Authentifizierung / Digitale Signatur
Sich vor »Man-in-the-Middle«-Angriffen schützen
Fortsetzung des Artikels von Teil 1
Wege aus der Sicherheitskrise
Sicherheit im Online-Banking kann es nur geben, wenn die Transaktionsdaten über einen zusätzlichen Kanal überprüft werden. Dies setzt allerdings ein zeitgemäßes Authentifizierung- und Signatursystem voraus, etwa Digipass von Vasco.
Ein solches System errechnet aus den Transaktionsdaten und einem Schlüssel, der nur der Bank und dem Kunden bekannt ist, einen Message-Authentication-Code (MAC). Dieser wird bei der Transaktion mit übertragen.
Jede Verfälschung führt zu einem ungültigen MAC und damit zum Abbruch der Transaktion. Der MAC kann natürlich auf dem Rechner selbst berechnet werden, damit bleibt das System aber grundsätzlich angreifbar.
Ein höheres Maß an Sicherheit wird dann erreicht, wenn nicht der Computer die digitale Signatur erstellt, sondern ein externes Gerät. Denn diese Zusatz-Hardware ist für Hacker prinzipiell unerreichbar.
Wichtig ist, dass solche Authentifizierungsgeräte unterschiedliche Hardware-Plattformen und Eingabemöglichkeiten unterstützen. Die Lösung von Vasco beispielsweise arbeitet unter anderem mit Kartenlesegeräten zusammen. Auch an eine Sprachausgabe wurde gedacht, so dass auch Menschen mit Behinderungen das System verwenden können.
Das Digipass 855 von Vasco unterstützt PKIs und digitale Signaturen. Außerdem lässt es sich für die Authentifizierung einsetzen, etwa bei Online-Transaktionen.
Besonders wichtig: Daten wie Empfängerkonto und Überweisungssumme müssen im Klartext lesbar sein und direkt in die digitale Signatur einbezogen werden. Der Anwender muss sehen, was er da signiert, und er muss sicher sein, dass die Aufforderung zu Signatur auch wirklich von seiner Bank stammt.
Der Sicherheits-Grundsatz »What you see is what you sign« wird beispielsweise beim Smart-Card-Reader »Digipass 855« umgesetzt. Das Display zeigt alle Einzelheiten einer zu signierenden Transaktion. Daten, wie etwa der PIN-Code, werden direkt auf dem Tastenfeld des Readers eingegeben. Sie tauchen nicht auf dem PC auf und können daher auch nicht ausspioniert werden, etwa durch Keylogger.
Sicherheits-Token können der Schattenwirtschaft das Handwerk legen, aber jedes Zusatzgerät bedeutet natürlich auch zusätzlichen Aufwand. Denn nicht nur beim Online-Banking herrscht in puncto Authentifizierung Nachholbedarf. Wer sich also nicht gleich eine ganze Sammlung von Sicherheits-Tokens zulegen möchte, sollte zu einem universell einsetzbaren Gerät greifen.
Diesen Forderungen trägt die Vasco-Hardware Rechnung. Sie kann für eine auf einer Public-Key-Infrastructure (PKI) basierenden Authentifizierung ebenso eingesetzt werden wie für die digitale Signatur oder den sicheren Zugang zum Firmennetzwerk. Das Gerät bietet zudem eine »Strong Authentication« für Internet-Banking, Telefon-Banking oder E-Commerce.
Für eine PKI-gestützte Authentifizierung sind Secrets und Schlüssel auf einer Smartcard gespeichert. Diese Chip-Karte wird auch zur kryptographischen Berechnung herangezogen. Die Kombination von Kartenleser und Smartcard beseitigt eine Reihe von Sicherheitsrisiken bei Verlust oder Diebstahl, weil keine Geheimdaten auf dem Reader gespeichert sind.
Der Kartenleser muss zudem nicht durch den Anwender personalisiert zu werden. Die Initialisierung erfolgt automatisch nach dem Einsetzen der Karte. Durch die auf der Smartcard gespeicherte PIN ist eine eindeutige Identifikation möglich. Damit sind auch größere Roll-outs mit vielen Endanwendern kein Problem.
Zum Autor: Jan Valcke ist Präsident und Chief-Operating-Officer von Vasco.
- Sich vor »Man-in-the-Middle«-Angriffen schützen
- Wege aus der Sicherheitskrise
