die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen.
Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.
ó IT & KOMMUNIKATION
ó IT & KOMMUNIKATION Mehr Sicherheit im Internet durch BioTAN und BioLogin TIPPBIOMETRIE Mit Spähangriffen verschaffen sich Hacker den permanenten Zugang zu Online-Konten und anderen passwortgeschützten Applikationen. Passwörter, Kreditkartennummern, Card Validation Codes und andere statische Sicherheitsmerkmale sind für sie ein offenes Buch. Der Regulierer zwingt deshalb die Wirtschaft u. a. mit der Payment Service Directive 2 (PSD 2) zum Handeln. Die Tippbiometrie stellt hier eine interessante technologische Option dar. Mit dieser Enabling Technology lassen sich innovative Mehrwertdienste für die digitale Ökonomie schaffen. Wichtige Beispiele für Finanzdienstleister sind Online-Überweisungen ganz ohne TAN bzw. mithilfe der BioTAN sowie BioLogin als Drei-Faktor-Authentifizierung für sehr sicheres Internet Payment. Dieter Bartmann Keywords: Mehrfaktorauthentifizierung, sicheres Online Banking, Passwort- und Transaktionsschutz, Cloud Biometrics Längst gibt es eine äußerst zuverlässige Nachfolgerlösung zum Passwortschutz: die Private-Public-Key-Kryptografie. Auf dieser Basistechnologie wurde der HBCI- Standard (später FinTS) entwickelt. Jedoch wollen diese nationale Lösung nur Wenige. Schon circa zwei Jahrzehnte wird darauf gewartet, dass sich die Public-Key- Infrastruktur (PKI) weltweit durchsetzt. Doch die Hoffnung trog bisher. Selbst über das Vehikel des deutschen Personalausweises findet sie keine nennenswerte Verbreitung. Für alternative Innovationen war dies behindernd. Man stellte sie zurück, weil man auf den großen Durchbruch der PKI wartete. Schutzschilde gegen Malware im Kundenrechner können Spähangriffe verhindern. Aber um dies zuverlässig flächendeckend zu gewährleisten, müssten die Kunden-Endgeräte unter der permanenten Hoheit des Kreditinstituts stehen. Das ist illusorisch. Deshalb beschritten die Kreditinstitute den Weg der dynamischen Sicherheitsmerkmale. Sie fungieren wie Eimalpasswörter. Das heilt das Sicherheitsproblem zwar nicht vollständig, mildert es aber beträchtlich ab. Der Hacker greift die Zugangsdaten zum Online-Konto ab, drängt den Kunden aus der Online-Sitzung und kann jetzt ungehindert auf dem Konto agieren – aber nur dieses eine Mal. Bei einem statischen Passwort hingegen besitzt er einen permanenten Zugang. Er späht das Konto aus, überprüft, ob sich das Risiko eines Angriffs lohnt und schlägt zu einem günstigen Zeitpunkt zu. Zur Erzeugung des Einmalpassworts benötigt der Kunde einen Passwortgenerator, z. B. als USB-Stick. Auf ihm ist evtl. auch noch Spezialsoftware installiert. Sie verhindert, dass sich der Angreifer in die Online-Sitzung drängt. Damit wird die Lösung sicher. Wegen der beträchtlichen Kosten scheidet sie aber für den Mengenkunden aus. Derzeitiger Transaktionsschutz Für den normalen Retail-Kunden beschränken sich die Kreditinstitute deshalb auf den Schutz der Transaktion. Hierzu schufen sie die dynamische Transaktionsnummer (dynamische TAN). War die TAN früher eine Willensbekundung des Überweisenden, wird sie nun zu einem Sicherheitsmerkmal. Es macht die Überweisungsdaten fälschungssicher. Kryptografische Funktionen binden die TAN untrennbar an den jeweils vorliegenden Transaktionstext. Jeder Manipulationsversuch an den Überweisungsdaten zerstört die Stimmigkeit der TAN, weil sie dann nicht mehr zum Überweisungstext passt. Bei der modernen Umsetzung dieses logischen Schutzkonzepts gehen die Kreditinstitute zwei unterschiedliche Wege: óó Die SmartTAN. Die dynamische TAN wird in der Hochsicherheitsdomäne des Bankrechenzentrums als Smart- TAN erzeugt und dem Kunden online auf dem zweiten Kanal Smartphone (oder bei der SMS-Tan auf dem Mobile Phone) zur Verfügung gestellt. Wichtig ist, dass nicht beide Kanäle ihren Kunden-Endpunkt in ein und demselben Endgerät haben, sondern dass ein „Luftspalt“ dazwischen liegt (sogenannte Luftspaltsicherheit). óó Die DeviceTAN. Die Kryptofunktion zur Berechnung der dynamischen TAN läuft kundenseitig ab, jedoch nicht auf dem Endgerät des Kunden, denn dort regiert vielleicht der Hacker. Deshalb gibt man dem Kunden ein speziell dafür geeignetes Device an die Hand. Es liest die codierte Überweisung ein und errechnet da raus die DeviceTAN. 62 diebank09.2016
IT & KOMMUNIKATION ó Eine Zwischenstellung nimmt die PushTAN ein. Sie landet beim gleichen Endgerät, auf dem der Kunde gerade Online Banking betreibt. Der Zugriff auf die PushTAN ist per Passwort gesichert. Die Luftspaltsicherheit ist aber nicht gegeben. Schwächen Auf der Strecke bleiben diejenigen Kunden, die von Haus aus Technik-avers und gerade noch fähig oder willens zum Online Banking mit der iTAN sind. Da die iTAN nicht so sicher ist, werden die Überweisungslimite sehr niedrig angesetzt. Die totalen Online-Banking-Verweigerer tragen die hohen Gebühren der beleghaften Transaktionen (die dennoch nicht kostendeckend sind). Außerdem sind die Devices nicht weltweit standardisiert. Sogar innerhalb Deutschlands hat jedes Kreditinstitut sein eigenes Device. Für Kunden mit Mehrfach-Bankverbindungen wird dadurch das Banking erschwert. So gehorchen SmartTAN und DeviceTAN eher der Not, als dass sie alle Kunden – und auch die Kostenrechner in den Kreditinstituten – überzeugen. Wünschenswert wäre hingegen eine Technologie, die Jedermann, also auch der unerfahrene bzw. Technik-averse Kunde, einfach und bequem nutzen kann, die billig ist und diedie Mobilität nicht einschränkt. Biometrische Merkmale hat der Kunde immer dabei. Aber dazu muss das Endgerät einen Sensor zur Erfassung des biometrischen Merkmals besitzen. Außerdem liegen bildhafte Merkmale wie Fingerabdruck oder Gesicht offen zutage. Sie lassen sich nur schwer vor Diebstahl schützen. „Zeige mir, wie du tippst, und ich sage dir, wer du bist“ Eine interessante Innovation, diediese Nachteile nicht aufweist, ist die Tippbiometrie. Die Tastatur bzw. der Touchscreen reichen zur Merkmalserfassung aus. Das Tippverhalten liegt auch nicht offen zutage, es ist verdeckt. Das Personentypische spielt sich im Millisekundenbereich ab. Es ist auch nicht imitierbar, wie an der TU Berlin in einem Test nachgewiesen wurde. Analysiert man genauer, wie der Benutzer Tastatur oder Touchscreen bedient, erkennt man personentypische Merkmale. Sie werden geprägt von der Geübtheit des Benutzers, von der Geschicklichkeit einzelner Finger, von der Art und Weise, wie der Benutzer das Tippen gelernt hat, von der Hand- und Fingerhaltung, von der Repräsentation des Tastenfelds im Gehirn, von der Rechts- oder Linkshändigkeit: Bei Touchscreens kommen noch Form und Größe der Berührflächen, ob der Benutzer beidhändig oder einhändig tippt, Zielgenauigkeit des Benutzers, Flüchtigkeit des Tippens und weitere Eigenheiten dazu. Die ersten Anfänge der Tippbiometrie gehen zurück in das 19. Jahrhundert, als sich Funker einen Spaß daraus machten, sich anhand ihrer „Morse-Handschrift“ gegenseitig zu erkennen. In den beiden Weltkriegen nutzte man dies zur Beobachtung feindlicher Truppenbewegungen zu Lande und zu Wasser. Was auf einer Taste geht, müsste umso treffsicherer auf einem ganzen Keyboard funktionieren. Erstmals wurde diese Idee in den 1970er-Jahren in einem IBM-Report erwähnt. In kommerziellen Produkten wird die Tippbiometrie seit etwa 20 Jahren auf dem Qualitätsniveau von Plausibilitätsprüfungen der Benutzeridentität angeboten und auch nur im Bündel mit anderen Merkmalen wie z. B. Device Fingerprints, Mausbewegung oder Wischen auf der Touchscreen. Google will in seinem Produkt Vault, das 2017 auf den Markt kommt, das Passwort durch ein derartiges Bündel ersetzen und damit ein Türöffner für die Tippbiometrie sein. Die Tippbiometrie als eigenständiges Authentifizierungsverfahren ohne begleitende Unterstützung war bisher zu schwach, weil drei Kernprobleme nur unzureichend gelöst waren: óó Das Tippverhalten ist je nach Situation Schwankungen unterworfen (Stress, verletzter Finger, Tastaturwechsel etc.), fl BioLogin ist eine PSD 2-konforme Authentifizierung mit dem Vorteil eines dynamischen Merkmals. Internet Payment wird sicherer, ohne komplizierter zu werden. óó es ist relativ viel Eingabetext erforderlich, óó auch das Tippverhalten lässt sich ausspähen, z. B. mithilfe eines intelligenten Keyloggers. Tippbiometrie so stark wie Fingerprint-Biometrie In dem langjährigen Forschungsprojekt Cloud-Biometrics an der Universität Regensburg ist es dem Forscherteam unter der Leitung des Verfassers gelungen, diese drei Probleme zu lösen: óó Es wurden Merkmale identifiziert, die gegen Schwankungen robust sind. Dadurch wurde das Rauschen der Tipp- Proben reduziert und das Verfahren wesentlich trennschärfer, sodass es jetzt die Qualität einer Fingerprint- Biometrie aufweist. óó Die Algorithmen wurden soweit verbessert, dass der Eingabetext nur noch etwa halb so lang ist wie vorher. óó Die Tippbiometrie ist mit einem integrierten Schutz gegen Keylogger und andere Arten von Merkmalsdiebstahl ausgerüstet. Dazu waren insgesamt sieben Innovationsschritte notwendig. Sie wurden zum Teil patentiert bzw. zum Patent angemeldet. Das Resultat ist die sog. Cloud Biometrics Technology (CBT). Sie schneidet im wissenschaftlichen Vergleich zu den bisher publizierten Verfahren in allen Kennzahlen mit Abstand am besten ab. 1 Die 09.2016diebank 63
