Chancen und Risiken 26.02.2015, 15:37 Uhr

E-Banking per Fingerabdruck

Die Schweizer IT-Firma Crealogix hat eine mobile App-Lösung mit Fingerabdruck-Option entwickelt. Doch wie sicher ist die Lösung und wie weit ist man damit schon? Wir haben den CEO vom Crealogix E-Banking und Sicherheitsexperten befragt.
Das Schweizer Software-Unternehmen Crealogix - Anbieter der e-Banking-Applikationen der Raiffeisengruppe und verschiedener Kantonalbanken - hat ein Touch-ID-Konzept fürs Mobile-Banking ins Leben gerufen. Dies nachdem Apple die Touch-ID-Programmierschnittstelle für Drittanbieter geöffnet hat. Aufbauen soll die Authenfizierungsmethode auf dem Grundgerüst der «PortalApp» von Crealogix. Doch wie funktioniert das im Detail überhaupt?

Mobiles Zahlen auf Fingerdruck

Rein technisch gesehen, handelt es sich bei dem Touch-ID-Konzept der Crealogix um eine Software-Komponente, die sich aus einem gehärteten Browser und einem Teil nativer Software zusammensetzt. Daher können mehrere Banken wie die Kantonalbanken und die Raiffeisen das «Grundgerüst» in ihre bestehende Banking-Konzepte einbinden. Seit Apple die Touch-ID für Drittanbieter geöffnet hat, ist auch Crealogix als Software-Anbieter im Banking-Bereich auf diesen Zug aufgesprungen. In der Praxis könnte das in etwa so aussehen: Jemand schickt mit der mobilen Bank-App direkt mit seinem Fingerabdruck die Zahlungen an die zuvor übers E-Banking-Portal freigegebenen Zahlungsempfänger. Ein anderes denkbares Szenario wäre der Fingerabdruck als Ersatz für ein «Taschenrechnerli»-Dongle, um sich einfacher übers E-Banking-Portal anzumelden. Nächste Seite: Was denken Banken und Sicherheitsexperten?

Kehrtwende beim Sicherheitskonzept

Widersprüchlich: Vor nicht einmal zwei Jahren gab der CEO Bruno Richle zu bedenken, dass biometrische Informationen wie ein Fingerabdruck als unveränderliches Merkmal eine grosse Gefahr für seinen rechtmässigen Besitzer darstellen, wenn er gestohlen wird.  Inzwischen hat Thomas Avedik, CEO Crealogix E-Banking, einen Kurswechsel bezüglich der Vorbehalte gegenüber der Biometrie eingeläutet. Früher hätte man insbesondere Aspekte wie Voice-Authentifizierung in Erwägung gezogen, sagt Avedik gegenüber Computerworld. Da sei die Fehlerquote bis heute noch zu hoch. Beim Thema Fingerprint habe jedoch die Technologie Fortschritte gemacht. Die Zuordnung bzw. Eindeutigkeit habe mittlerweile ein Level erreicht, wo man sagen kann: «Das passt», findet Avedik. Die Frage sei immer, wem man den Fingerabdruck anvertrauen möchte. Bei Apple könne man zumindest als Anwender davon ausgehen, dass der Sicherheitsstandard mit ausreichender Sorgfalt implementiert wurde, glaubt Avedik. 

Ein Merkmal, das wir überall hinterlassen

Der Fingerabdruck ist aber gemeinhin ein Merkmal, das wir überall im Alltag hinterlassen. So ist es dem Chaos Computer Club (CCC) schon gelungen, die Touch-ID-Sperre ohne Finger zu überwinden, jedoch mit grossem Aufwand. Man hat dazu einen Fingerabdruck mit einer grossen Auflösung eingescannt und digital nachbearbeitet und anschliessend auf Transparenzfolie gedruckt. Das wirft natürlich Sicherheitsfragen auf. Man muss jedoch in diesem Fall zwei Punkte unterscheiden: Die Fingerabdrücke werden in Apples System nicht originär, sondern nur dauerhaft in Form einer Prüfsumme im Prozessor des iPhones abgespeichert. Apple hat dazu vor knapp einem Jahr ein umfassendes Whitepaper veröffentlicht, das mit ungewöhnlicher Ausführlichkeit den iOS-Entwicklern die Security-Auflagen nahelegt. Ein Fingerabdruck auf Folie nützt somit ohne die Original-Hardware des Besitzers nichts.  Nächste Seite: Ergänzende Sicherheitsmerkmale

Mehrstufigkeit als Sicherheitsstrategie

Doch für Crealogix ist der Fingerabdruck nur eine weitere Komponente bei Authentifizierungsverfahren. Es ist nicht geplant, dass man sich nur per Fingerabdruck in sein Konto einloggen kann. Grundsätzlich und auch beim Mobile Banking würden zusätzliche Authentifizierungsstufen eine Rolle spielen, erklärt uns Geraldine Critchley, Marketing-Verantwortliche von Crealogix. 

Aber wenn der Fingerabdruck gestohlen wird?

Das ist auch für den Sicherheitsexpterten Özgur Koyun vom IT-Security-Spezialist Kobil Systems der richtige Weg. «Fatal wäre es, wenn biometrische Authentifizierung eingeführt wird, der Fingerabdruck bei Diebstahl oder Fehlfunktionen aber in einem bestehenden Konzept wieder durch herkömmliche Logins ersetzt würde», sagt er gegenüber Computerworld. Der ebenfalls auf E-Banking-Lösungen spezialisierte Software-Konzern war in der Schweiz unter anderem am M-IDentity-USB-Sticks der Migros Bank beteiligt. Die deutsche IT-Security-Firma plant ebenfalls ein Touch-ID-Konzept und will schon im nächsten halben Jahr eine nicht näher genannte Grossbank aus Deutschland an eine solche Lösung anbinden. Kobil verfolgt dabei auf App-Ebene einen etwas anderen Ansatz. Man spricht von einem geschlossenen Identifizierungsprozess. Die App als solches müsse immer mit dem jeweiligen Gerät authentifiziert werden, womit Emfänger und Sender immer eine Unique ID erhalten.

Banken geben sich noch zurückhaltend

Und was sagen die Banken zum neuen Feature? Dürfen sich iPhone-Nutzer schon bald mit dem neuen Feature anfreunden? Bei der PostFinance ebenfalls Kunde von Crealogix hiess es: «Im Rahmen der stetigen Weiterentwicklung ihrer Produkte prüft PostFinance auch Einsatzmöglichkeiten von Touch ID. Mehr lässt sich zum heutigen Zeitpunkt zu diesem Thema nicht sagen». Ähnlich verhalten tönt es auch bei der UBS: Man verfolge das Konzept mit Aufmerksamkeit, antwortete uns ein Sprecher. Man darf jedoch davon ausgehen, dass interessierte Banken früher oder später eine Touch-Funktion einführen dürften. Es gebe verschiedene Banken im Ausland, die schon mehr vom ganzen Sicherheitskonzept wissen wollen, meint der E-Banking-Chef von Crealogix. «Wenn Google oder Apple etwas Neues bringen, das niet- und nagelfest ist, müssen wir das unterstützen. In einigen Ländern werden gewisse neue Technologien schneller akzeptiert, in anderen weniger», so Avedik.



Das könnte Sie auch interessieren