Gängige Authentifizierungsverfahren beim Mobile-Banking nicht sicher
Sicherheitslücken lange schon bekannt
Zwar verschärft die neue PSD2-Zahlungsrichtline der Europäischen Bankenaufsichtsbehörde die Sicherheits- und Authentifizierungsanforderungen und fordert künftig eine Zwei-Faktoren-Authentifizierung. Missbrauchsfälle lassen sich damit jedoch nicht gänzlich ausschließen, denn extrem anfällige, d.h. leicht abzufangende Einmalpasswörter sind nach wie vor als ein Authentifizierungsfaktor zugelassen. IT-Experten warnen seit einiger Zeit, dass gängige OTP-Verfahren nicht mehr den aktuellen Sicherheitsanforderungen genügen.Eine Zwei-Faktoren-Authentifizierung benötigt mindestens zwei der nachfolgenden drei Berechtigungs-Nachweise:
- Wissen (Knowledge): Ein Passwort oder ein Einmalpasswort
- Besitz (Possession): Token, Smartcard, Mobiltelefon oder etwas anderes, das nur der berechtigte Anwender besitzt oder
- Eigenschaft (Inherence): Eine Computer-lesbare, biometrische
Charakteristik des berechtigten Anwenders
Im aktuellen Fall zeigt sich aber, dass die Kommunikationskanäle nicht 100\% sicher sind. Der Faktor "Besitz" kann simuliert werden durch illegal erworbene Zugangsdaten zu dem Mobilfunkkonto, der Faktor "Eigenschaft", bei dem z.B. biometrische Angaben genutzt werden können, können Kriminelle ebenfalls ohne große Schwierigkeiten umgehen. Denn viele mobile Anwendungen, die Biometrie nutzen, informieren lediglich einen externen Diensteanbieter, wie beispielsweise eine Bank, dass der Fingerabdruck des Nutzers erfolgreich lokal abgeglichen wurde. Leicht können Betrüger diesen Kommunikationsprozess hacken und der Bank die Bestätigung mitteilen - ohne dass ein Abgleich des Fingerabdrucks tatsächlich stattgefunden hat.
Tan-Generator keine komfortable Lösung für Mobile-Banking
Laut SZ empfiehlt das Bundesamt für Sicherheit in der Informationstechnik TAN-Generatoren zu nutzen, um sichere Passwörter für Bank-Transaktionen zu erstellen. Besonders nutzerfreundlich und zukunftsweisend ist das nicht: Auch unterwegs müssten Nutzer von Mobile Banking den TAN-Generator immer mit sich führen.
Die Lösung: Out-of-Band Push-Verfahren
Die Lösung für diese Sicherheitsproblematik: die Authentifizierung einer Transaktion im Rahmen des Mobile Banking muss über einen zweiten Kommunikationskanal erfolgen. Das Auslösen von Transaktionen und die anschließende Authentifizierung über einen separaten, sicheren Kanal auf dem gleichen Mobilgerät ist Kern der Geschäftsidee des international tätigen Fintech Entersekt.Statt eines konventionellen TLS-Kanals für die Authentifizierung nutzt Entersekt eine geschlossene Kommunikationsebene mit einer isolierten, zertifikatsbasierten Ende-zu-Ende-Verschlüsselung der Kommunikationskanäle zwischen Gerät und Bankserver. Keine Drittpartei - auch nicht Entersekt - kann auf diese Kommunikation zugreifen. Der vom kryptografischen Stack aufgebaute Kommunikationskanal ist vollkommen getrennt vom konventionellen TLS-Kanal, der vom Betriebssystem des mobilen Gerätes initiiert wird. Dadurch können sogar Transaktionen, die vom selben Mobilgerät ausgehen, Out-of-Band authentifiziert werden.
Die Multi-Faktor- und Out-of-Band-Authentifizierungslösungen von Entersekt wurden speziell für den hoch reglementierten Finanzsektor konzipiert und erfüllen alle wichtigen Sicherheitsvorgaben für das digitale Bankwesen, inklusive der Anforderungen, die von der Europäischen Bankenaufsichtsbehörde in den Final Guidelines on the Security of Internet Payments und den PSD2-spezifischen Regulatory Technical Standards formuliert wurden.
