Geräte für ca. 3 Mio. ₩ (2.200 $) auf dem Sekundärmarkt und modifizierten dann die Firmware, um die Authentifizierungsprotokolle des Betreibers zu umgehen. Sobald sie mit dem Netzwerk von KT verbunden waren, erfassten diese betrügerischen Basisstationen automatisch mobile Geräte innerhalb ihres 10-Meter-Radius. Wenn sich die Telefone der Opfer mit dem scheinbar stärksten verfügbaren Signal verbanden, fingen die kompromittierten Femtozellen nach interner Entschlüsselung die IMSI-Nummern (International Mobile Subscriber Identity) und SMS-Authentifizierungscodes von 5.561 Kunden im Klartext ab.
KAIST-Professor Kim Yong-dae erklärte die Sicherheitslücke: „Während die mobile Kommunikation vom Telefon zur Femtozelle verschlüsselt wird, entschlüsselt die Femtozelle die Nachrichten intern. Wenn Hacker diese Femtozelle kontrollieren, können sie Nachrichten abfangen und persönliche Informationen in Echtzeit stehlen.“ Die Angreifer konzentrierten ihre Bemühungen auf den Großraum Seoul und die Provinz Gyeonggi, vor allem in den frühen Morgenstunden, wenn die Opfer wahrscheinlich keine unbefugten Transaktionen bemerken würden. Sie haben systematisch Konten durch den Kauf von Geschenkgutscheinen und das Aufladen von Transitkarten geleert und dabei das Micropayment-System von KT ausgenutzt, das sich zur Authentifizierung ausschließlich auf die SMS-Verifizierung stützt.
Was diesen Angriff besonders bedenklich macht, ist seine Zugänglichkeit. Im Gegensatz zu ausgeklügelten staatlichen Operationen, die fortschrittliche persistente Bedrohungen oder Zero-Day-Exploits erfordern, wurden bei dem Femtozellen-Angriff leicht verfügbare Hardware und grundlegende technische Kenntnisse eingesetzt. Der Professor Lim Jong-in von der Korea University stellte fest, dass die Tatsache, dass Femtozellen so einfach kompromittiert werden konnten, auf „mögliche interne Kontrollfehler“ hindeutet und Fragen nach der Beteiligung von Insidern oder unzureichenden Sicherheitsprotokollen für Telekommunikationsgeräte aufwirft.
Koreanische Telekommunikationsunternehmen sehen sich mit einer Epidemie von Authentifizierungsverletzungen konfrontiert
Der Vorfall bei KT ist nur das jüngste Kapitel in der anhaltenden Krise der Telekommunikationssicherheit in Südkorea. Das Muster der Sicherheitsverletzungen offenbart systemische Schwachstellen, die seit über einem Jahrzehnt bestehen, wobei jeder Vorfall immer schwerwiegendere Schwachstellen bei der Authentifizierung aufdeckt.
Der Einbruch bei SK Telecom im April 2025 ist möglicherweise das katastrophalste Versagen der Telekommunikationssicherheit in der Geschichte Koreas. Die Angreifer verschafften sich fast drei Jahre lang (Juni 2022 bis April 2025) unbemerkt Zugang und kompromittierten den gesamten Kundenstamm von 27 Millionen Nutzern. Mithilfe von BPFDoor-Malware-Varianten auf 28 infizierten Servern haben die Angreifer, bei denen es sich vermutlich um chinesische APT-Gruppen wie Red Mansion, Weaver Ant und Salt Typhoon handelt, IMSI-Nummern, USIM-Authentifizierungsschlüssel und 25 Kategorien von Teilnehmerdaten erbeutet. Die Raffinesse und Hartnäckigkeit des Einbruchs führte zu Investitionen in Höhe von 700 Milliarden Euro für die Behebung und löste landesweite Sicherheitsüberprüfungen aus.
Historische Vorfälle zeigen ein beunruhigendes Muster auf. Bei KT gab es 2012 (8,7 Millionen Kunden), 2014 (12 Millionen Kunden, was 75 % der Nutzerbasis entspricht) und 2016 größere Sicherheitsverletzungen. Bei LG U+ kam es 2023 zu einem schwerwiegenden Einbruch, der 300.000 Kunden betraf und zu einer Geldstrafe in Höhe von 6,8 Milliarden Euro führte, nachdem die Ermittler Passwörter für Datenbankadministratoren, die auf „admin“ eingestellt waren, und unzureichende Zugangskontrollen entdeckt hatten. Der Einbruch im Jahr 2014, der mehrere Betreiber betraf, kompromittierte gleichzeitig alle drei großen Netzbetreiber – SKT, KT und LG U+ – und betraf insgesamt 12,3 Millionen Datensätze und demonstrierte koordinierte Angriffe in der gesamten Branche.
Diese Vorfälle weisen gemeinsame Merkmale auf: längerer unentdeckter Zugriff, Ausnutzung von Schwachstellen im Authentifizierungssystem, massive Offenlegung von Daten, einschließlich Authentifizierungsdaten, und verzögerte Entdeckung und Meldung durch die Telekommunikationsanbieter. Das wiederholte Auftreten bei allen großen Betreibern deutet darauf hin, dass das Problem über das Versagen einzelner Unternehmen hinausgeht und branchenweite strukturelle Schwachstellen in der Authentifizierungsarchitektur umfasst.
Mobile Authentifizierungssysteme enthalten inhärente Schwachstellen
Die technische Architektur, die der Authentifizierung über Mobiltelefone zugrunde liegt, schafft mehrere Angriffsflächen, die von raffinierten Angreifern routinemäßig ausgenutzt werden. Der Kern dieser Schwachstellen ist das SS7-Protokoll (Signaling System 7), ein globaler Telekommunikationsstandard aus den 1970er Jahren, dem Authentifizierung und Verschlüsselung von vornherein fehlen. Die Einschätzung des US-Ministeriums für Innere Sicherheit ist eindeutig: „Das DHS ist der Ansicht, dass alle US-Carrier durch [SS7- und Diameter-] Angriffe verwundbar sind, was zu Risiken für die nationale Sicherheit, die Wirtschaft und die Fähigkeit der Bundesregierung führt, wichtige nationale Aufgaben zuverlässig zu erfüllen.“
SS7-Schwachstellen ermöglichen verheerende Angriffe wie die Verfolgung des Standorts in Echtzeit, das Abfangen von SMS mit Einmalpasswörtern, das Abhören von Anrufen, Denial-of-Service-Angriffe und Teilnehmerbetrug durch Manipulation der Abrechnung. Der Zugang zu SS7-Netzwerken, der auf Dark-Web-Märkten für $150-$2.500 erhältlich ist, bietet Angreifern Möglichkeiten, die bisher Geheimdiensten vorbehalten waren. Die Angriffe auf deutsche Banken im Jahr 2017, bei denen Kriminelle unter Ausnutzung von SS7-Schwachstellen Konten leergeräumt haben, haben gezeigt, dass dies keine theoretischen Risiken sind, sondern aktiv ausgenutzte Schwachstellen.
SIM-Swapping ist eine weitere kritische Schwachstelle bei der Authentifizierung von Mobiltelefonen. Untersuchungen der Princeton University haben ergeben, dass „vier von fünf SIM-Swap-Versuchen in den USA erfolgreich sind“. 17 große Websites, darunter PayPal, Venmo und Amazon, sind allein durch SIM-Swaps gefährdet. Die Einfachheit des Angriffs – Social Engineering beim Kundendienst des Anbieters, um die Nummer des Opfers auf eine vom Angreifer kontrollierte SIM-Karte zu übertragen – täuscht über seine Effektivität hinweg. Im Jahr 2022 haben 40 KT-Kunden durch SIM-Swapping-Angriffe 270 Millionen Euro in Kryptowährung verloren, was die direkten finanziellen Auswirkungen verdeutlicht.
Die Ausnutzung von Basisbandprozessoren stellt eine weitere Schwachstelle dar. Diese separaten Prozessoren, die die zelluläre Kommunikation abwickeln, sind deutlich weniger geschützt als Anwendungsprozessoren, so dass die Möglichkeit besteht, Remote-Code über fehlerhaft geformte Netzwerkpakete auszuführen. Sicherheitsforscher haben auf der Mobile Pwn2Own demonstriert, wie Baseband-Kompromittierungen mit einem Kopfgeld von 100.000 Dollar belohnt werden. Sie haben damit bewiesen, dass raffinierte Angreifer die Sicherheit auf der Anwendungsebene durch den Zugriff auf die untere Netzwerkebene vollständig umgehen können.
Die koreanisch-spezifischen Implementierungen verschlimmern diese Schwachstellen. Das 본인인증-System (Identitätsüberprüfung), das für Online-Dienste obligatorisch ist, ist direkt mit Telekommunikationsanbietern verbunden und stützt sich stark auf die SMS-Überprüfung. Das Micropayment-System ermöglicht Transaktionen von bis zu ₩1 Million monatlich für Erwachsene, die hauptsächlich durch SMS-Codes und einfache PINs authentifiziert werden. Diese übermäßige Abhängigkeit von der Telekommunikationsinfrastruktur für die kritische Authentifizierung führt zu kaskadenartigen Ausfällen, wenn die Anbieter kompromittiert werden.
Zentralisierte Authentifizierung führt zu katastrophalen Single Points of Failure
Die grundlegende Schwachstelle der telekommunikationsbasierten Authentifizierung geht über technische Schwachstellen hinaus und umfasst auch architektonische Probleme, die mit zentralisierten Systemen einhergehen. Akademische Untersuchungen zeigen immer wieder, dass die zentralisierte Authentifizierung gefährliche Schwachstellen aufweist. Wie die ACM Digital Library feststellt: „Das häufig verwendete zentralisierte Vertrauen und die zentralisierte Identitätsverwaltung machen Informationssysteme und Organisationen anfällig für einen Single Point of Failure.“
Die Salt Typhoon-Kampagne ist ein Beispiel dafür, wie zentralisierte Telekommunikationsinfrastrukturen zu einem strategischen Ziel für nationalstaatliche Akteure werden. Diese Kampagne, die Senator Mark Warner als den „schlimmsten Telekom-Hack in der Geschichte unseres Landes“ bezeichnete, der „Colonial Pipeline und SolarWinds wie ein Kinderspiel aussehen lässt“, kompromittierte mindestens neun US-amerikanische Telekommunikationsunternehmen, darunter Verizon, AT&T und T-Mobile. Die Angreifer waren 1-2 Jahre lang aktiv, bevor sie entdeckt wurden, und griffen auf legale Abhörsysteme zu, die für die Überwachung durch die Regierung entwickelt wurden.
In den offiziellen Leitlinien der NIST werden diese Risiken ausdrücklich anerkannt. In NIST SP 800-53 Control CP-8(2) heißt es, dass Unternehmen „alternative Telekommunikationsdienste nutzen sollten, um die Wahrscheinlichkeit zu verringern, dass die primären Telekommunikationsdienste an einem einzigen Punkt ausfallen“. Der Leitfaden erkennt an, dass Telekommunikationsanbieter häufig eine gemeinsame physische Infrastruktur nutzen, wodurch sich die Anfälligkeit scheinbar unabhängiger Systeme vervielfacht.
Die Analyse der Branche zeigt konsistente Muster bei Ausfällen zentraler Systeme. Wenn die Authentifizierung von einer zentralisierten Infrastruktur abhängt, wirkt sich eine Kompromittierung des Servers auf alle angeschlossenen Systeme gleichzeitig aus. Netzwerkausfälle führen zu Authentifizierungsausfällen bei ganzen Benutzergruppen. Datenbankverletzungen machen die Zugangsdaten von Millionen von Benutzern auf einmal zugänglich, wie die Zahl von 27 Millionen Opfern beim SKT-Vorfall zeigt. Bei der Bearbeitung von Authentifizierungsanfragen in großem Umfang kommt es zu Leistungsengpässen, was sowohl Sicherheits- als auch Verfügbarkeitsrisiken mit sich bringt.
Der Kontrast zu dezentralen Systemen ist frappierend. Die IEEE-Forschung zur verteilten Authentifizierung stellt fest: „Da die Authentifizierung dezentral erfolgt, wirkt sich der Ausfall eines Servers nicht auf alle Benutzer aus. Die Systeme können unabhängig voneinander skalieren und mehr Benutzer oder Anfragen verarbeiten, ohne dass ein zentraler Server überlastet wird. Wenn ein Server kompromittiert wird, ist nicht unbedingt das gesamte Netzwerk gefährdet.“ Dieser architektonische Vorteil ist nicht nur theoretisch, sondern bildet die Grundlage für neue Authentifizierungsstandards, die die Abhängigkeit von der Telekommunikation vollständig beseitigen.
Expertenkonsens fordert Verzicht auf SMS-basierte Authentifizierung
Sicherheitsexperten auf der ganzen Welt sind sich einig: Die telekommunikationsbasierte Authentifizierung muss aufgegeben werden. Nach den Salt Typhoon-Angriffen hat die CISA eine beispiellose Richtlinie herausgegeben, in der sie ausdrücklich die Abkehr von SMS- und Sprachnachrichtenkanälen empfiehlt und die Verwendung von verschlüsselten Nachrichten-Apps anstelle der herkömmlichen Telekommunikation empfiehlt. Dies stellt einen grundlegenden Wandel in der Haltung der Regierung dar, die damit anerkennt, dass die SMS-basierte Authentifizierung nicht ausreichend gesichert werden kann.
Bruce Schneier dokumentierte den Versuch des NIST, die SMS-Authentifizierung abzuschaffen, und stellte fest, dass der Druck der Industrie zwar eine Aufweichung der Haltung erzwungen hat, „die zugrundeliegenden Sicherheitsbedenken aber weiterhin bestehen“. Untersuchungen bestätigen diese Bedenken – Forrester fand heraus, dass „SMS 2FA nur 76% der Angriffe stoppt“, so dass fast ein Viertel der Authentifizierungsversuche kompromittiert werden kann.
Die Studie der Princeton University, in der die Authentifizierungsrichtlinien von 140 Websites analysiert wurden, liefert empirische Beweise für eine weit verbreitete Anfälligkeit. Die Feststellung, dass große Plattformen wie PayPal und Amazon „in ihrer Standardkonfiguration“ anfällig für SIM-Swap-Angriffe sind, zeigt, dass selbst hochentwickelte Technologieunternehmen Schwierigkeiten haben, die Risiken der telekommunikationsbasierten Authentifizierung zu minimieren.
Experten aus der Finanzbranche warnen besonders eindringlich. Marcus Fowler, CEO von Darktrace Federal, erklärt: „Der Telekommunikationssektor ist aufgrund des ständigen Drucks der Branche, neue Anbieter zu integrieren, besonders anfällig für Cyberangriffe… diese zusätzlichen Drittanbieter stellen ein wachsendes Sicherheitsrisiko dar.“ Ayan Halder von Traceable stellt fest, dass „telekommunikationsbasierte Angriffe wie SMS-Mautbetrug und 2FA-Hijacking zu einem Hauptanliegen der Verantwortlichen für Informationssicherheit geworden sind.“
Große Technologieunternehmen stimmen mit ihren Implementierungen ab. Microsoft hat sich vollständig von der SMS-basierten 2FA abgewandt und fördert „passwortlose Technologien wie Windows Hello für Desktops oder die Microsoft Authenticator App für mobile Geräte“. Auch Google hat SMS zugunsten von Hardware-Sicherheitsschlüsseln und App-basierter Authentifizierung veraltet. Diese Änderungen der Branchenführer signalisieren, dass die SMS-Authentifizierung für sicherheitsbewusste Unternehmen nicht mehr zeitgemäß ist.
Dezentralisierte Authentifizierung beseitigt Abhängigkeiten von der Telekommunikation
Der Weg in die Zukunft erfordert einen grundlegenden architektonischen Wandel – weg von zentralisierten, telekommunikationsabhängigen Systemen hin zu dezentralisierten, kryptographisch gesicherten Alternativen. SNAPPASS von ANDOPEN stellt einen überzeugenden Ansatz dar und wurde für sein netzwerkfreies biometrisches Authentifizierungssystem mit dem CES Innovation Award 2025 ausgezeichnet.
SNAPPASS arbeitet nach einem revolutionären Prinzip: völlige Netzwerkunabhängigkeit. Das System besteht aus SNAPPIN-Karten mit KI-optimierten, verschlüsselten biometrischen Daten, die nicht aus der Ferne verändert werden können, und SNAPCHECK-Authentifizierungshardware mit KI-gestützter Deepfake- und Liveness-Erkennung. Die Authentifizierung erfolgt vollständig offline zwischen der Karte des Benutzers und dem Lesegerät. Dabei werden bis zu 60 Authentifizierungen pro Minute ohne jegliche Netzwerkverbindung verarbeitet. Biometrische Daten gelangen niemals in zentralisierte Datenbanken und werden nach jedem Authentifizierungsversuch sofort verworfen.
Diese Architektur beseitigt alle wichtigen Schwachstellen in telekommunikationsbasierten Systemen. Ohne Netzwerkübertragung gibt es keine Möglichkeit zum Abfangen von SMS oder SS7-Angriffen. Die Anforderungen an den physischen Besitz verhindern eine Kompromittierung aus der Ferne. Lokale Verarbeitung eliminiert einzelne Fehlerquellen. Die verteilte Architektur stellt sicher, dass die Kompromittierung eines Standorts keine Auswirkungen auf andere hat. Die biometrische Komponente sorgt für eine starke Authentifizierung, die nicht wie SIM-Karten sozial manipuliert oder ausgetauscht werden kann.
Das breitere Ökosystem dezentraler Authentifizierungslösungen zeigt, dass der Markt für diesen Übergang bereit ist. Der Markt für dezentrale Identitäten erlebt ein explosives Wachstum, von 647,80 Millionen Dollar im Jahr 2022 auf voraussichtlich 41,73 Milliarden Dollar im Jahr 2030, was einer CAGR von bis zu 90,3% entspricht. Blockchain-basierte Systeme wie Entra Verified ID von Microsoft verwenden den W3C-Standard Decentralized Identifiers (DIDs), um Nutzern die Kontrolle über ihre Anmeldedaten zu geben. Hardware-Sicherheitsschlüssel nach dem FIDO2/WebAuthn-Standard bieten eine phishing-resistente Authentifizierung ohne Telekommunikationsabhängigkeit.
Die akademische Forschung bestätigt diese Ansätze. Nature Scientific Reports veröffentlichte Studien, die zeigen, dass die Blockchain-basierte Authentifizierung „die von der Regierung ausgegebenen elektronischen Personalausweise nutzt, um digitale Signaturen zu erzeugen, und intelligente Verträge einsetzt, um den Authentifizierungsprozess zu automatisieren“, wodurch die Anforderungen an die Telekommunikationsinfrastruktur entfallen und gleichzeitig die Sicherheit und Benutzerfreundlichkeit erhalten bleibt.
Die Ära der Telekommunikationsauthentifizierung muss jetzt enden
Der Hack von KT Micropayments ist zwar finanziell bescheiden, stellt aber einen Wendepunkt in der Authentifizierungssicherheit dar. Der Angriff, bei dem leicht verfügbare Femtozellen-Hardware verwendet wurde, um Authentifizierungssysteme zu kompromittieren, zeigt, dass telekommunikationsbasierte Sicherheit inzwischen leicht zu überwinden ist. In Verbindung mit dem SK Telecom-Angriff, von dem 27 Millionen Nutzer betroffen waren, und den anhaltenden branchenweiten Schwachstellen wird der Beweis unbestreitbar: Telekommunikationsnetzwerken kann man bei der Authentifizierung nicht trauen.
Der Expertenkonsens ist einhellig. Regierungsbehörden wie die CISA empfehlen ausdrücklich, die SMS-Authentifizierung aufzugeben. Die akademische Forschung beweist grundlegende Architekturfehler in zentralisierten Systemen. Sicherheitsforscher demonstrieren mit erschreckender Regelmäßigkeit erfolgreiche Angriffe. Große Technologieunternehmen sind bereits von der telekommunikationsabhängigen Authentifizierung abgekommen. Die Frage ist nicht mehr, ob die SMS- und telekommunikationsbasierte Authentifizierung aufgegeben werden soll, sondern wie schnell Unternehmen den Übergang vollziehen können.
Lösungen wie SNAPPASS von ANDOPEN weisen auf eine Zukunft hin, in der die Authentifizierung unabhängig von der anfälligen Telekommunikationsinfrastruktur funktioniert. Durch die Kombination von physischem Besitz, biometrischer Verifizierung und netzwerkfreiem Betrieb eliminieren diese Systeme ganze Kategorien von Angriffen und bieten gleichzeitig eine überlegene Benutzererfahrung und Schutz der Privatsphäre. Das prognostizierte Wachstum des dezentralen Identitätsmarktes auf 41,73 Milliarden Dollar bis 2030 zeigt, dass Unternehmen diese Notwendigkeit erkennen und entsprechend investieren.
Der KT-Vorfall sollte als letzte Warnung dienen. Unternehmen, die sich weiterhin auf SMS und telekommunikationsbasierte Authentifizierung verlassen, nehmen katastrophale Risiken in Kauf, die über ihre individuellen Sicherheitsvorkehrungen hinausgehen und kritische Infrastrukturen und die nationale Sicherheit bedrohen. Es gibt heute die Technologie, um diese Schwachstellen vollständig zu beseitigen. Die einzige Frage, die sich stellt, ist, ob Unternehmen handeln werden, bevor sie das nächste Opfer eines völlig vermeidbaren Authentifizierungsverstoßes werden.
Für diejenigen, die mehr über den Übergang zu dezentralisierten Authentifizierungssystemen erfahren möchten, bieten SNAPPASS von ANDOPEN und ähnliche netzwerkunabhängige Lösungen sofort umsetzbare Alternativen, die die Ursachen für das Scheitern der Authentifizierung in der Telekommunikation angehen. Die Zeit für schrittweise Verbesserungen ist vorbei – die Zukunft der Authentifizierung muss dezentral, netzwerkunabhängig und kryptographisch gesichert sein. Der KT-Hack hat uns die Folgen der Verzögerung vor Augen geführt. Der Weg nach vorne ist klar.
