Wie die Migros-Bank mobiles E-Banking sicherer macht

* Dieser Artikel wurde ursprünglich in unserer Schwesterpublikation Computerwoche.de veröffentlicht. Die Migros Bank betreut gehört zum Migros-Genossenschafts-Bund und betreut rund 800 000 Kunden. Die Bilanzsumme belief sich zum Geschäftsjahresabschluss im Juni 2014 auf rund 40,8 Milliarden Franken. Damit zählt die Migros Bank zu den Top Ten der helvetischen Banken. Schon seit einigen Jahren bedient sich die Bank moderner Techniken in Sachen Sicherheit und Usability ihrer umfassende E-Banking-Dienstleistungen. 2008, als andere Institute noch mit TAN-Listen arbeiteten, führte sie zur sicheren Identifizierung und Authentifizierung ihrer Online-Kunden ein Hardware-basierendes Identity-Verfahren von Kobil ein. Die Grundlage für dieses System ist ein spezieller USB-Stick, ausgerüstet mit Chipkarte und vorkonfiguriertem Browser, der die gesamte Software für sicheres E-Banking enthält. Durch die Vorkonfiguration des Browsers kann der Kunde ausschliesslich die Website der Migros Bank ansteuern. Die Chipkarte übernimmt die Verschlüsselung der Kommunikation und die Authentisierung des Nutzers.

Heute wollen immer mehr Kunden ihre elektronischen Bankgeschäfte auch mobil tätigen, Folglich musste die Migros Bank ihre E-Banking-Lösung an die Anforderungen der mobilen Welt anpassen. Stephan Wick ist Mitglied der Migros-Bank-Geschäftsführung und agiert als Auftraggeber des Projekts bei der Migros Bank. Er erläutert die zusätzlichen Anforderungen folgendermassen: «Inzwischen nutzen mehr als 74 Prozent der Schweizer das Internet über Smartphones und Tablets. Selbstverständlich erwarten diese Nutzer auch, dass sie ihre Bankgeschäfte mobil abwickeln können.» Für die meisten dieser mobilen Endgeräte liessen sich aber USB-Sticks, wie sie für die vorhandene Lösung zum Einsatz kam, nicht nutzen. «Deshalb benötigen wir eine Lösung», so Wick, «die rein Software-basierend funktioniert, unabhängig ist vom eingesetzten Endgerät, die komfortabel ist und vor allem den grösseren Sicherheitsrisiken im mobilen Bereich wirksam begegnen kann.» Mit der letzten Bemerkung spielt der Migros-Bank-Manager auf die heute im Vergleich zu PCs nur schwache Absicherung mobiler Endgeräte an. Antivirenprogramme, persönliche Firewalls oder andere Schutzeinrichtungen sind dort bisher die Ausnahme, obwohl die mobilen Devices ständig online sind. Nicht selten sind kostenlose mobile Anwendungen bösartig behaftet. Sie können Daten von Telefonaten, SMS und 3G-Verbindungen abfangen, abhören, weiterleiten und abändern, ohne dass die Anwender etwas bemerken. Geheimhaltung und Datenintegrität stellen daher die grössten Probleme im mobilen Bereich dar. Wick zufolge hat die Migros Bank Sicherheitsprodukte verschiedener Hersteller geprüft - und sich letztlich für die Kobil-Lösung M-Identity Protection entschieden: «Kein anderer Anbieter konnte alle vier Kriterien - Software-basiert, geräteunabhängig, sicher und komfortabel zu vernünftigen Kosten - erfüllen.»

Die ihrem künftigen E-Banking-Verfahren zugrunde liegende Security-Lösung gilt den Schweizer Bankern als sicher, weil sie auf zwei Komponenten basiert: einer stark abgesicherten App auf dem Smartphone, Tablet oder PC des Nutzers und einem Sicherheits-Server in der Bank, der erst nach diversen Prüfungen ein Einmalpasswort an die App vergibt, das schliesslich den Zugang zur eigentlichen Bankenanwendung öffnet. Auf diese Weise wird praktisch jede Art von Angriff verhindert, der auf den Diebstahl von Identitäten, Passworten oder Transaktionsdaten zielt: Man-in-the-Middle-Attacks, SMS-Weiterleitungen, Cross-Channel-Angriffe, Fake-Apps, Kopieren von Einmalpassworten oder Kopieren privater Schlüssel und Zertifikate auf andere Mobilgeräte. Ausserdem muss ein Angriff zeitgleich die App des Nutzers und den Sicherheits-Server der Bank erfolgreich attackieren, um die Vertrauenskette zu durchbrechen. Für die weitere Absicherung sorgt die Zwei-Geräte-Authentisierung, die bei kritischen Transaktionen vorgeschrieben ist. Lesen Sie auf der nächsten Seite: zehnmal billiger pro Kunde

Selbstverständlich hat die Bank bei der Auswahl der Lösung nicht nur die Funktionen, sondern auch auf die Kosten pro Nutzer. Die USB-basierende Lösung schlägt pro Anwender mit mehr als 50 Euro zu Buche. Da ist der Wunsch nach einer preiswerten Alternative nachvollziehbar. Vor allem, weil die Migros Bank von einem rasanten Wachstum im E- und Mobile Banking ausgeht sowie weitere Self-Service-Dienstleistungen anbieten möchte. Heute wickeln rund 150 000 der 800 000 Kunden ihre Bankgeschäfte über das Internet ab. In fünf Jahren werden es rund 50 Prozent der Klientel sein, schätzt Wick. «Mit dem neuen System können wir zusätzliche E-Banking-Kunden um den Faktor zehn günstiger anschliessen als mit einer Hardware-basierenden Lösung», so der Migros-Bank-Manager. Kostensenkend wirkt sich der Verzicht auf SMS-Nachrichten aus, die von verschiedenen anderen Verfahren wie SMS-TAN benutzt werden, um Transaktionen einzeln abzusichern. Selbst im Grosseinkauf werden per SMS rund sechs Eurocent fällig. Bei einer grossen Bank mit aktiver Online-Nutzerschaft kann sich das schnell zu einem Kostenfaktor auswachsen. Anstelle von SMS-Nachrichten nutzt die neue Lösung zur Autorisierung von Transaktionen in vielen Fällen verschlüsselte Internet-Nachrichten, die über einen weiteren Kommunikationskanal an ein zweites, bei der Bank registriertes Endgerät des Kunden gesendet werden.Das ist nicht nur billiger, sondern auch sicherer als die leicht angreifbaren SMS. Allerdings sei der Vollständigkeit halber erwähnt, dass in M-Identity Protection ebenfalls dezidierte Hardware einbezogen werden muss, falls der Bankkunde über kein zweites mobiles Endgerät verfügt oder keines benutzen darf, wie es in bestimmten Unternehmen der Fall ist. In diesem Fall ist der Kostenvorteil deutlich geringer.

So gestaltet sich das Mobile Banking aus der Perspektive des Migros-Bank-Kunden:

Insgesamt haben rund 50 Entwickler mehr als anderhalb Jahre an der Sicherheits- und Prozessoptimierung des E-Bankings für die Migros Bank gearbeitet. Dabei wurde M-Identity Protection in die Standard-Banking-Software der Finnova AG integriert. Kobil entwickelte in Zusammenarbeit mit dem Standardsoftware-Hersteller eine eigene Schnittstelle, die die Funktionen der Sicherheitslösung mit der Standardsoftware verbindet, so dass auch künftige Online-Services damit abgesichert werden können. Für das Frontend beim Kunden entwickelte der Migros-Bank-Partner Netcetera unter Verwendung des Kobil Software Development Kit eine mobile App. Ab November dieses Jahres geht die Lösung in den Probebetrieb, ab Januar 2015 soll sie an die Kunden ausgerollt werden.

Die Migros Bank will die neue Identity- Processing-Engine auch für andere Dienstleistungen nutzen. So ist ein Direct-Pay-Service für E-Commerce-Händler geplant. Gedanken macht sich das Unternehmen zudem über Mobile Payment in stationären Kaufhäusern. Ein sicheres Mobiltelefon macht darüber hinaus zusätzliche Anwendungsfälle möglich, die sowohl den Kundennutzen als auch die Verarbeitungseffizienz der Bank erhöhen sollen. So ist zum Beispiel eine Lösung angedacht, mit der sich der Kunde beim Anruf im Call Center vorgängig in seiner mobilen App identifiziert und dadurch rascher und ohne lästige Sicherheitsfragen direkt bedient werden kann. Wie Wick ergänzt, ist die Lösung auch einsetzbar, um sichere E-Mails mit Dokumentenanhängen zu schicken oder elektronisch Termine zu vereinbaren: «Der Kunde kann sicher sein, dass die Mail tatsächlich von uns kommt, und wir sind sicher, dass der Richtige die Mail erhalten hat.» Die Migros Bank sei das erste Schweizer Finanzinstitut, das diese sicheren Services Endgeräte-übergreifend anbieten werde. Das führe zu mehr Kundenbindung, und zugleich senke es die Kosten durch mehr Selbstbedienung.