die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen.
Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.
ó IT & KOMMUNIKATION
ó IT & KOMMUNIKATION nicht verschiedene Banktransaktionen mit einem Körpermerkmal autorisieren. Das kann aber der PI. Neueste biometrische Forschungen bestätigen, dass mit einem Bloom-Filter erstellte Pseudonyme Identifikatoren sowohl den Datenschutz als auch eine hohe Erkennungsleistung der biometrischen Daten erreichen. Mit den bisher üblichen Fuzzy-Verfahren erhält man einen Leistungsabfall und muss sich entweder für die Einhaltung des Datenschutzes oder eine hohe Erkennungsleistung entscheiden. Mit Bloom-Filtern ist beides in hoher Qualität möglich. Bloom-Filter-basierte Pseudonyme Identifikatoren stellen eine moderne Implementierungsvariante eines Template- Protection-Verfahrens dar. In der Summe erhält man mit Bloom- Filter-basierten Pseudonymen Identifikatoren die Eigenschaften ó Vertraulichkeit: Die als PI gespeicherten Referenzen können ohne Entschlüsselung verglichen werden. ó „Nicht-Verkettbarkeit”: Die PI der gleichen Person können für verschiedene Anwendungen erstellt werden, ohne dass diese Person in den verschiedenen Datenbanken der Anwendungen auffindbar wäre (es ist also kein Kreuzvergleich möglich). ó Erneuerbarkeit: Die Referenzdaten können widerrufen und erneuert werden. ó Nicht-Invertierbarkeit: Die originalen biometrischen Referenzdaten können nicht auf die Person zurückgerechnet werden. Mithilfe dieser Eigenschaften können die begrenzt vorhandenen körperlichen Merkmale unendlich oft zur Authentifikation wiederverwendet werden. Die Nutzung der begrenzten Körpermerkmale wird auch nicht dadurch limitiert, dass sie ohne Einverständnis des Nutzers „abgegriffen“ wurden (wenn beispielsweise die Fingerabdrücke von einem Glas kopiert wurden). Das zu entwickelnde Banking-Biometrie-Protokoll wird somit die kryptografischen Eigenschaften eines sogenannten One-Time-Pad-Verfahrens aufweisen, d. h. es wird möglich, in eine zu autorisierende Banktransaktion die körpereigenen Merkmale als dynamischen Faktor einzubeziehen. Die mathematischen Eigenschaften des Protokolls sorgen auch dafür, dass die körpereigenen Merkmale für jede neue Transaktion verändert einfließen. Die naturgemäß sehr limitiert zur Verfügung stehenden Merkmale (ein Mensch hat nur zehn Finger, zwei Augen, ein Gesicht und eine Stimme) werden mathematisch mit den bankfachlichen Transaktionsdaten wie Betrag und IBAN so verbunden, dass sie unendlich oft verwendet werden können. Durch die oben beschriebenen Eigenschaften von Pseudonymen Identifikatoren erreicht man neben der Möglichkeit, endlich vorhandene Körpermerkmale unendlich oft benutzen zu können (One- Time-Pad), auch die Einhaltung des Datenschutzes, da die Offenlegung der Information zu einem Körperteil einer Person verhindert wird. Bei diesem Vorgehen bedarf Biometrie auch nicht der zentralen Speicherung der biometrischen Referenzen, da zum Offline-Vergleich die Referenz den Speicherort im Smartphone nicht verlässt – zum Online-Vergleich der PI verwendet wird. Der Arbeitsplan von SWAN ist auf drei Jahre angelegt. Bis Ende 2018 sollen die Ergebnisse an drei verschiedenen handelsüblichen Smartphones implementiert werden. Es wird auch angestrebt, die Ergebnisse im Rahmen einer Testeinbindung bei den im Advisory Board vertretenen Banken zu demonstrieren. Fazit Biometrie ist bankaufsichtsrechtlich Besitz und Wissen gleichgestellt. Diese regulatorische Flankierung eröffnet neue Möglichkeiten, Biometrie im Banking einzusetzen. Erste Anwendungen auf Basis verschiedener proprietärer Fingerabdrucksysteme an Smartphones sind bereits in der Erprobung. Die hier vorgestellten Forschungsziele ermöglichen einen interoperablen Einsatz auf Basis einer multimodalen Biometrie, sodass Transaktionen risikobasiert autorisiert werden können. Der Ansatz, Pseudonyme Identifikatoren einzusetzen, erlaubt einen datenschutzkonformen Einsatz der endlich vorhandenen Körpermerkmale als unendlich häufige TAN. Nach langem Anlauf ist die Biometrie damit im Banking angekommen. Sie ermöglicht Authentifizierung und Autorisierung „on the fly“ und bewerkstelligt dies bequem, ohne den Nutzer zu stören. Aus dem bewussten, den Prozess störenden Eintippen eines Passworts, einer PIN oder der Annäherung eines TAN-Generators an den Bildschirm wird so eine „Nebenbei-Erkennung“ (bei der Nutzung des Smartphones). Biometrie liefert so in Verbindung mit dem Smartphone ein „Me on the fly“. Die deutschen Banken sollten diese neuen Möglichkeiten breit und tief nutzen. ó Autoren: Dr. Waldemar Grudzien, Transformation Engineer bei COREtransform, Berlin. André Nash, Abteilungsdirektor im Geschäftsbereich Retail Banking, Banktechnologie beim Bundesverband deutscher Banken, Berlin. Quellen J. Breebaart, C. Busch, J. Grave, E. Kindt: „A Reference Architecture for Biometric Template Protection based on Pseudo Identities“, in BIOSIG-2008, GI-LNI, (2008). C. Busch, D. Hartung: „Biometrische Nachrichten-Authentisierung“, in Proceedings of the GI-Sicherheit 2010, LNI, pages 13-24, Berlin, Germany, October (2010). N. Buchmann, C. Rathgeb, H. Baier, C. Busch: Towards electronic identification and trusted services for biometric authenticated transactions in the Single Euro Payments Area, in Proceedings of the 2nd Annual Privacy Forum (APF’14), 2014. C. Rathgeb, F. Breitinger, C. Busch, H. Baier: „On the Application of Bloom Filters to Iris Biometrics“, in IET Journal on Biometrics 3(1), (2014) http://www.christophbusch.de/files/Rathgeb-BloomFilter-IET-2014.pdf. 68 diebank06.2016
IT & KOMMUNIKATION ANZEIGE ó ó MaSi und PSD II im Mobile Banking – IT Sicherheit wird zum Wettbewerbsfaktor Die digitale Transformation nimmt in der mobilen Welt stärker Fahrt auf. Auf der einen Seite stehen die Umsetzungen zahlreicher Regularien sowie die neuen branchenfremden Wettbewerber. Auf der anderen Seite entstehen neue Chancen durch mobile Banking und Payment. Konzepte für den Wechsel zum Digital Banking sind vorhanden, doch es fehlt ein entscheidender Baustein: Die eindeutige, digitale Identität des Bankkunden. Die Europäische Kommission und BaFin haben hierfür strenge Richtlinien verfasst (PSD II und MaSi-Rundschreiben), die bis 2018 in Kraft treten. Im Bereich Sicherheit für Zahlungsvorgänge verlangt die PSD II, dass der Kunde nicht nur zur Autorisierung, sondern auch zum Login eine starke Kundenauthentifizierung nutzt. Der Zahlungsvorgang muss dynamisch mit einem bestimmten Betrag und einem bestimmten Zahlungsempfänger verknüpft sein, wobei die Vertraulichkeit und die Integrität der personalisierten Sicherheitsmerkmale der Zahlungsdienstnutzer geschützt sein müssen. Besitz, Wissen und Inhärenz sind damit die Kernelemente einer starken Kundenauthentifizierung. Die KOBIL Technologie m-Identity AST (Application Security Technology) erfüllt bereits heute die Anforderungen. Die Faktoren Besitz (Smartphone, Tablet oder PC) und Wissen (Banking-PIN) werden einbezogen und die dynamische Verknüpfung wird über die Bildung einer digitalen Signatur über die gesamte Transaktion erreicht. Diese umfasst auch Betrag und Zahlungsempfänger. Die Vertraulichkeit wird durch die Verschlüsselung der sicherheitsrelevanten Kommunikation erreicht, die Integrität der personalisierten Sicherheitsmerkmale durch die Bildung einer digitalen Signatur. Die KOBIL Sicherheitsfunktion wird auf die zwei Entitäten Trusted App und Smart Applikationskanal Transaktionsanfragen Authentifizierungsanfragen Prozesskanal Secure Webview (Secure https-Sockets für API Calls) Security Management Server (SSMS) aufgeteilt. Diese beiden Enden der Sicherheitskette sind durch einen sicheren Kanal verbunden. KOBIL Technologie im Live-Einsatz Durch die KOBIL Lösung können die Kunden der ING-DiBa mit der SmartSecure App ihre Transaktionen autorisieren, ohne TANs abzutippen, die ihnen per SMS zugesendet werden oder die sie per TAN-Generator erzeugen. Auch der Bank- Verlag setzt auf KOBIL. So wird zum Beispiel die National-Bank im Mobile Banking die m-Identity Application Security Technology nutzen. Weitere Banken wie die Sparda-Gruppe, bestehend aus zwölf Sicherheitskanal ASM App Logic Security Layer SVM Virtuelle Chipkarte PKI App Device Transaktionssignatur Identität Besitz (Mobiles Device, App) und Authentifizierungs-PIN Genossenschaftsbanken und der netbank, können über ihre Secure App ebenfalls Transaktionen ohne TAN Eingabe oder weitere Hardware autorisieren. Fazit KOBILs Technologie erfüllt alle Sicherheitsanforderungen aus PSD II für eine starke Authentifizierung. 30-jähriges Know-how, als Hersteller von zertifizierten IT-Sicherheitslösungen im Umfeld von PKI-Technologien ist in die Softwarelösungen eingeflossen und ermöglicht den Verzicht von Hardware, ohne bei der Sicherheit Kompromisse einzugehen. Verification Multifaktor Authentifizierung Integritätsprüfungen (App Version, Analyse der Sicherheitssensoren, Gerätebindung Channel App Härtungsmassnahmen (Anti- Debugging, Anti-Code-injection, etc.) Management Transaktionen App Sicherheit
