• One-Time-Passwords und Token lösen unsichere TANs ab
• B+S liefert Software für europaweit genutzte Lösungen
• Optische Codes stehen vor der Einführung
(firmenpresse) - München, 09.12.2008. Phishing, das kriminelle Ausspähen von Kontodaten, Passwörtern und TANs (Transaktionsnummern) zur Plünderung von Bankkonten, ist ein Gewerbe mit ansehnlichen Wachstumsraten: 2006 kamen ca. 3.500 Phishing-Fälle mit einer durchschnittlichen Schadenhöhe von 2.500 Euro in Deutschland zur Anzeige, 2007 verursachten bereits 4.200 angezeigte Phishings, bei denen im Schnitt zwischen 4.000 und 4.500 Euro mit den elektronisch geangelten Daten von Privatkonten abgeräumt wurden, einen Gesamtschaden von rund 20 Millionen Euro.
Und das Bundeskriminalamt (BKA), das diese Zahlen unlängst veröffentlichte, lässt keinen Zweifel daran, dass die Dunkelziffer weitaus höher liegen dürfte: Zahlreiche Banken, deren Kunden Phishing-Opfer wurden (und werden), scheuen die Anzeige, um ihre mangelhaften Schutzmaßnahmen für E-Banking nicht publik werden zu lassen.
„Dabei gibt es schon seit geraumer Zeit Produkte und Lösungen, mit denen Phishing nicht nur erschwert, sondern praktisch unmöglich wird“, wundert sich Peter Bauch, der als Vorstand in der B+S Banksysteme Gruppe in München für den Bereich E-Banking-Software und -Lösungen zuständig ist, über die Sicherheitsmängel. „B+S, also die ehemalige DataDesign AG, bietet seit über vier Jahren Systeme gegen solche Sicherheitsmängel an. Diese Systeme unterstützen auch HHD 1.3, das kurz vor der Verabschiedung durch den Zentralen Kreditausschuss (ZKA) steht.“
Chura V 1.0, das seit kurzem auch HHD 1.3 (HandHeldDevice) unterstĂĽtzt, basiert darauf, dass die meist in Form von TAN-Listen vorgegebenen Zugangscodes, die via Phishing beim E-Banking einfach abzugreifen sind, ersetzt werden durch One-Time-Passwords (OTP): Diese One-Time-Passwords werden fĂĽr jeden einzelnen E-Banking-Vorgang neu und individuell generiert.
Die Vorteile dieser Prozesse liegen auf der Hand:
•Das Phishing der TAN oder das Verändern und Beeinflussen der Aufträge wird unterbunden.
•Das kostenintensive Drucken und Versenden der TAN-Listen entfällt ebenso wie die Verwaltung der TANs durch den Bankkunden.
Das System HHD 1.3 (Hand Held Device) wurde in der aktuellen Version um die optische Übertragung von Auftragsdaten erweitert. Dabei wird nach dem Erfassen eines Auftrags im E-Banking mittels Flash, JavaScript oder animiertem GIF ein optischer Code angezeigt, der die Überweisungsdaten und alle zur OTP-Berechnung nötigen Informationen enthält. Diesen Code liest der Bankkunde über Fototransistoren in seinem Verschlüsselungsgerät vom Bildschirm ab und erhält nach dem Bestätigen der übermittelten Auftragsdaten das One-Time-Password. Mit diesen Auftragsdaten fließen auch persönliche Informationen aus der ebenfalls am Gerät eingesteckten Maestro-Chipkarte in die Erzeugung des OTP ein. Eine eventuelle Manipulation der Auftragsdaten wird dadurch bei der Bank sofort erkannt. Beim System Chura V, das bereits europaweit bei zahlreichen Finanzinstituten Verwendung findet, kommt keine Chip-Karte zum Einsatz: Chura generiert auf Basis eines Challenge-Response-Verfahrens mit einem kleinen Verschlüsselungsgerät von Vasco (dem Token) nach Eingabe einer bankseitig erzeugten Zahlenfolge (Challenge) einen entsprechenden Zahlencode (Response) zur Bestätigung; das jeweilige Verschlüsselungsgerät ist jedem Benutzer individuell zugeordnet.
Zudem ist Chura zeitbasiert: Das sechs Ziffern lange OTP ist nur für eine von der Bank festgelegte Zeit – zwischen wenigen Sekunden bis zu einigen Minuten – gültig. Durch dieses Verfahren ist das Ausspähen und Manipulieren von E-Banking nahezu unmöglich. B+S-Software-Lösungen wie NetSecureSession und die Java-basierte TAAF (Transaction Authorization and Authentification Framework), steuern schnell, sicher und für den Kunden völlig unkompliziert alle diese Vorgänge. Diese Softwarelösungen schützen nicht alleine E-Banking, sondern auch alle Bereiche, in denen Transaktionen abgesichert und Vertragspartner eindeutig identifiziert werden müssen. Die entsprechenden Sicherheitsverfahren wurden bereits dem interessierten Fachpublikum vorgestellt und konnten diese Experten ohne Einschränkung überzeugen.
„Ob und welche Varianten sich durchsetzen werden, ist derzeit noch nicht absehbar. Wir wollen jedoch, dass unseren Kunden die jeweils für Ihren Einsatzzweck optimale Lösung zur Verfügung steht. Daher ist es für uns selbstverständlich, alle relevanten Sicherheitsverfahren zu unterstützen.“ betont Peter Bauch.
Künftig wird es mit den E-Banking-Produkten von B + S auch möglich sein, die optische Übertragung der Auftragsdaten ohne Maestro-Karte zu verwenden. Die doppelte Eingabe der für die TAN-Erzeugung relevanten Auftragsdaten entfällt dadurch für den Kunden. Der Sicherheitsvorsprung des zeitbasierten OTP wird dadurch mit dem Komfort der optischen Übertragung verknüpft.
Peter Bauch: „Durch dieses Verfahren können alle Manipulationen durch Phishing, auch durch noch so raffinierte Trojaner, aufgedeckt werden.“
B+S Banksysteme AG
Die Gruppe der B+S Banksysteme Aktiengesellschaft erstellt und betreibt mit derzeit 70 Mitarbeitern Softwarelösungen zur Abwicklung von Finanzgeschäften bei Banken, Sparkassen und Industrieunternehmen seit 1982. Die B+S Banksysteme Aktiengesellschaft verfügt am Standort Salzburg über ein eigenes Rechenzentrum und bietet dort, neben dem Lizenzgeschäft, den Betrieb von Lösungen für den Zahlungsverkehr, Treasury und Trading, Risikosteuerung und Kontoführung, als ASP im „Service on Demand“ an. Neu aufgenommen in das Leistungsportfolio des „Service on Demand“ ist der Betrieb von Online-Banking Lösungen. Der Standort München ist auf den Bereich Electronic Banking mit sicherer Authentifizierung und Transaktionsverarbeitung über das Internet spezialisiert.
Ansprechpartner:
B+S Banksysteme Aktiengesellschaft
Michael Göpper
Prokurist
Telefon: +49 89 - 741 19 - 0
Telefax: +49 89 - 741 19 - 198
Pressekontakte:
HFN Kommunikation GmbH
BĂĽro MĂĽnchen
Siegesstr. 13
80802 MĂĽnchen
Helmut Schmerber
Tel. +49 (0)69 923186-31 (VoIP)
Fax +49 (0)89 330 38346
Email: hschmerber(at)hfn.de
www.hfn.de / www.hfn-ar.de