Ausgerechnet das „Handy“, das Allerweltsspielzeug für WhatsApp, Social Media, Nachrichten, Einkaufslisten und Liebesgeflüster soll modernes Banking sicher machen – und zwar im Sinne der PSD2? Ist dies möglich und wenn ja, wie?
Der Ansatz, Mobiltelefone für Online-Banking sicher einzusetzen, ist nicht neu. Dieser Verwendungszweck ist zwar schon eine Weile im Gespräch, weckt aber immer noch Zweifel. Mit den technischen Spezifikationen der FIDO-Allianz allerdings werden moderne Mobiltelefone tatsächlich zum optimalen Sicherheitswerkzeug, denn sie machen die Online-Anmeldung für Bank-Geschäfte bequem und gesetzeskonform zugleich.
Banking per PC, Tablet oder Mobiltelefon gehört für die Digital Natives und Digital Immigrants unserer Zeit zum Alltag. Konto-Anfragen, Echtzeit-Überweisungen, Buchungen – all das muss jetzt und sofort möglich sein und auf dem Sofa zuhause, am Arbeitsplatz oder vom Coffee-Shop in der Mittagspause aus funktionieren. Die junge Generation lebt spontan und sie möchte dabei ihre Bankgeschäfte „on the fly“ erledigen. Das ist nicht neu.
Wie werden Benutzerfreundlichkeit und Sicherheit vereint?
Die neuen europaweiten Datenschutzregeln und die Regularien der Kredit- und Bankenwelt selbst verlangen, dass Online-Banking immer unter sicheren Bedingungen zu geschehen hat. Sie nehmen die Anbieter in die Pflicht, die Voraussetzungen für risikoarme Bankgeschäfte zu schaffen – technische Vorgaben wie Zwei-Faktor-Authentisierung inklusive. Die Unternehmen stehen vor der Herausforderung, Sicherheit und Benutzerfreundlichkeit zu vereinen. Komplizierte Kennwörter oder der Zwang, zusätzliche Hardware wie Chip-Card-Reader und Token einzusetzen, verderben die Lust auf spontane Geschäfte.
Ein Ausweg aus der Schere zwischen Benutzerfreundlichkeit und Sicherheit ist das Mobiltelefon. Viele Modelle sind längst mit modernster Security-Technik ausgestattet: Sie verfügen über Sperrbildschirme, Fingerabdruck-Leser, Tipp- oder Wischmuster-Erkennung, Gesichtserkennung, Iris-Scan und andere Hardware-gestützte Authentifizierungs-Mechanismen. Die Zuverlässigkeit dieser Systeme schlägt einen puren Kennwort-Schutz bei weitem. Dies gilt vor allem, wenn man die aktuellen Statistiken zur Passwort-Präferenz der IT-Nutzer verfolgt: Codes wie „12345“ und „Password“ stehen immer noch an der Spitze.
Authentisierung beim Mobile Banking
Die in den Telefonen verbaute Technik lässt sich fürs sichere Banking direkt nutzen, den dazu nötigen unmittelbaren Zugriff auf die Sicherheitsfunktionen eines Mobiltelefons bieten für entsprechende Apps sowohl Android- als auch IoS-Geräte der neueren Generationen. Dieselbe Technik macht auch den Einsatz der Geräte für Unternehmenszwecke möglich, in denen ebenfalls hohe Vertraulichkeits-Anforderungen gelten.
Die erwähnten Vorgaben verlangen eine Zwei-Faktor- oder sogar Drei-Faktor-Authentisierung für wichtige Transaktionen. Dies bedeutet, dass sich der Kunde mit mindestens zwei, gegebenenfalls aber auch drei Merkmalen auszuweisen hat, die nur er weiß (z.B. Kennwort oder PIN), die nur er besitzt (hier das identifizierbare Mobiltelefon oder eine eingesetzte Smartcard) oder die ein biometrisches Merkmal seiner selbst darstellen (z.B. Fingerabdruck, Iris- oder Venen-Muster, Gesicht). Mittels Fingerabdruck-Scanner oder Kamera und der Möglichkeit zum Austausch von verschlüsselten Push-Nachrichten lässt sich nicht nur dies realisieren, sondern für Hochrisiko-Transaktionen sogar weiterer Schutz schaffen.
Noch zwei weitere Vorgaben sind wichtig: Die Authentifizierung eines Anwenders sollte in die Generierung eines „Authentication Codes“ münden, die eine kryptografische Signatur der Transaktion darstellt. Dieser Code muss im Falle einer Online-Zahlung eindeutig an die Summe und den Empfänger gebunden sein, wie sie der Anwender vorgibt. Darüber hinaus müssen die kryptografischen Daten des Anwenders vor unberechtigtem Zugriff geschützt werden.
FIDO – eine Allianz für weltweite Authentifizierungs-Standards
Komplett erfüllen lassen sich die beschriebenen Kriterien mit technischen Maßnahmen, die den Standards der „FIDO-Allianz“ folgen. FIDO steht für „Fast Identity Online“. Die nichtkommerzielle Allianz wurde 2013 gegründet, um unternehmensübergreifend offene und lizenzfreie Industriestandards für die weltweite Authentifizierung im Internet zu entwickeln.
Die FIDO-Standards beschreiben einen zweistufigen Authentifizierungsvorgang. Startet der Anwender eine Transaktion, erscheint wie üblich zunächst die Webseite seines Anbieters. Sobald allerdings eine Freigabe erfolgen muss, startet automatisch eine Identifikation des Anwenders gegenüber seinem eigenen Gerät, wozu die dort integrierte biometrische Erkennung genutzt wird – oder auch, wenn nötig, über Bluetooth ein externes Gerät wie etwa ein Kartenleser. Kombinierbar sind beispielsweise Kennwort und Fingerabdruck-Scan. Der Anwender bestimmt somit weitgehend selbst, welche Methode er für die Absicherung seiner Finanztransaktionen und muss sich mit der Technik im Hintergrund nicht auseinandersetzen. Dieser Faktor erhöht die Akzeptanz der Sicherheitsmaßnahmen. Bei Transaktionen mit erhöhtem Risiko kann der Anbieter zusätzliche Erkennungsschritte verlangen.
Authentifizierung und Public-Key-Kryptographie
Gelingt die Authentifizierung am Gerät, kommt bewährte Public-Key-Kryptographie zum Zug. Das System gibt für die Kommunikation mit dem Dienstleister einen privaten Schlüssel frei, der nun den Anwender sicher gegenüber der Gegenstelle authentifiziert. Außerdem wickelt die Technik in Zusammenarbeit mit gängigen Autorisierungs-Frameworks die für Finanztransaktionen obligatorische eindeutige Freigabe des Vorgangs ab. Die Technik ist darauf vorbereitet, dass der Anwender sie vom selben Gerät aus mit mehreren Transaktionspartnern einsetzen kann und wird somit auch der in der PSD2 angelegten Öffnung und Flexibilisierung des Marktes gerecht.
Da asymmetrische Verschlüsselung die Grundlage bildet, können sowohl die biometrischen Daten des Anwenders als auch der private Schlüssel für die Transaktionsfreigabe immer auf dem Gerät des Nutzers gespeichert bleiben und müssen nie über öffentliche Netze geschickt werden. Dies entlastet die Anbieter, die entsprechende Informationen nicht massenhaft sicher ablegen und vor groß angelegten Hacks abschotten müssen und schützt alle Beteiligten vor Angriffen, die auf den Transfer sensibler Daten lauern.
Fazit: Haustürschlüssel für mobile Sicherheit
Derzeit setzen bereits zahlreiche Unternehmen und Dienste wie Google, PayPal, Bank of America, NTT Docomo, BC Card (Korea), Microsoft, Dropbox, GitHub, AliPay, Ebay, Samsung und Facebook auf das von der FIDO-Allianz entwickelte Verfahren. Hersteller wie die NEVIS Security AG bieten entsprechend geprüfte und zertifizierte Sicherheits-Lösungen an. Damit wird das am weitesten verbreitete „Spielzeug“ der Menschheit vielleicht auch zu ihrem am weitesten verbreiteten Sicherheitshilfsmittel neben dem Haustürschlüssel.