Sicherheit und Komfort lassen sich in digitalen Kundenkanälen wie Online-Shops oder beim Online-Banking nur schwer miteinander vereinen. Dabei ist Komfort ebenso ein Wettbewerbsfaktor wie Sicherheit. Während Finanzdienstleister bei der Kundenlegitimation wenig Spielraum haben, gibt es bei der Anmeldung zu einzelnen Sessions oder für die Durchführung von Transaktionen durchaus Optimierungsmöglichkeiten. Dabei zeigt sich letzten Endes ein klarer Trend: der Einsatz biometrischer Verfahren. Auf dieser Basis könnten Banken sich dann allerdings auch als Dienstleister für digitale Authentifizierung positionieren. [...]
Da man mit dem bloßen Zugang zu einem Konto in der Regel noch keine Transaktionen oder andere Aktionen vornehmen kann – das erfolgt erst in der nächsten Stufe – ist das PIN-basierte Sicherheitsniveau grundsätzlich ausreichend. Mehr als den Kontostand erhalten Angreifer hier zunächst nicht; sie könnten diese Informationen aber in weiteren Angriffen, beispielsweise im Rahmen von Social Engineering, verwenden. Banken nehmen daher bei inaktiven Sessions regelmäßig ein automatisches Ausloggen vor. Eine weitere Reduzierung des Sicherheitsniveaus zugunsten komfortablerer Zugangsprozeduren erscheint nicht möglich. Dennoch ist bei der Anmeldung zu Sessions noch Luft für mehr Komfort, beispielsweise indem man den Kunden das Merken oder Notieren der Zugangsdaten erspart.
TRANSAKTIONEN
Die meiste Aufmerksamkeit hat in der Vergangenheit die Absicherung einzelner Transaktionen gefunden. Hier hat sich der Medien-Wechsel, der ein Sicherheitsmerkmal bewusst aus der IT herausnimmt, als Strukturmerkmal etabliert. Realisiert wurde das zunächst mit der altbekannten TAN-Liste, die der Kunde auf dem Postweg erhält und die er gerade nicht in seinem Computer oder in einer Cloud speichert, sondern in seine (physische) Schublade legt. Als systembedingter Schwachpunkt rückt im klassischen TAN-Verfahren jedoch der Nutzer selbst ins Visier, den Angreifer mittels Social Engineering zur Herausgabe von TANs an nur scheinbar autorisierte Stellen verleiten.
Die Verwendung der Transaktions-spezifischen iTANs hat dem schon ein Stück weit das Wasser abgegraben. Das Verfahren gilt heute jedoch nicht mehr als sicher, weil Unbefugte über Man-in-the-middle-Attacken die Transaktionsdaten manipulieren können, zum Beispiel indem ein Trojaner im Hintergrund die Überweisungsdaten gegen gefälschte austauscht. Grundsätzlich aber stammt das ganze Konzept ohnehin aus einer vergangenen IT-Welt, in der Online-Banking am heimischen Schreibtisch erledigt wurde. Mobiles Banking – und das ist heute eine wesentliche Anforderung an den Komfort – mit TAN-Listen in der Hosentasche wäre jedenfalls keine gute Idee.
Sicherheit und zumindest ein wenig mobilen Komfort verschaffen Verfahren, die einen speziellen TAN-Generator verwenden, eventuell in Verbindung mit einer Bank-Chipkarte; dazu gehören zum Beispiel Geräte im Secoder-Standard oder auch das Chip-TAN-Verfahren. Die Kanaltrennung beziehungsweise der Medien-Wechsel wird in diesem Konzept durch zwei separate physische Geräte erzwungen, die man dann natürlich immer beide dabei haben muss, wenn man unterwegs Online-Banking machen will. Auch wenn die Anbieter von TAN-Generatoren dieses Verfahren als „äußerst komfortabel“ anpreisen – gerade für mobile Nutzer sieht Komfort schon anders aus, als einen speziellen Online-Banking-Apparat mit sich herumzutragen. Auch dieses Konzept passt nicht so recht ins mobile Web-Zeitalter.
Das mobile TAN-Verfahren mTAN, das seit einigen Jahren Quasi-Standard im Online-Banking ist, setzt an der Zwei-Geräte-Schwäche der TAN-Generatoren an. Es nutzt das Mobiltelefon, das ohnehin jeder Kunde mit sich führt, für die Übermittlung von TANs per SMS, die nur für die jeweilige Transaktion gelten. Das Zwei-Kanäle-Prinzip wird strikt eingehalten, indem auf der einen Seite via Internet und PC kommuniziert wird, während parallel dazu das GSM-Netzwerk für die TAN-Übertragung genutzt wird. Social Engineering beim Nutzer ist hier auf Grund einer eindeutigen, singulären Verbindung von Transaktionsinformationen und Freischaltcode über die beiden Medien oder Kanäle hinweg meist nicht zielführend. Erfolgreiche Angriffe gibt es zwar auch bei mTAN, beispielsweise durch Man-in-the-Browser-Attacken, sie sind aber sehr aufwändig und damit (noch) selten.
Doch gerade die Geschichte des mTAN-Verfahren zeigt, wie die technologische Entwicklung einem eigentlich recht sicheren und wegen der allgemeinen Verfügbarkeit von Handys auch komfortablen Konzept das Wasser abgraben kann: Mit dem Übergang vom reinen Mobiltelefon zum Smartphone wurde auch das Online-Banking mobil und weil die TANs nun zu dem Gerät geschickt werden, auf dem auch die Aufträge erfasst werden, ist der sichernde Medien-Wechsel nicht mehr gegeben. Banken schreiben mitunter sogar in ihren AGBs vor, dass mTAN-Kunden den Auftrag und den mTAN-Empfang nicht mit demselben mobilen Gerät vornehmen dürfen; wer dagegen verstößt – Schwachpunkt Nutzer! – bleibt eventuell wegen Fehlverhaltens auf einem Schaden sitzen.
Es kommt aber noch schlimmer: Mit iOS 8.1 und OS X Yosemite hat Apple eine direkte SMS-Weiterleitung für das iPhone ermöglicht; Android-Anbieter werden erfahrungsgemäß bald folgen. Damit ist die Kanaltrennung natürlich schon systembedingt ausgehebelt und der AGB-Verstoß gewissermaßen „embedded“. Das Smartphone ist so der natürliche Feind des mTAN-Verfahrens geworden. Daher ist es naheliegend, dass die TAN-Liste hier eindeutige Vorteile bietet.
Be the first to comment