Durch Einsatz des Handys als zweiten Authentifizierungskanal wird Internet-Banking sicher

CeBIT 2006: Sicherheit beim Internet-Banking

(06.02.06) - Das Thema Sicherheit beim Online-Banking steht auf der CeBIT 2006 ganz oben auf der Agenda. Denn: Auch die Einführung der so genannten iTAN hat die Erledigung von Bankge-schäften via Internet nicht sicherer gemacht. Phishing, Pharming und Co. verursachen immer größere wirtschaftliche Schäden.

Zur CeBIT wird eine Lösung der Öffentlichkeit vorgestellt: Durch den Einsatz des Handys als zweiten Authentifizierungskanal wird Internet-Banking erstmals wirklich sicher.

Um die Masche der Phishing- und Malware-Betrüger auszuhebeln, hat das finnische Software-unternehmen Meridea eine völlig neuartige Sicherheitslösung entwickelt: Die "Meridea 2FA"-Anwendung bindet das Handy als zweiten Authentifizierungskanal in den Buchungsvorgang ein und ist die weltweit erste wirksame wie ebenso einfache und preiswerte Waffe gegen Phishing, Pharming & Co. Denn während das in Deutschland gebräuchliche PIN/TAN- bzw. PIN/iTan-Verfahren erfahrungsgemäß keinen ausreichenden Schutz gegen Viren- und Hacker-Angriffe bieten kann, ist "Meridea 2FA“ gegen alle bekannten Formen der Internet-Kriminalität immun.

"Wir haben die Meridea 2FA-Anwendung genau untersucht und konnten keine konzeptionellen Schwächen finden, die ein Krimineller ausnutzen könnte“, bestätigt Maximillian Dornseif, international renommierter Spezialist für Internet-Sicherheit an den Universitäten Aachen und Mannheim und Mitglied der auf Sicherheitsüberprüfungen dieser Art spezialisierten Expertengruppe "RedTeam Pentesting“.

Möglich wird diese neue Dimension der Sicherheit durch einen zweiten, allgemein verfügbaren Kanal, der nicht durch die bekannten Formen der Internet-Kriminalität manipuliert werden kann: das Mobiltelefon. Denn: "Es ist für einen Angreifer heute praktisch unmöglich, gleichzeitig den PC und das Mobiltelefon eines Opfers zu penetrieren“, erklärt Sicherheitsexperte Dornseif den Vorteil der neuen Sicherheitslösung.

Doppelte Sicherheit per Handy

Das Prinzip ist einfach: Wenn ein Kunde eine Überweisung auf seinem PC vorbereitet, stellt ihm seine Bank einen so genannten "Challenge Code" zur Verfügung. Diese Nummer ist an diese bestimmte Transaktion gebunden. Nun gibt der Kunde den Code in die vorher automatisch auf seinem Mobiltelefon installierte Meridea 2FA-Software ein. Stammt der eingegebene Challenge Code nicht von seiner Bank, erscheint auf dem Handy-Display ein Warnhinweis, mit der Bitte zu prüfen, ob er wirklich auf der Website seiner Bank ist.

Ist der Challenge-Code echt, sieht der Kunde die Details seiner vorbereiteten Überweisung auf dem Handydisplay: Informationen über den Überweisungsbetrag und die Kontonummer des Empfängers. Stimmen diese Angaben, bestätigt dies der Kunde mit seiner geheimen PIN.

Daraufhin erscheint auf dem Handydisplay ein "Response-Code". Das ist eine TAN, mit der der Kunde die doppelt geprüfte Transaktion freigeben kann - und zwar ausschließlich diese Transaktion. Diese TAN gibt der Kunde dann über den PC auf der Website seiner Online-Banking-Anwendung ein, und die Überweisung wird ausgeführt. (Meridea: ra)