Wie Sicherheitsprinzipien für Geldautomaten das Online-Banking revolutionieren können

20.08.2014 / 0 Comments

Sicheres Online-Banking

Die Banken führen einen fortwährenden Kampf, um ihre Online-Banking-Dienste und die Kontendaten vor einer schier endlosen Flut von Cyberangriffen zu schützen. Laut dem von Verizon veröffentlichten Data Breach Investigations Report, dem weithin großes Vertrauen entgegengebracht wird, waren Bankdaten die 2013 von Cyberkriminellen am häufigsten ins Visier genommenen Angriffsziele.

Die Lösung für viele der Sicherheitsprobleme, mit denen Banken zu kämpfen haben, befindet sich allerdings bereits im wahrsten Sinne des Wortes in deren Hosentaschen. Diese Lösung liegt in den Sicherheitsprinzipien welche auch bei EC-Karten zum Einsatz kommen, die für die Überprüfung der Zugangsberechtigung für Bankkonten und für Finanztransaktionen entworfen wurden. Das zugrunde liegende Prinzip basiert auf der Kombination des Nutzerwissens (seiner PIN) und dem physischen Vorliegen der Karte, die sich in seinem Besitz befindet.

In Europa und überall, wo ebenfalls EC-Karten genutzt werden, bedeutet der physische Besitz der Karte ebenfalls den Besitz des privaten Schlüssels, der auf einem in der Karte eingebauten Mikrochip gespeichert ist. Der Benutzer führt seine Karte in den Automaten ein (1. Faktor = der Besitz) und bestätigt durch das Wissen der korrekten PIN (2. Faktor = das Wissen) nicht nur den Besitz der Karte, sondern dass er zudem berechtig ist, auf den privaten Schlüssel, der auf der Karte gesichert ist, zuzugreifen. Der private Schlüssel unterzeichnet nun elektronisch die Zugriffsanfrage für das Konto.

Diese Smartcard-Technologie wird in Europa häufig für Kredit- und Kundenkarten genutzt und hat dort bereits über 20 Jahre erfolgreich Verbraucher, Banken und Einzelhändler vor Betrug schützen können. Als Folge von zahlreichen,  in den Medien erwähnten Vorkommnissen von Betrugsfällen und Diebstählen von Kredit- und Geldautomatenkarten in den USA haben auch amerikanische Banken damit begonnen, den Gebrauch von Smartcards durch Kunden in die Tat umzusetzen.

Aufgrund ihrer momentanen Methoden zur Online-Authentifizierung sind sich Banken jedoch vielleicht nicht bewusst, dass dieselben Richtlinien, die für Smartcards gelten, auch angewandt werden können, um eine hochsichere Authentifizierungsmethode für das Online-Banking mithilfe von Mobiltechnologie zu schaffen. Die Sicherheitsexperten bei SecSign Technologies, die mitgeholfen haben, den Weg für die Smartcardtechnologie in Europa zu bereiten, haben diese Konzepte mit Public Key Infrastructure (PKI) kombiniert, um eine Lösung zu entwickeln, die es praktisch unmöglich macht, dass Verbrecher sich Zugangsdaten von Nutzern verschaffen können und auf Bankkonten,  Apps für das Online-Banking oder auch auf den Terminal des Geldautomaten zugreifen können.

 

PKI-basierte Authentifizierung für das Online-Banking 

SecSign Technologies´ neuestes Produkt, die SecSign ID, nutzt eine PKI-basierte mobile Authentifizierung, die auf demselben Konzept von Wissen und Besitz beruht wie die Absicherung von EC-Karten. Sie stützt sich auf drei Kernpunkte:

  1. Ein 2048-Bit langer, chiffrierter privater Schlüssel wird dekodiert und auf dem Mobilgerät des Bankkunden gesichert. Der private Schlüssel wird durch ein patentiertes SafeKey-Verfahren geschützt. Dieses Verfahren verhindert Brute-Force-Angriffe, selbst wenn das Mobilgerät eines Kunden verloren geht oder gestohlen wird.
  2. Ein 2048-Bit langer, chiffrierter öffentlicher Schlüssel wird sicher auf dem replizierten SecSign Trust Center Server gespeichert, der entweder in der Cloud oder als unternehmenseigener Authentifizierungsserver betrieben werden kann. Dies bietet die gleiche hohe Sicherheit, nur innerhalb Ihrer eigenen IT-Architektur.
  3. Durch eine von mehreren angebotenen Zugriffsschutzmechanismen wird sichergestellt, dass der private Schlüssel sich in dem Moment tatsächlich im Besitz des Nutzers befindet und dieser der rechtmäßige Besitzer dieses Schlüssel ist. Hierbei signiert der private Schlüssel digital eine vom Authentifizierungsserver erstellte und an das Mobilgerät geschickte Authentifizerungsaufgabe (die sogenannte Challenge).

Eine einfache Anmeldung macht die Verwendung von Passwörtern und sensiblen Nutzerdaten überflüssig

Sowohl die Integration der SecSign ID in Ihre Infrastruktur als auch die Erzeugung einer SecSign ID und die eigentliche Authentifizierung sind in ihrer Handhabung für den Benutzer einfach und bequem. Die Authentifizierung erfolgt durch die mobile App der SecSign ID.

Der Kunde meldet sich wie gewöhnlich über die Webseite oder die App der Bank an, gibt dort allerdings kein Passwort, sondern lediglich einen nicht vertraulichen, in der SecSign ID App selbstgewählten Benutzernamen ein. Der Benutzername ist aus dem Grund als nicht vertrauliche Information zu werten, da er nicht dafür verwendet werden kann, sich allein mit ihm Zugang zu dem Konto oder zu vertraulichen Informationen zu verschaffen, und daher nicht geschützt werden muss.

Sobald der Benutzername eingegeben wurde, kommuniziert der Web- oder App-Server mit dem Authentifzierungsserver, der eine Aufgabe/Challenge herausgibt, die daraufhin der private Schlüssel auf dem Mobilgerät des Nutzers mit einer digitalen Signatur versehen muss. Ebenso wird ein Zugangsymbol in der Anmeldemaske angezeigt. Mit der kostenlosen mobilen App der SecSign ID wird die Challenge digital signiert und das entsprechende Zugangssymbol bestätigt. Allerdings kann diese Technologie auch in eine bereits bestehende App für Online-Banking integriert werden.

 

Vier Möglichkeiten des Zugriffschutzes / der Identitätsprüfung für Ihren privaten 2048-Bit Schlüssel

Um den Besitz des kodierten privaten Schlüssels auf dem Mobilgerät des Kunden zu bestätigen und die Authentifizierungsanfrage darüber digital zu signieren, muss der Kunde seine Identität mithilfe von Wissen und/oder einer biometrischen Identifizierung nachweisen. Die SecSign ID bietet dafür vier mögliche Optionen an:

  1. Die Eingabe einer vom Nutzer gewählten, beliebigen PIN bzw. eines Passcodes
  2. Die biometrische Erkennung eines mithilfe von Apples Touch ID gescannten Fingerabdrucks
  3. Die Kombination einer beliebigen PIN / eines Passcodes mit Apples Touch ID Fingerprint. Dies bietet die Kombination von Wissen und biometrischer Identifizierung als zusätzliche Sicherheit (Drei-Faktor-Authentifizierung)
  4. Der einfache Besitznachweis des privaten Schlüssels auf dem Mobilgerät. Obwohl bei dieser Alternative auf den Schutz durch PIN, Passcode oder des Touch ID Fingerprints verzichtet wird, so ist sie dennoch sicherer und den passwortbasierten Anmeldungen vorzuziehen, da der private Schlüssel lediglich auf dem Mobilgerät des Nutzers vorkommt. Somit kann nur jemand, der sich im Besitz des Gerätes befindet, Zugriff auf das Konto des Nutzers erlangen

Hierbei sei betont, dass keine der o.g. Schutzvorkehrungen alleine die Authentifizierung ausmacht. Die Überprüfung weist den rechtmäßigen Besitz des privaten Schlüssels nach, der dann digital die Challenge des Authentifizierungsservers signiert. Zum Abschluss der finalen Authentifizierungsanforderung tippt der Kunde auf eins von vier Symbolen, die ihm auf dem Mobilgerät angezeigt werden. Das korrekte Symbol stimmt mit dem überein, das in der Anmeldemaske der Webseite der Bank bzw. der App angezeigt wird. Erst jetzt ist das Ende der Identitätsprüfung erreicht, und der Authentifizierungsserver ist bereit, den Zugang zu gewähren.


Einfache Prävention der größten Sicherheitsbedrohungen beim Online-Banking

Mit diesem Ansatz können Banken den höchstmöglichen Zugangsschutz für Bankkonten und Kundendaten bieten, und zwar mit einer Multi-Faktor-Authentifizierung, die einfach und benutzerfreundlich ist. Mit den verschiedenen Überprüfungsoptionen kann die Bank flexibel reagieren und hochmoderne Sicherheit für all ihre Online-Banking-Kunden bieten, einschließlich derer, die bereits über Zugang zu dem Scan des Fingerabdrucks mit Apples Touch ID verfügen. Kunden könnten ihre bevorzugte Nachweismethode also selber bestimmen oder sogar verschiedene Methoden miteinander kombinieren.

Die Entwicklung der starken Kryptographie der SecSign ID hatte von Anfang an das Ziel, passwortbasierte Anmeldungen und somit die bekanntesten ernsten Sicherheitsbedrohungen, denen Banken und ihre Online-Kunden im Internet ausgesetzt sind, zu beseitigen.

 

Keine Verwendung von Passwörtern und keine Eingabe / Übertragung / Speicherung von vertraulichen Nutzerdaten über Webseiten, mobile Apps und Server

Dies bedeutet im Rückschluss, dass keine sensiblen Daten während der Übertragung gestohlen werden können wie z.B. im Fall des Heartbleed-Bugs, der SSL-Schwächen ins Visier nahm.

Ebenso wenig gibt es sensible Nutzerdaten, die mithilfe von Schadprogrammen wie Trojanern, Tastatureingabeprotokollen (Keystrike Logger) oder Phishing-Attacken, die Kunden durch gefälschte E-Mails und Webseiten dazu bewegen, ihre Passwörter preiszugeben, entwendet werden können.

Zudem sind keine vertraulichen Zugangsdaten auf dem Authentifizierungsserver gespeichert, und somit gibt es nichts, was Hackern durch Brute-Force,  SQL Injection, or andere Angriffsmethoden in die Hände fallen könnte.

Ebenso meidet das Authentifizierungsverfahren der SecSign ID die Verwendung von leicht angreifbaren SMS-Textübertragungen zur Versendung von Einmalcodes, wenn Kunden für das Online-Banking bei der Anmeldung ein fremdes Gerät verwenden. SMS war niemals als ein Mittel für sicheren Nachrichtenversand gedacht und ist daher höchst anfällig für Angriffe durch Hacker und andere Verbrecher. Hierbei sei auch der Angriff auf Kunden Schweizer Banken genannt, wobei gerade die Sicherheitsmaßnahmen Schweizer Banken zu den besten der Welt zählen.

Wenn Verbrecher an die Mobilnummer des Nutzers gelangen oder Zugriff auf ein Nutzerkonto beim Mobilfunkanbieter bekommen, könnten sie theoretisch eine zweite SIM-Karte erstellen oder andere Wege einschlagen, um an Kopien aller Textübertragungen, die an diese Nummer gesandt werden, zu kommen. Damit können sie dann recht simpel die Zwei-Faktor-Authentifizierungsverfahren, die auf SMS-Codes basieren und die für viele Banken das höchste Sicherheitsniveau für die Konten ihrer Kunden darstellen, unterlaufen.

Nicht zuletzt sei hier auch das sogenannte Skimming als potentielle Angriffsform erwähnt. Hierbei wird der Geldautomat manipuliert, so dass er nun bei den verwendeten Magnetstreifenkarten die darauf gespeicherten Daten ausliest und die Eingabe der PIN durch den Benutzer mitschreibt. Dies ermöglicht dem Angreifer, quasi ein Duplikat der Karte des Nutzers anzufertigen. Auch dieser Angriffsmöglichkeit wird durch die SecSign ID Einhalt geboten, da hierbei keine vertraulichen Daten am Geldautomaten eingegeben werden müssen.

Die Technologie der SecSign ID ist in der Lage, Online-Banking von Grund auf zu erneuern, indem sie den Banken dabei hilft, ihre größten Sicherheitsbedrohungen durch das Internet zu beseitigen sowie eine echte Multi-Faktor-Authentifizierungsmethode anzuwenden, die hoch entwickelte Sicherheit mit nutzerfreundlicher, einfacher Handhabung kombiniert.

Besuchen Sie unsere Produktseiten unter https://www.secsign.com/de/unternehmen/zwei-faktor-authentifizierung/ , um mehr über die SecSign ID zu erfahren oder treten Sie gerne mit SecSign Technologies in Verbindung, wenn Sie eine hochmoderne, mobile Auhentifizierungsmethode in Ihre Online-Banking-Dienste integrieren möchten.

 

Letzte Blog Einträge, Neuigkeiten & Funktionen

Crowd SSO

21.09.2017

Read More
Do NOT follow this link or you will be banned from the site!