Eine neue Studie enthüllt gravierende Schwachstellen in weit verbreiteten SMS-Links zur Kontoanmeldung. Diese sogenannten „Magic Links“ bleiben oft unbegrenzt aktiv und legen sensible Nutzerdaten offen – ein Risiko für Millionen von Nutzern hunderter populärer Dienste.
Ein fundamentales Design-Problem
Die Untersuchung zeigt einen grundlegenden Konstruktionsfehler in einem riesigen digitalen Ökosystem. Über 175 große Anbieter aus Finanzwesen, E-Commerce und sozialen Medien könnten betroffen sein. Die Bequemlichkeit des Ein-Klick-Logins per SMS hat eine kritische Schwäche verdeckt: Die Links fungieren oft als alleiniger Zugangsschlüssel. Werden sie abgefangen, gewähren sie unbefugten Zutritt und legen persönliche Informationen lange nach dem Versand offen.
Das Kernproblem liegt in der Erstellung und Übertragung. Die URLs enthalten häufig unverschlüsselte Daten wie E-Mail-Adressen. Da SMS keine Ende-zu-Ende-Verschlüsselung bieten, sind sie anfällig für Abhörangriffe über Schwachstellen in globalen Telekommunikationsprotokollen.
Ihr Smartphone kann zur offenen Tür für Angreifer werden – abgefangene SMS und SIM‑Swaps geben Kriminellen oft direkten Kontozugriff. Das kostenlose Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Android, stoppt Weiterleitungen und zeigt, welche Einstellungen Sie sofort ändern sollten, damit Authentifizierungs‑Links nicht mehr zur Schwachstelle werden. Praktische Schritt‑für‑Schritt‑Anleitungen für Banking, Messenger und mobile Zahlungen. Gratis-Sicherheitspaket für Android jetzt herunterladen
Die dauerhafte Bedrohung nicht ablaufender Links
Ein alarmierender Befund der Studie ist die extreme Langlebigkeit dieser „Einmal“-Links. Forscher fanden heraus, dass viele Links über Jahre hinweg aktiv blieben. Die Analyse von Links auf öffentlichen SMS-Gateways – Webseiten, die Nachrichten an temporäre Nummern anzeigen – ergab: Rund 46 Prozent waren älter als zwei Jahre, einige stammten sogar aus dem Jahr 2019.
Diese lange Lebensdauer vergrößert das Zeitfenster für Angreifer erheblich. „Das Risiko wächst mit der Zeit substanziell“, erklärt Muhammad Danish, Mitautor der Studie von der University of New Mexico. Je länger ein Link aktiv sei, desto größer die Chance auf Missbrauch – etwa durch kompromittierte Geräte, weitergeleitete Nachrichten oder abgefangene SMS. In allen bestätigten Fällen reichte der simple Besitz der URL für den Kontozugriff aus. Dieses „Bearer Link“-Modell widerspricht der Nutzererwartung an temporäre Sicherheit.
So werden persönliche Daten preisgegeben
Der Mechanismus der Datenpreisgabe ist trügerisch simpel. Bei einer Login-Anfrage generiert der Dienst eine eindeutige URL mit Authentifizierungstoken. Oft sind darin unverschlüsselte Parameter mit persönlichen Details eingebettet. Angreifer können bekannte Schwachstellen in Telekom-Protokollen wie SS7 und Diameter nutzen, um diese SMS abzufangen – und so sensible Informationen zu ernten, ohne den Link je anklicken zu müssen.
Die Studie zeigte zudem, dass die Datenexposition oft schwerwiegender war als auf der angezeigten Webseite erkennbar. Bei der Analyse von 76 Diensten fanden Forscher heraus, dass Backend-Systeme mehr persönliche Daten übertrugen, als die Nutzerseite anzeigte. Diese versteckten Daten, zugänglich durch Netzwerkanalyse, bieten Angreifern ein noch umfassenderes Nutzerprofil.
Die Bequemlichkeit der SMS-Authentifizierung hat zu ihrer weiten Verbreitung geführt. Schätzungen zufolge nutzen über 700 Dienste diese Methode – und schaffen so eine massive Angriffsfläche für Identitätsdiebstahl und Account-Übernahmen.
Die Folgen für die Cybersicherheit
Die Forschung stellt die Sicherheit von SMS als verlässlichem Authentifizierungsfaktor ernsthaft infrage. Die Technologie basiert auf einem unsicheren Fundament, dem die bei modernen Messengern übliche Ende-zu-Ende-Verschlüsselung fehlt. Die anhaltende Abhängigkeit von dieser Technologie für sensible Zugänge offenbart eine Kluft zwischen nutzerfreundlichem Design und robuster Sicherheitspraxis.
Experten warnen zunehmend vor SMS für hochsensible Authentifizierung und verweisen auf die Zunahme von SIM-Swapping-Angriffen und Malware, die Nachrichten an Angreifer weiterleitet. Beim SIM-Swap überredet ein Betrüger den Mobilfunkanbieter, die Nummer des Opfers auf eine eigene SIM-Karte umzuleiten – und erhält so alle Authentifizierungs-SMS.
Die Erkenntnisse unterstreichen einen Trend: Cyberkriminelle verlagern ihren Fokus für Phishing und Malware von E-Mails hin zu SMS, da Textnachrichten von Nutzern oft als vertrauenswürdiger eingeschätzt werden. Dieses fehlgeleitete Vertrauen, kombiniert mit den technischen Schwachstellen, schafft eine gefährliche Mischung für Betrug und Datenlecks.
Ausblick und Handlungsdruck
Die Enthüllungen üben Druck auf Diensteanbieter aus, ihre Authentifizierungsmethoden zu überdenken. Die weit verbreitete Nutzung nicht ablaufender SMS-Links ist eine akute Gefahr, die sofortiges Handeln erfordert. Entwicklungszyklen, die nahtlose mobile Abläufe priorisieren, mögen zur Verbreitung dieser unsicheren Praxis beigetragen haben.
Die Branche dürfte einen neuen Schub hin zu sichereren, phishing-resistenten Methoden erleben. Alternativen wie Authenticator-Apps, die zeitbasierte lokale Codes generieren, und physische Sicherheitsschlüssel mit FIDO2/WebAuthn-Standards bieten deutlich besseren Schutz, da sie nicht auf das anfällige SMS-Netzwerk angewiesen sind. Zwar ist SMS-Authentifizierung besser als gar keine Zwei-Faktor-Authentifizierung – ihre Schwächen werden jedoch zu gravierend, um sie zu ignorieren.
Für Verbraucher ist die Studie eine kritische Erinnerung, die sichersten verfügbaren Authentifizierungsoptionen für ihre Online-Konten zu aktivieren. Sie unterstreicht auch die Notwendigkeit eines größeren Bewusstseins für die inhärenten Risiken von Technologien, die Bequemlichkeit über Sicherheit stellen.
PS: Viele „Magic Links“ bleiben Jahre aktiv und erhöhen das Risiko für Kontenübernahmen. Dieses kostenlose Sicherheitspaket zeigt kompakt, wie Sie Ihr Android gegen SIM‑Swapping, SMS‑Abfangmethoden und Malware absichern – inklusive Checkliste für sichere App‑Einstellungen, Hinweise zur richtigen Zwei‑Faktor‑Konfiguration und sofort umsetzbaren Maßnahmen für Banking und mobile Zahlungen. Jetzt kostenloses Android-Sicherheitspaket anfordern
