Ein Expertenteam des IBM Forschungslabors Zürich hat eine innovative, handliche Authentisierungslösung für E-Banking-Anwendungen entwickelt, die einem Memory-Stick mit eingebautem Display und Steuerungstasten ähnelt. Sie bietet einen zusätzlichen Schutz angesichts neuer, immer raffinierterer Angriffsmethoden von Hackern auf Heimcomputer und Laptops. Erste Prototypen des "Zone Trusted Information Channel" (ZTIC) stehen für Tests und Pilotanwendungen zur Verfügung.
Der "Security-Stick" lässt sich über eine beliebige USB-Schnittstelle an einen Computer oder Laptop anschliessen und baut eine direkte, sichere Verbindung zum Online-Banking-Server der Bank auf. Auf diese Art und Weise umgeht der ZTIC den Heimcomputer des Benutzers, der möglicherweise von Hackern geknackt oder mit Malware befallen sein könnte.
Mit dem ZTIC kann sich ein Benutzer einerseits sicher bei einer E-Banking-Anwendung anmelden und einloggen und andererseits alle Transaktionen direkt mit dem Server überprüfen und bestätigen. So schützt der "Security Stick" selbst vor immer abgefeimteren Formen von Hackerangriffen, die Daten - nicht erkennbar für Benutzer und Bank - im Hintergrund auf dem PC des Benutzers manipulieren können. Der ZTIC bietet damit einen zusätzlichen Schutz zu den bisher existierenden Sicherheitslösungen wie PIN-Codes, Chipkarte oder Streichlisten.
Die ZTIC-Lösung schützt etwa gegen so genannte "Man-In-The-Middle"-Attacken. Hierbei werden die zwischen dem Heimcomputer und Bankserver übertragenen Datenströme von einem Hacker unauffällig abgefangen und modifiziert. Die manipulierten Daten werden bei der Bank als offizielle Transaktion des Benutzers wahrgenommen und umgekehrt auch vom Benutzer als authentisch angesehen. Auch Malware hat mit dem ZTIC keine Chance. Hierbei versucht ein Hacker eine schädliche Software, wie etwa einen Virus oder ein Trojanisches Pferd, auf dem Heimcomputer des Benutzers zu installieren. Gelingt dies, kann der Angreifer Nachrichten, die der Benutzer schickt oder auf seinem Computerbildschirm sieht in Echtzeit modifizieren - auch eine solche Manipulation ist für den Benutzer nicht erkennbar.
Die grosse Mehrheit von Hackerangriffen ist auf den Finanzdienstleistungssektor gerichtet. Ein 2007 erschienener Bericht der schweizerischen Melde- und Analysestelle Informationssicherheit (MELANI) weist auf eine Zunahme erfolgreicher Malware-Angriffe hin und hält fest:
"Zwei-Faktoren- Authentisierungssysteme (z.B. Streichlisten, SecurID, usw.) bieten keinen Schutz gegen solche Angriffe."
ZTIC bietet in Hinsicht der genannten Angriffsformen einen zusätzlichen Schutz, weil mit dem ZTIC der möglicherweise attackierte Computer umgangen wird.
"Angesichts einer immer professioneller operierenden Hackerszene wurde uns klar, dass Authentisierungsverfahren, die ausschliesslich auf PC-Software basieren, potenziell gefährdet sind und es neue, innovative Ansätze braucht, um die Nase vorn zu haben. Das gab den Startschuss für die Entwicklung des ZTICs", erklärt Dr. Peter Buhler, Manager Computer Science am IBM Forschungslabor Zürich. Er fügt an: "Das Konzept der Lösung ist zudem Resultat einer genauen Analyse von Pro und Kontra heute bekannter Lösungen."
Die Lösung der IBM Forscher verschiebt alle sicherheitskritischen und kryptographischen Prozesse, wie etwa die Eingabe eines PIN-Codes während des Einloggens oder die Bestätigung einer Transaktion, vom PC des Benutzers auf den "Security-Stick". Dieser bildet einen sicheren und vertrauenswürdigen Kommunikations-Endpunkt für den Bankserver und Benutzer.
Das Display des ZTICs zeigt dem Benutzer die Daten an, die der Bankserver vom Benutzer empfängt. "Aufgrund seiner geschützten Verbindung zum Bankserver, ist der ZTIC ein 'sicheres Fenster' zum Server", erklärt Buhler. Auf diese Art und Weise kann ein Benutzer Transaktionsdaten, die er wie gewohnt über die Internetmaske im Browser eingegeben hat, prüfen und mit den ZTIC-Steuerungstasten direkt bestätigen. Durch die zusätzliche Kontrolle der Transaktionsdaten auf dem ZTIC kann ein Benutzer möglicherweise manipulierte Daten leicht erkennen und die Transaktion entsprechend annullieren.
Der ZTIC ist mit allen Betriebssystemen kompatibel und läuft mit entsprechender Konfiguration durch eine Bank ohne Installation zusätzlicher Software auf dem Heimcomputer. Erste industriell gefertigte Prototypen stehen für Pilotanwendungen mit interessierten Banken zur Verfügung.
Der "Security-Stick" lässt sich über eine beliebige USB-Schnittstelle an einen Computer oder Laptop anschliessen und baut eine direkte, sichere Verbindung zum Online-Banking-Server der Bank auf. Auf diese Art und Weise umgeht der ZTIC den Heimcomputer des Benutzers, der möglicherweise von Hackern geknackt oder mit Malware befallen sein könnte.
Mit dem ZTIC kann sich ein Benutzer einerseits sicher bei einer E-Banking-Anwendung anmelden und einloggen und andererseits alle Transaktionen direkt mit dem Server überprüfen und bestätigen. So schützt der "Security Stick" selbst vor immer abgefeimteren Formen von Hackerangriffen, die Daten - nicht erkennbar für Benutzer und Bank - im Hintergrund auf dem PC des Benutzers manipulieren können. Der ZTIC bietet damit einen zusätzlichen Schutz zu den bisher existierenden Sicherheitslösungen wie PIN-Codes, Chipkarte oder Streichlisten.
Die ZTIC-Lösung schützt etwa gegen so genannte "Man-In-The-Middle"-Attacken. Hierbei werden die zwischen dem Heimcomputer und Bankserver übertragenen Datenströme von einem Hacker unauffällig abgefangen und modifiziert. Die manipulierten Daten werden bei der Bank als offizielle Transaktion des Benutzers wahrgenommen und umgekehrt auch vom Benutzer als authentisch angesehen. Auch Malware hat mit dem ZTIC keine Chance. Hierbei versucht ein Hacker eine schädliche Software, wie etwa einen Virus oder ein Trojanisches Pferd, auf dem Heimcomputer des Benutzers zu installieren. Gelingt dies, kann der Angreifer Nachrichten, die der Benutzer schickt oder auf seinem Computerbildschirm sieht in Echtzeit modifizieren - auch eine solche Manipulation ist für den Benutzer nicht erkennbar.
Die grosse Mehrheit von Hackerangriffen ist auf den Finanzdienstleistungssektor gerichtet. Ein 2007 erschienener Bericht der schweizerischen Melde- und Analysestelle Informationssicherheit (MELANI) weist auf eine Zunahme erfolgreicher Malware-Angriffe hin und hält fest:
"Zwei-Faktoren- Authentisierungssysteme (z.B. Streichlisten, SecurID, usw.) bieten keinen Schutz gegen solche Angriffe."
ZTIC bietet in Hinsicht der genannten Angriffsformen einen zusätzlichen Schutz, weil mit dem ZTIC der möglicherweise attackierte Computer umgangen wird.
"Angesichts einer immer professioneller operierenden Hackerszene wurde uns klar, dass Authentisierungsverfahren, die ausschliesslich auf PC-Software basieren, potenziell gefährdet sind und es neue, innovative Ansätze braucht, um die Nase vorn zu haben. Das gab den Startschuss für die Entwicklung des ZTICs", erklärt Dr. Peter Buhler, Manager Computer Science am IBM Forschungslabor Zürich. Er fügt an: "Das Konzept der Lösung ist zudem Resultat einer genauen Analyse von Pro und Kontra heute bekannter Lösungen."
Die Lösung der IBM Forscher verschiebt alle sicherheitskritischen und kryptographischen Prozesse, wie etwa die Eingabe eines PIN-Codes während des Einloggens oder die Bestätigung einer Transaktion, vom PC des Benutzers auf den "Security-Stick". Dieser bildet einen sicheren und vertrauenswürdigen Kommunikations-Endpunkt für den Bankserver und Benutzer.
Das Display des ZTICs zeigt dem Benutzer die Daten an, die der Bankserver vom Benutzer empfängt. "Aufgrund seiner geschützten Verbindung zum Bankserver, ist der ZTIC ein 'sicheres Fenster' zum Server", erklärt Buhler. Auf diese Art und Weise kann ein Benutzer Transaktionsdaten, die er wie gewohnt über die Internetmaske im Browser eingegeben hat, prüfen und mit den ZTIC-Steuerungstasten direkt bestätigen. Durch die zusätzliche Kontrolle der Transaktionsdaten auf dem ZTIC kann ein Benutzer möglicherweise manipulierte Daten leicht erkennen und die Transaktion entsprechend annullieren.
Der ZTIC ist mit allen Betriebssystemen kompatibel und läuft mit entsprechender Konfiguration durch eine Bank ohne Installation zusätzlicher Software auf dem Heimcomputer. Erste industriell gefertigte Prototypen stehen für Pilotanwendungen mit interessierten Banken zur Verfügung.
