Banken versuchen derzeit mit so genannten iTANs der Phishing-Gefahr Herr zu werden. Doch auch dieses Verfahren ist für den Online-Kunden alles andere als bequem. Hiel liefert Meridea eine Alternative: der User benötigt nur ein Handy neuerer Bauart.
Von Dr. Ronald Wiltscheck
Auf der CeBIT stellt Meridea eine Sicherheitslösung vor, die Internet-Banking erstmals wirklich sicher machen soll. Die Anwendung bindet das Handy als zweiten Authentifizierungskanal in den Buchungsvorgang ein.
Das in Deutschland gebräuchliche PIN/TAN-Verfahren bietet keinen ausreichenden Schutz gegen Hackerangriffe. So kann beispielsweise ein unbedarfter Nutzer auf die Website umgeleitet werden, die der Online-Präsenz seiner Bank täuschend ähnlich sieht. Dort hinterlässt nun der getäuschte Online-Kunde seine PIN und eine immer noch gültige TAN, die der Betreiber der Phishing-Website missbrauchen kann, indem er etwa vom echten Konto des betrogenen Kunden einen größeren Betrag auf die Bahamas transferiert, das Gelde wäre in diesem Fall verloren.
Mit "Meridea 2FA" ist so etwas nicht so einfach möglich, denn die gültigen TANs werden von einer speziellen Software auf dem Handy des Bankkunden erzeugt. Sogar wenn es einem Phisher gelingen sollte, eine derart erzeugte TAN abzufangen, nutzt sie ihm nicht, denn in dem Moment, in dem er eine betrügerische Überweisung vom Bankkonto seines Opfers tätigen möchte, ist eine andere TAN gültig als die zuvor von ihm abgefangene. Und an diese einzig und allein zu diesem Zeitpunkt gültige TAN kann nur derjenige gelangen, der sich im Besitz des Handys befindet. Dies ist jedoch im Normalfall nur der autorisierte Onlinebankkunde.
"Wir haben die Meridea 2FA-Anwendung genau untersucht und konnten keine konzeptionellen Schwächen finden, die ein Krimineller ausnutzen könnte", bestätigt Maximillian Dornseif, ein Spezialist für Internet-Sicherheit an den Universitäten Aachen und Mannheim und Mitglied der auf Sicherheitsüberprüfungen spezialisierten Expertengruppe "RedTeam Pentesting".
"Es ist für einen Angreifer heute praktisch unmöglich, gleichzeitig den PC und das Mobiltelefon eines Opfers zu penetrieren", erklärt Dornseif .
Doppelte Sicherheit per Handy
En detail funktioniert die Meridea-Software folgendermaßen: Wenn ein Kunde eine Online-Überweisung auf seinem PC vorbereitet, stellt ihm seine Bank einen so genannten "Challenge Code" zur Verfügung. Diese Nummer ist an diese bestimmte Transaktion gebunden. Nun gibt der Kunde den Code in die auf seinem Mobiltelefon installierte 2FA-Maske ein. Stammt der eingegebene Challenge Code nicht von seiner Bank, erscheint auf dem Handy-Display ein Warnhinweis, mit der Bitte zu prüfen, ob er wirklich auf der Website seiner Bank ist.
Ist der Challenge-Code echt, sieht der Kunde die Details seiner vorbereiteten Überweisung auf dem Handydisplay: Informationen über den Überweisungsbetrag und die Kontonummer des Empfängers. Stimmen diese Angaben, bestätigt dies der Kunde mit seiner geheimen PIN.
Daraufhin erscheint auf dem Handydisplay ein "Response-Code". Das ist eine TAN, mit der der Kunde die doppelt geprüfte Transaktion freigeben kann - und zwar ausschließlich diese Transaktion. Diese TAN gibt der Kunde dann über den PC auf der Website seiner Online-Banking-Anwendung ein, und die Überweisung wird ausgeführt.
Für ihre 2FA-Software konnte Meridea bereits einen ersten Großkunden gewinnen. Die IZB Soft GmbH, das Rechenzentrum der bayerischen Sparkassen, hat sich entschlossen, gemeinsam mit Meridea ein neues Authentifizierungsverfahren für seine angeschlossenen Sparkassen einzuführen. "Die Handy-Lösung bietet einen Weg, mit dem Kunde und Bank sicher sein können, worüber sie eigentlich mit wem kommunizieren", betont Sicherheits-Experte Dornseif. "2FA hat das Potenzial, der Leidensgeschichte des elektronischen Zahlungsverkehrs ein Ende zu setzen".
Meinung des Redakteurs:
So neu ist die Idee, das Mobiltelefon für TANs zu verwenden, nicht. Es gab bereits den Ansatz, sich die TANs via SMS an eine bestimmte Mobiltelefonnummer zu senden. Da wurden die TANs aber am Server erzeugt und konnten so mit einem gewissen Aufwand auf dem Weg zum Mobiltelefon abgefangen werden. Mit Merideas Lösung ist dies nicht mehr möglich, der Phisher müsste auch noch Handy des betrogenen Online-Banking-Kunden stehlen. (rw)