Kriminelle Hacker räumen Konten leer - Gängige Authentifizierungsverfahren beim Mobile-Banking nicht sicher

Stellenbosch, Südafrika (ots) -

- Süddeutsche Zeitung berichtet über weitreichenden Hackerangriff
- PSD2-Richtlinie verschärft Anforderungen an eine starke
Authentifizierung
- Multi-Faktor Out-of-Band Authentifizierungsverfahren sicherste
Option
- Entersekt-Technologie verhindert Hackerangriffe: Bei der
südafrikanischen Nedbank war seit Einführung der Entersekt
Out-of-Band-Technologie im Jahr 2012 kein einziger
Phishingangriff erfolgreich

Wie die Süddeutsche Zeitung in ihrer Ausgabe vom 3. Mai 2017
berichtete, ist es kriminellen Hackern erneut gelungen,
Sicherheitslücken zu nutzen und die Konten zahlreicher Bankkunden
leerzuräumen. Diesmal betroffen sind Kunden des Mobilfunkanbieters 02
Telefonica. Die Geschädigten nutzten ihr Handy, um sich per SMS ein
One-Time-Passwort (OTP) für eine Online-Überweisung schicken zu
lassen. Diese SMS wurde von den Hackern abgefangen. Die weiteren
notwendigen Angaben wie Kontonummer, Passwort und Handynummer hatten
sie sich zuvor mit einer Phishing-Mail besorgt, bei der sie beim
Bankkunden dem Eindruck erweckten, er kommuniziere seine Daten an
sein Finanzinstitut. Für den Zugang zu den Handys nutzten die Hacker
dann eine bekannte Sicherheitslücke im sogenannten SS7-Netzwerk der
Mobilfunkanbieter. Die Kriminellen konnten sich so problemlos und
unbemerkt mit diesen Angaben in die Konten der Besitzer einloggen und
jede beliebige Geld-Transaktion auf Konten ihrer Wahl veranlassen.

Sicherheitslücken lange schon bekannt

Zwar verschärft die neue PSD2-Zahlungsrichtline der Europäischen
Bankenaufsichtsbehörde die Sicherheits- und
Authentifizierungsanforderungen und fordert künftig eine
Zwei-Faktoren-Authentifizierung. Missbrauchsfälle lassen sich damit
jedoch nicht gänzlich ausschließen, denn extrem anfällige, d.h.
leicht abzufangende Einmalpasswörter sind nach wie vor als ein
Authentifizierungsfaktor zugelassen. IT-Experten warnen seit einiger
Zeit, dass gängige OTP-Verfahren nicht mehr den aktuellen
Sicherheitsanforderungen genügen.

Eine Zwei-Faktoren-Authentifizierung benötigt mindestens zwei der
nachfolgenden drei Berechtigungs-Nachweise:

- Wissen (Knowledge): Ein Passwort oder ein Einmalpasswort
- Besitz (Possession): Token, Smartcard, Mobiltelefon oder etwas
anderes, das nur der berechtigte Anwender besitzt oder
- Eigenschaft (Inherence): Eine Computer-lesbare, biometrische
Charakteristik des berechtigten Anwenders

Im aktuellen Fall zeigt sich aber, dass die Kommunikationskanäle
nicht 100% sicher sind. Der Faktor "Besitz" kann simuliert werden
durch illegal erworbene Zugangsdaten zu dem Mobilfunkkonto, der
Faktor "Eigenschaft", bei dem z.B. biometrische Angaben genutzt
werden können, können Kriminelle ebenfalls ohne große Schwierigkeiten
umgehen. Denn viele mobile Anwendungen, die Biometrie nutzen,
informieren lediglich einen externen Diensteanbieter, wie
beispielsweise eine Bank, dass der Fingerabdruck des Nutzers
erfolgreich lokal abgeglichen wurde. Leicht können Betrüger diesen
Kommunikationsprozess hacken und der Bank die Bestätigung mitteilen -
ohne dass ein Abgleich des Fingerabdrucks tatsächlich stattgefunden
hat.

Tan-Generator keine komfortable Lösung für Mobile-Banking

Laut SZ empfiehlt das Bundesamt für Sicherheit in der
Informationstechnik TAN-Generatoren zu nutzen, um sichere Passwörter
für Bank-Transaktionen zu erstellen. Besonders nutzerfreundlich und
zukunftsweisend ist das nicht: Auch unterwegs müssten Nutzer von
Mobile Banking den TAN-Generator immer mit sich führen.

Die Lösung: Out-of-Band Push-Verfahren

Die Lösung für diese Sicherheitsproblematik: die Authentifizierung
einer Transaktion im Rahmen des Mobile Banking muss über einen
zweiten Kommunikationskanal erfolgen. Das Auslösen von Transaktionen
und die anschließende Authentifizierung über einen separaten,
sicheren Kanal auf dem gleichen Mobilgerät ist Kern der Geschäftsidee
des international tätigen Fintech Entersekt.

Statt eines konventionellen TLS-Kanals für die Authentifizierung
nutzt Entersekt eine geschlossene Kommunikationsebene mit einer
isolierten, zertifikatsbasierten Ende-zu-Ende-Verschlüsselung der
Kommunikationskanäle zwischen Gerät und Bankserver. Keine Drittpartei
- auch nicht Entersekt - kann auf diese Kommunikation zugreifen. Der
vom kryptografischen Stack aufgebaute Kommunikationskanal ist
vollkommen getrennt vom konventionellen TLS-Kanal, der vom
Betriebssystem des mobilen Gerätes initiiert wird. Dadurch können
sogar Transaktionen, die vom selben Mobilgerät ausgehen, Out-of-Band
authentifiziert werden.

Die Multi-Faktor- und Out-of-Band-Authentifizierungslösungen von
Entersekt wurden speziell für den hoch reglementierten Finanzsektor
konzipiert und erfüllen alle wichtigen Sicherheitsvorgaben für das
digitale Bankwesen, inklusive der Anforderungen, die von der
Europäischen Bankenaufsichtsbehörde in den Final Guidelines on the
Security of Internet Payments und den PSD2-spezifischen Regulatory
Technical Standards formuliert wurden.

Gartner prognostiziert rasanten Anstieg beim Einsatz von
Out-of-Band Push-Verfahren

Auch das international renommierte Marktforschungsinstitut Gartner
prognostiziert in seinem jüngsten "Market Guide for User
Authentication" eine Revolution bei den gängigen Verfahren zur
Authentifizierung. Die Marktanalysten gehen davon aus, dass bis 2020
80 Prozent aller Transaktionen, bei denen Mobiltelefone als
Sicherheits-Token verwendet werden, auf ein
Out-of-Band-Push-Verfahren setzen werden, das damit zur wichtigsten
Authentifizierungs-Methode würde. Heute kommt dieses Verfahren erst
in 15 Prozent der Fälle zum Einsatz.

Über Entersekt

Entersekt ist Pionier für hochsichere Authentifizierungen und Apps
auf Basis von Push-Nachrichten. 2008 in Stellenbosch, Südafrika,
gegründet, verfügt das Unternehmen heute bereits über 5
Niederlassungen und 10 Vertriebspartner in 45 Ländern. Entersekt
setzt auf eine Mehrfaktoren-Authentifizierung mit modernster,
Zertifikat-basierter Verschlüsselungstechnologie, um
Finanzdienstleistern und ihren Kunden einen lückenlosen Schutz gegen
Online-Betrug zu bieten. Anwender können damit Transaktionen einfach
und benutzerfreundlich über ihr Mobiltelefon verifizieren. Die
patentierten Entersekt-Sicherheitslösungen basieren auf offenen
Technologie-Standards und zeichnen sich durch hohe Verfügbarkeit,
Skalierbarkeit und einfache Integration aus. Sie schützen täglich
Millionen von Geräten und Transaktionen und erfüllen dabei weltweit
strengste regulatorische Vorgaben. Unternehmen rund um den Globus
setzen auf Entersekt, um das Vertrauen ihrer Kunden mit der
Einführung hochsicherer und benutzerfreundlicher neuer Mobil- und
Online-Angebote zu stärken und auszubauen. Weitere Informationen:
www.entersekt.com

Details zur Funktionsweise der Entersekt-Technik sowie die
Basis-Pressemappe stehen in der Rubrik "Media kits" unter
https://www.entersekt.com/Resources zum Download bereit.

Pressekontakt

Anne Weber-Ploemacher
BSK Becker+Schreiner Kommunikation GmbH
+49 (0) 2154 8122-17
weber@kommunikation-bsk.de

Original-Content von: Entersekt, übermittelt durch news aktuell