Wie die Süddeutsche Zeitung in ihrer Ausgabe vom 3. Mai 2017 berichtete, ist es kriminellen Hackern erneut gelungen, Sicherheitslücken zu nutzen und die Konten zahlreicher Bankkunden leerzuräumen. Diesmal betroffen sind Kunden des Mobilfunkanbieters 02 Telefonica. Die Geschädigten nutzten ihr Handy, um sich per SMS ein One-Time-Passwort (OTP) für eine Online-Überweisung schicken zu lassen. Diese SMS wurde von den Hackern abgefangen. Die weiteren notwendigen Angaben wie Kontonummer, Passwort und Handynummer hatten sie sich zuvor mit einer Phishing-Mail besorgt, bei der sie beim Bankkunden dem Eindruck erweckten, er kommuniziere seine Daten an sein Finanzinstitut. Für den Zugang zu den Handys nutzten die Hacker dann eine bekannte Sicherheitslücke im sogenannten SS7-Netzwerk der Mobilfunkanbieter. Die Kriminellen konnten sich so problemlos und unbemerkt mit diesen Angaben in die Konten der Besitzer einloggen und jede beliebige Geld-Transaktion auf Konten ihrer Wahl veranlassen.
Sicherheitslücken lange schon bekannt
Zwar verschärft die neue PSD2-Zahlungsrichtline der Europäischen Bankenaufsichtsbehörde die Sicherheits- und Authentifizierungsanforderungen und fordert künftig eine Zwei-Faktoren-Authentifizierung. Missbrauchsfälle lassen sich damit jedoch nicht gänzlich ausschließen, denn extrem anfällige, d.h. leicht abzufangende Einmalpasswörter sind nach wie vor als ein Authentifizierungsfaktor zugelassen. IT-Experten warnen seit einiger Zeit, dass gängige OTP-Verfahren nicht mehr den aktuellen Sicherheitsanforderungen genügen.
Eine Zwei-Faktoren-Authentifizierung benötigt mindestens zwei der nachfolgenden drei Berechtigungs-Nachweise:
- Wissen (Knowledge): Ein Passwort oder ein Einmalpasswort
- Besitz (Possession): Token, Smartcard, Mobiltelefon oder etwas anderes, das nur der berechtigte Anwender besitzt oder
- Eigenschaft (Inherence): Eine Computer-lesbare, biometrische Charakteristik des berechtigten Anwenders
Im aktuellen Fall zeigt sich aber, dass die Kommunikationskanäle nicht 100% sicher sind. Der Faktor "Besitz" kann simuliert werden durch illegal erworbene Zugangsdaten zu dem Mobilfunkkonto, der Faktor "Eigenschaft", bei dem z.B. biometrische Angaben genutzt werden können, können Kriminelle ebenfalls ohne große Schwierigkeiten umgehen. Denn viele mobile Anwendungen, die Biometrie nutzen, informieren lediglich einen externen Diensteanbieter, wie beispielsweise eine Bank, dass der Fingerabdruck des Nutzers erfolgreich lokal abgeglichen wurde. Leicht können Betrüger diesen Kommunikationsprozess hacken und der Bank die Bestätigung mitteilen - ohne dass ein Abgleich des Fingerabdrucks tatsächlich stattgefunden hat.
Tan-Generator keine komfortable Lösung für Mobile-Banking
Laut SZ empfiehlt das Bundesamt für Sicherheit in der Informationstechnik TAN-Generatoren zu nutzen, um sichere Passwörter für Bank-Transaktionen zu erstellen. Besonders nutzerfreundlich und zukunftsweisend ist das nicht: Auch unterwegs müssten Nutzer von Mobile Banking den TAN-Generator immer mit sich führen.
Die Lösung: Out-of-Band Push-Verfahren
Die Lösung für diese Sicherheitsproblematik: die Authentifizierung einer Transaktion im Rahmen des Mobile Banking muss über einen zweiten Kommunikationskanal erfolgen. Das Auslösen von Transaktionen und die anschließende Authentifizierung über einen separaten, sicheren Kanal auf dem gleichen Mobilgerät ist Kern der Geschäftsidee des international tätigen Fintech Entersekt.
Statt eines konventionellen TLS-Kanals für die Authentifizierung nutzt Entersekt eine geschlossene Kommunikationsebene mit einer isolierten, zertifikatsbasierten Ende-zu-Ende-Verschlüsselung der Kommunikationskanäle zwischen Gerät und Bankserver. Keine Drittpartei - auch nicht Entersekt - kann auf diese Kommunikation zugreifen. Der vom kryptografischen Stack aufgebaute Kommunikationskanal ist vollkommen getrennt vom konventionellen TLS-Kanal, der vom Betriebssystem des mobilen Gerätes initiiert wird. Dadurch können sogar Transaktionen, die vom selben Mobilgerät ausgehen, Out-of-Band authentifiziert werden.
Die Multi-Faktor- und Out-of-Band-Authentifizierungslösungen von Entersekt wurden speziell für den hoch reglementierten Finanzsektor konzipiert und erfüllen alle wichtigen Sicherheitsvorgaben für das digitale Bankwesen, inklusive der Anforderungen, die von der Europäischen Bankenaufsichtsbehörde in den Final Guidelines on the Security of Internet Payments und den PSD2-spezifischen Regulatory Technical Standards formuliert wurden.
Gartner prognostiziert rasanten Anstieg beim Einsatz von Out-of-Band Push-Verfahren
Auch das international renommierte Marktforschungsinstitut Gartner prognostiziert in seinem jüngsten "Market Guide for User Authentication" eine Revolution bei den gängigen Verfahren zur Authentifizierung. Die Marktanalysten gehen davon aus, dass bis 2020 80 Prozent aller Transaktionen, bei denen Mobiltelefone als Sicherheits-Token verwendet werden, auf ein Out-of-Band-Push-Verfahren setzen werden, das damit zur wichtigsten Authentifizierungs-Methode würde. Heute kommt dieses Verfahren erst in 15 Prozent der Fälle zum Einsatz.
