Dank SMS: Sicheres E-Banking

Kürzlich erst haben sowohl die Zürcher Kantonalbank (ZKB) als auch die Raiffeisen Bank ein neues Sicherheitskonzept für ihre
E-Banking-Angebote vorgestellt. Erstmals soll dabei das Handy als weitere Sicherheitsstufe in den Prozess mit einbezogen werden. Das Prinzip ist bei beiden Banken relativ simpel: Bei der ZKB meldet sich der Kunde wie üblich über den Browser mit Login und persönlichem Passwort an und tätigt seine Transaktion. Innert kurzer Zeit erhält der Kunde dann eine SMS zugeschickt, in welchem die Details der Transaktion sowie der «Mobile TAN Code» enthalten sind. Erst wenn dieser korrekt eingegeben wird, kann die Transaktion auch wirklich durchgeführt werden. Man-in-the-Middle-Angriffe (MiTM) sollten somit nicht mehr möglich sein, da der Kunde die Zahlungsdetails vor der endgültigen Überweisung prüfen kann.

Ähnlich läuft es bei der Raiff­eisen Bank ab: Man meldet sich wie bisher auch mit Login und Passwort an. Anstatt vor der Übermittlung der Transaktion wird bereits jetzt eine SMS gesendet, welche einen zusätzlichen Login-Code enthält. Zusätzlich besteht aber auch hier die Möglichkeit, dass Transaktionen ab einer festgelegten Grösse freigeschaltet werden müssen. Ein Risiko, dass die Anwender durch das zusätzliche Medium überfordert würden, sehen die Banken nicht. Tests zur Benutzerfreundlichkeit hätten dies ergeben.

NotweNotwendige Massnahme ndige Massnahme

Die Anpassung der Sicherheitskonzepte ist dringend nötig. Denn die immer besseren Authentifizierungsverfahren beim E-Banking-Login haben dazu geführt, dass Angreifer vermehrt versuchen, die Transaktionen beim Absenden im Browser zu manipulieren, wie die Melde- und Analystestelle Informationssicherung des Bundes bereits im letzten Herbst warnte. Roger Huber von der ZKB ist überzeugt, dass sich durch das neue Verfahren Bedrohungen wie MiTM-Angriffe vermeiden lassen. Allerdings nur, wenn sich der Benutzer auch an die Sorgfaltspflicht halte. Auch bei der Raiffeisen Bank ist man der Ansicht, dass diese Methode die Angriffe «zumindest weitreichend» verhindern kann.

Diese Hoffnung stützt auch Thomas Dübendorfer, Präsident der Information Security Society Switzer­land: «Die Nutzung von mehr als einem Kanal zum Kunden beim
E-Banking erschwert Angriffe erheblich und erhöht somit die Sicherheit. Damit eine MiTM-Attacke im Browser nicht einfach die SMS-Nummer ändern kann, muss aber auch beim ersten Konfigurieren und bei jedem Wechsel der SMS-Nummer eine Bestätigung per SMS erfolgen. Sonst könnte ein Trojaner im Browser tatsächlich die SMS-Nummer ändern und falsche Transaktionen auslösen, ohne dass der Kunde etwas davon merkt.»

Die Post hilft

Um dies zu verhindern, setzt die ZKB auf die Post. Huber: «Die Registrierung der Mobilfunknummer erfolgt online. Aus Sicherheitsgründen wird für die Aktivierung ein Kanalwechsel vorgenommen: Der Kunde erhält per Post einen Aktivierungscode zugestellt.» Hat dazwischen also eine MiTM-Attacke stattgefunden und die eingegebene Nummer wurde geändert, dürfte der Kunde dies spätestens jetzt bemerken.



Ähnlich geht man auch bei der Raiffeisen Bank vor: Der Kunde aktiviert die Funktion ebenfalls via E-Banking. Kurz darauf erhält er eine Bestätigungs-SMS auf seine bereits früher bei der Bank hinterlegte Handynummer. Es ist also nicht mehr nötig, seine Handynummer online einzugeben, da die Bank diese schon besitzt. Somit können MiTM-Angreifer diese auch nicht mehr ändern. Theoretisch sollten also beide Verfahren funktionieren und eine erhöhte Sicherheit bieten.