NZZ Artikel: Sicherheitslücken beim Online-Banking:
Schweizer Lösung soll vor «Man-in-the-middle»-Attacken schützen

07.11.2007
Gängige Sicherheitslösungen für das Online- Banking haben Schwächen. Sie stellen zwar sicher, dass zum Zeitpunkt des Einloggens eine autorisierte Person den Computer bedient – nicht aber, dass diese den Computer auch kontrolliert.

Online-Banking ist für viele Menschen alltäglich geworden: Man authentifiziert sich gegenüber der Bank mittels Passwort und eines zusätzlichen Codes, der für jede Sitzung aus einer Streichliste oder mit einem elektronischen Token generiert wird. Diese sogenannte Zwei-Faktor-Authentifizierung hat aber Schwächen und kann durch sogenannte «Man-in-the-middle»-Attacken ausgehebelt werden. Solche Angriffe hätten auch gegen Schweizer Online-Banking-Portale erfolgreich stattgefunden, schreibt die Melde- und Analysestelle Informationssicherung (Melani) des Bundes in dem Ende Oktober veröffentlichten jüngsten Halbjahresbericht. Zwei-Faktor-Authentisierungssysteme (z. B. Streichlisten, SecurID usw.) bieten keinen Schutz gegen solche Angriffe und müssen als unsicher betrachtet werden, sobald der PC des Kunden mit Malware verseucht worden ist.»

Schädliche Software
Das Grundproblem ist, dass alle derzeit gängigen Systeme zur Authentifizierung lediglich sicherstellen, dass zum Zeitpunkt des Einloggens die autorisierte Person (der Bankkunde) den Computer bedient – nicht aber, dass sie den Computer auch kontrolliert. Auch digitale Signaturen bieten hier keinen Schutz. So kann auf dem Computer des Kunden eine schädliche Software (Malware) installiert sein, die nach dem erfolgreichen Aufbau der gesicherten Verbindung dem Kunden nur vorspiegelt, er bezahle beispielsweise seine Krankenkasse, während das Geld auf ein ganz anderes Konto überwiesen wird. Die Malware drängt sich als unerwünschter «Mittelsmann» unbemerkt zwischen Kunde und Bank. Solche Angriffe unterscheiden sich vom Phishing, bei dem ein Kunde auf eine gefälschte Website geführt wird, wo ihm Passwort und Authentifizierungscode entlockt werden. Phishing hat gemäss Melani in der Schweiz an Bedeutung verloren. Fachleute schätzen, dass beim Angriff auf Online- Banking-Transaktionen der durchschnittliche Ertrag der Angreifer um den Faktor fünf höher ist als die Kosten, während die Entdeckungswahrscheinlichkeit bei lediglich etwa 1:700 liegt. Das sind Traumrenditen bei minimalem Risiko. Der Schaden, den solche und andere Angriffe verursachen können, ist schwer zu beziffern. Schätzungen, basierend auf Zahlen der Information Systems Audit and Control Association (ISACA), erreichen allein für die USA und Grossbritannien die Grössenordnung von etwa 3,5 Milliarden Dollar pro Jahr. Noch sind es zumeist die Banken, welche aus Imagegründen diese Schäden übernehmen. Diese Kulanz kann aber jederzeit gestoppt werden; rechtlich haben sich die Banken in den Nutzerverträgen bereits abgesichert.

Computer im Kreditkartenformat
Die Authentifizierung des Bankkunden bei der Absicherung von Online-Banking-Transaktionen ist unzureichend. Die Schweizer Firma Axsionics – ein Spin-off der Berner Fachhochschule in Biel – glaubt einen Schutz gegen «Man-in-the-middle »-Attacken anbieten zu können. Sie hat einen kreditkartengrossen Computer entwickelt, der in der Lage ist, auch Transaktionen zu authentifizieren. Die Karte besteht aus einem Fingerabdrucksensor für die Authentifizierung des Kartenbesitzers, einem optischen Sensor, einem Display und einem Mikroprozessor. Die Karte ist ein geschlossenes System, auf dem während des Einsatzes keine Software mehr installiert werden kann. So bleibt sie gegen Malware geschützt. Der Bankkunde benutzt für seine Online- Banking-Transaktionen weiterhin einen PC. Als Antwort für jeden Zahlungsauftrag erhält er von der Bank ein animiertes grafisches Muster zugeschickt. Der Nutzer authentifiziert sich gegenüber der Karte mit seinem Fingerabdruck und hält die Karte an den Bildschirm. Deren optischer Sensor entnimmt dem Bild verschlüsselte Informationen, welche die Finanztransaktion beschreiben. Auf dem Display der Karte, die über den richtigen Schlüssel zur Decodierung der Nachricht verfügt, kann der Nutzer nun alle vorgenommenen Transaktionen, so wie diese von der Bank registriert wurden, im Klartext lesen. Auf diese Weise kann er sicherstellen, dass die Zahlungsaufträge, die er abgeschickt hat, auch diejenigen sind, die die Bank empfangen hat. Dieses Verfahren sichert also sowohl die Authentizität der Person wie auch der einzelnen Transaktion.

Eine Lösung für alle?
Bei bisherigen Sicherheitslösungen erhält der Kunde von jedem Anbieter (Banken, Versicherungen, E-Commerce-Unternehmen usw.) ein separates Token. Die Karte von Axsionics hingegen bietet dem Endanwender ein Instrument für die Sicherung der Online-Beziehung mit bis zu 128 Unternehmen – so kann der Kunde die Karte beispielsweise für das E-Banking mit unterschiedlichen Finanzinstituten nutzen.