|  |
Banken: Mehr Sicherheit mit mTAN
 Online-Banking ist beliebt: Rund ein Viertel der Bankkunden in Deutschland nutzt das Internet, um bequem von zu Hause aus beispielsweise Rechnungen zu bezahlen oder das Aktiendepot zu verwalten. Aber Fluten von Phishing-E-Mails und immer raffiniertere Schadprogramme, die den Rechner des Anwenders manipulieren, verunsichern die Nutzer. Die Banken sind daher auf der Suche nach Strategien, die ihre Kunden vor den betrügerischen Machenschaften schützen und der Verunsicherung entgegenwirken sollen. Eine erfolgversprechende Strategie für mehr Sicherheit ist der zeitnahe Versand von Einmal-TANs auf alternativen Wegen, welche die Internet-Transaktionenen besser absicheren als bisherige TAN-Verfahren.
Alles schien sicher beim Identifikationsverfahren, das die Banken für die Auftragsabwicklung beim Online-Banking entwickelt haben: Der Bankkunde weist sich durch die Eingabe einer Persönlichen Identifikationsnummer (PIN) aus und verwendet für die Autorisierung der einzelnen Buchungsvorgänge Transaktionsnummern (TAN), die er blockweise in ausgedruckter Form von der Bank erhält. Jede TAN kann nur einmal benutzt werden und verfällt danach. Klug gedacht und eigentlich völlig ausreichend.
Phishing, Pharming, Trojaner
Dann kamen die Betrüger. Eine der Manipulationsstrategien basiert auf der Kombination „menschliches Wesen und TAN-Liste auf dem Schreibtisch“. Jeder kennt die Fluten von Phishing-E-Mails, mit denen Bankkunden veranlasst werden sollen, Identifikations- und Transaktionsnummern preiszugeben. Die zweite Strategie greift auf der Ebene der Technik an. Kriminelle infizieren die Rechner ihrer Opfer mit Schadprogrammen wie Trojanern, die PIN und TAN auf der Festplatte auspähen. Andere setzen Pharming-Software ein, die den Kunden für die Abwicklung seiner Buchungsaufträge auf eine gefälschte Webseite umleiten. Selbst Virenschutz und Firewall nach dem neuesten Stand helfen nicht immer dagegen.
Nicht in Versuchung führen
Gegen die Versuchung durch die TAN-Liste auf dem Schreibtisch hilft nur: keine TAN-Liste auf dem Schreibtisch. Aber wie dann, wenn nicht als Liste? Die Lösung: als transaktionsbezogene oder Einmal-TAN, die für anstehende Transaktionen angefordert und nach Benutzung bzw. nach einer kurz bemessenen Zeitspanne ungültig wird. Die steht beispielsweise in Form sogenannter iTANs zur Verfügung. Bei diesem Verfahren, das von vielen Banken in Deutschland eingesetzt wird, hat der Kunde zwar immer noch die Liste auf dem Tisch, aber mit indizierten, also durchnummerierten TANs. Und anstatt selber die TAN auszuwählen, legt ein Zufallsgenerator fest, welche TAN er für den aktuell anstehenden Vorgang benutzen soll. Andere Verfahren arbeiten mit mobilen Lesegeräten, die parallel zum Bank-Server eine TAN generieren. Stimmen die Nummern überein, wird die Überweisung ausgeführt.
Den Übermittlungskanal wechseln
Bei den Angriffen auf technischer Ebene wollen sich die Banken sich nicht darauf verlassen, dass ihre Kunden allein das Wettrüsten gegen die Hacker gewinnen. Viele bieten ihren Kunden Verfahren mit einer digitalen Signaturkarte oder per Homebanking Computer Interface (HBCI) an. Dabei werden mit auf dem Rechner installierter Spezialsoftware und Lesegerät alle Überweisungsdaten für jeden Vorgang neu verschlüsselt. Die Sicherheit hat jedoch ihren Preis und ist technisch aufwendig. Andere Banken setzen einfach auf den Wechsel des Übermittlungskanals, über den die TAN an den Kunden geschickt wird. Statt auf den Rechner kommt sie per SMS aufs Handy und kann daher von Schadprogrammen nicht ausgelesen werden. Sicherheitshalber ist die mobile oder mTAN nur kurze Zeit gültig; in der SMS werden das Empfängerkonto und der Betrag wiederholt. Mit der Eingabe der mTAN schließt der Kunde den Überweisungsvorgang ab.
Vom Regen in die Traufe?
Allerdings wird die mTAN erst von wenigen Banken, unter anderen der Postbank, angeboten, meist auf optionaler und kostenpflichtiger Basis. Dass in einem Land wie Deutschland, in dem es mehr Mobiltelefone gibt als Einwohner, die mTAN ein Schattendasein führt, liegt nach Einschätzung des SMS-Operators TynTec an den Mängeln beim Versand einer herkömmlichen SMS. Denn Anbieter wie SMS-Reseller und Aggregatoren, die die erforderlichen Kontingente für den SMS-Versand bereit stellen, liefern die SMS lediglich beim SMS-Server (SMS-C) eines Netzbetreibers ein, über das die SMS in das SS7-Netz eingespeist werden. Da die Anbieter keinen Zugang zu den Daten des Mobilfunknetzes haben, anhand derer die Übermittlung verfolgt und gesteuert werden kann, können sie weder garantieren noch nachweisen, dass die SMS tatsächlich zugestellt wurde. Das ist nicht weiter tragisch, wenn es um einen privaten Gruss geht, kommt allerdings eine TAN verspätet oder gar nicht an, haben Bank und Kunde ein Problem, da die Transaktion nicht ausgeführt werden kann. Außerdem kann nicht ausgeschlossen werden, dass die SMS auf mehreren fremden Servern zwischengespeichert wird. Dies alles macht die SMS im Grund ungeeignet für Anwendungen im Banken-Umfeld, bei denen sehr hohe Anforderungen im Sinne von Schutz und Zugriffssicherheit erfüllt sein müssen.
SMS mit Qualitätsgarantie
Für SMS mit derartigen sensiblen und zeitkritischen Informationen stellt jetzt die Münchener TynTec GmbH „Enterprise Quality SMS Services“ bereit. Der SMS-Operator, der als Mitglied der GSM Association Netzwerkanbieterstatus hat, bietet eine garantierte Zustellung von SMS innerhalb von fünf bis maximal 15 Sekunden sowie entsprechende Service Level Agreements. Da TynTec einen direkten, redundanten Zugang zur Mobilfunk-Infrastruktur SS7 über die Partnerschaft mit europäischen, amerikanischen und asiatischen Netzbetreibern hat und ein eigenes, proprietäres SMS-C (Short Message Service Center) unterhält, kann das Unternehmen die Signalisierungsinformationen auswerten und den Banken für jede SMS ein „GSM Delivery Receipt“, eine Bestätigung über die Zustellung an das Mobiltelefon, in Echtzeit liefern. Die SMS bleiben bei der Übermittlung von der Bank-Anwendung bis an das Empfänger-Handy im hochgesicherten Rechenzentrum von TynTec; sie werden in keinem Fall über ein SMS-C eines anderen Netzbetreibers zugestellt oder auf Dritt-Servern zwischengespeichert.
Neben der zuverlässigen und schnellen Übermittlung spielt auch der Schutz von Informationen vor dem Zugriff Dritter eine bedeutende Rolle. Die Nutzung der „Enterprise Quality SMS Services“ erfolgt aus den Unternehmensanwendungen über APIs (Application Programmable Interfaces) auf der Basis des SMS-Standardprotokolls SMPP 3.4. Für den Schutz bei der Übermittlung von der Bank an das SMS-C von TynTec sorgt eine VPN-Verbindung (1024 bit IPSec). Die Weiterleitung bis zur Luftschnittstelle ist über GSM A5 Asymmetric Encryption Algorithm geschützt.
11/2006, Markus Kramer
Markus Kramer leitet den Bereich Geschäftsentwicklung Corporate Solutions von TynTec seit Mai 2006. Er kommt aus der Management-Beratung und bringt seine Kenntnisse aus dem Finanzsektor und sein technisches Know-how aus der Telekommunikation mit.
 Alle Experten
Publizieren Sie Ihren eigenen Fachbeitrag
|
Kommentare zu diesem Beitrag | | |
Weitere Beiträge zu diesem Thema | | |
|  | | Mobile Kommunikationstechnik verändert Arbeitsorganisation: Für das Zustandekommen und den Erfolg von Mobile Business ist in jedem Unternehmen eine spezifische Kombination von internen und externen Faktoren verantwortlich. Zwar werden Mobility-Lösungen... | |  | | Sicherheitsexperten des Bundesamtes für Sicherheit in der Informationstechnik (BSI) weisen immer wieder darauf hin, dass bei Internettelefonie (VoIP) gefährliche Sicherheitsmängel bestehen. Hauptkritikpunkte sind, dass Telefonate von VoIP-Nutzern ... | |  | | In Unternehmen wird immer öfter mit mobilen Engeräten gearbeitet. Neben dem bereits etablierten Laptop greifen Mitarbeiter immer häufiger zum PDA oder Smartphone, um außerhalb des Büros auf wichtige Daten zuzugreifen oder sich mit Kollegen schnell ... | |  | | Das Corporate Mobile Security-Konzept umfasst alle Maßnahmen und Technologien, die mobile Sprach- und Datenkommunikation in Unternehmen gegen Angriffe, nicht legitimierten Informationsabfluss, Diebstahl sowie die technische Überlastung von ... | |  | | Einer aktuellen Studie des Marktforschungsinstitutes Strategic Analytics (SA) zufolge wird die weltweite Zahl der UMTS-Mobilfunk-Kunden im Jahr 2010 die Schallmauer von einer Mrd. überschritten haben. Nachdem bereits bis vergangenen Juni 100 Millionen ... | |
Beiträge aus anderen Themenbereichen | | |
|  | | Im Interview spricht der Schirmherr der Initiative Prof. Dieter Spath über "Das Konstruktionsbüro für Dienstleistungen" und vieles mehr. Am 12. Oktober eröffnet Prof. Dieter Spath den VOICE Days plus Kongress... | |  | | Die Gestattung der privaten Nutzung der betriebseigenen IT-Infrastruktur durch die Mitarbeiter bringt nicht zu unterschätzende rechtliche Komplikationen mit sich – gerade was auch die Archivierung von E-Mails anbelangt... | |  | | Datenschutz spielt auch im eCommerce eine große Rolle. So müssen z.B. für den Betrieb eines Onlineshops die gesetzlichen Vorschriften zum Datenschutz eingehalten werden... | |
| | | |
