SMS-Login-Links: Permanente Sicherheitslücke entdeckt

Ein simpler Klick zum Einloggen wird zum Risiko: Neue Forschungsergebnisse zeigen, dass SMS-basierte Login-Links oft nie ablaufen – und so jahrelang als Hintertür in Nutzerkonten dienen können. Diese gravierende Schwachstelle betrifft Millionen deutscher Verbraucher und untergräbt eine der beliebtesten Methoden zur mobilen Anmeldung.

Wie aus „Einmal“-Links permanente Schlüssel werden

Der Kern des Problems liegt im Design der Links. Viele Plattformen verschicken zur Vereinfachung klickbare URLs an die Handynummer ihrer Nutzer. Die aktuelle Studie belegt nun, dass diese Links häufig auch noch Jahre nach ihrem Versand Zugang gewähren. Sie wirken wie ein permanenter Generalschlüssel zum Konto.

Betroffen sind Dienste aus den Bereichen Jobsuche, Versicherungsvergleich und professionelle Vernetzung. Die Forscher identifizierten über 700 verschiedene Endpunkte, die im Auftrag von mehr als 175 Online-Diensten diese unsicheren Authentifizierungstexte versenden.

SMS-Login-Links bleiben oft aktiv und können Hackern jahrelang Zugang zu Konten verschaffen. Der kostenlose Anti-Phishing-Guide zeigt in vier klaren Schritten, wie Sie sich gegen Link-basierte Angriffe, SIM‑Swapping und Social‑Engineering schützen – inklusive Checklisten für Nutzer und IT‑Teams. Praktische Maßnahmen helfen dabei, unsichere Ein-Klick-Logins zu eliminieren und Konten sofort besser zu schützen. Jetzt Anti-Phishing-Paket herunterladen

Leicht zu erraten, einfach zu missbrauchen

Die Untersuchung deckte alarmierende Mängel in den Sicherheitsprotokollen auf. Bei einigen Diensten sind die in den URLs enthaltenen Sicherheitstoken leicht erratbar. Angreifer können durch simples Hochzählen oder Verändern eines Tokens Zugang zu fremden Konten erlangen – ganz ohne Passwort oder Zustimmung des Nutzers.

„Das ist ein grundlegendes Designversagen“, analysieren die Sicherheitsexperten. Den Tokens fehle die nötige Zufälligkeit und Komplexität, um Manipulationen zu verhindern. Die vermeintliche Bequemlichkeit des Ein-Klick-Logins tarnt ein erhebliches Risiko.

SMS: Ein unsicherer Kanal mit bekannten Schwächen

Diese neue Entdeckung reiht sich in eine lange Liste bekannter SMS-Sicherheitsprobleme ein. Cybersecurity-Experten warnen seit Jahren vor den inhärenten Risiken der Textnachricht als Authentifizierungsmittel.

Die Angriffsmethoden sind vielfältig:
* SIM-Swapping: Angreifer überreden Mobilfunkanbieter, eine Rufnummer auf eine von ihnen kontrollierte SIM-Karte umzuleiten.
* SS7-Protokoll-Schwachstellen: Lücken im Signalisierungssystem der Telekomnetze ermöglichen das Abfangen von SMS.
* Social Engineering: Betrüger täuschen Nutzer oder Kundenservice-Mitarbeiter, um die Kontrolle über eine Nummer zu erlangen.

Hinzu kommt der grundlegende Mangel: SMS sind nicht verschlüsselt. Jeder mit den technischen Mitteln kann die Nachrichten mitlesen – inklusive der Login-Links.

Die Konsequenz: Druck auf Unternehmen wächst

Die Enthüllung dürfte den Druck auf Unternehmen erhöhen, von unsicheren SMS-Methoden wegzukommen. Die digitale Transformation schreitet voran, doch die Sicherheitspraktiken hinken oft hinterher.

Die Lösung liegt in robusteren Alternativen:
* Authenticator-Apps wie Google Authenticator oder Microsoft Authenticator generieren zeitgebundene Einmal-Codes (TOTP).
* Physische Sicherheitsschlüssel wie YubiKeys bieten den stärksten Schutz vor Phishing und Account-Übernahmen.

Für die betroffenen über 175 Dienste ist jetzt Handeln angesagt: Sie müssen ihre Systeme überprüfen, alte Links ungültig machen und zeitlich begrenzte, sichere Tokens implementieren. Nutzern wird geraten, in ihren Kontoeinstellungen nach sichereren Zwei-Faktor-Authentifizierungsmethoden zu suchen und diese zu aktivieren. In einer sich ständig weiterentwickelnden Bedrohungslage sind Wachsamkeit und aktuelle Sicherheitspraktiken die beste Verteidigung.

PS: Wenn Unternehmen und Nutzer Login-Links sicherer machen wollen, bietet dieser Gratis-Report konkrete Vorlagen zur Token-Implementierung, Ablaufzeiten und Notfallprozeduren. Der Leitfaden erklärt leicht verständlich technische Gegenmaßnahmen und gibt Tipps für Mitarbeiterschulungen gegen Phishing-Angriffe. Ideal für IT-Verantwortliche und Entscheider, die sofort Risiken reduzieren möchten. Kostenlosen Anti-Phishing-Guide anfordern