30.10.2008, 09:59 Uhr

Zürcher Forscher sichern Online-Banking ab

Das IBM-Forschungslabor in Rüschlikon bei Zürich hat eine Art USB-Stick gezeigt, mit der Online-Bankgeschäfte vor Manipulationen geschützt werden können.
Der ZTIC aus Rüschlikon soll verdächtige Transaktionen entlarven.
Der Trick des "Zone Trusted Information Channel" (ZTIC, sprich: "Stick") genannten Geräts: Es zeigt die Transaktionsdaten, die der Bankserver erhält. Unterscheiden diese sich von dem, was der User im Browser sieht, liegt eine Phishing-Attacke vor und die Transaktion kann abgebrochen werden.
"Die Idee war, dem User mehr Einblick zu geben, was beim Server wirklich passiert", betont Michael Baentsch, projektbeteiligter Forscher im Bereich Sicherheitstechnik. Dazu baut das Gerät eine direkte, sichere Verbindung zum Online-Banking-Server auf und erlaubt eine Echtzeitkontrolle von Transaktionsdaten. Dabei verspricht der ZTIC zusätzlichen Schutz vor Hacker-Angriffen gegen E-Banking-Anwendungen.
Das Gerät wird einfach per USB-Port an einen Computer angeschlossen und baut eine per TSL- oder SSL-Protokoll gesicherte, direkte Verbindung zum Online-Banking-Server auf, die den Computer selbst umgeht. Schon das Login wird dabei besonders geschützt. "Hier werden die meisten kritischen Daten exponiert, daher erfolgt das direkt über den Stick", erklärt Baentsch. Das Gerät enthält dazu erforderliche Daten, damit kritische Login-Informationen gar nicht erst auf einem eventuell kompromittierten Computer in den Browser eingegeben werden müssen. Der ZTIC selbst ist vor etwaiger Malware gefeit. "Es sind keinerlei Updates des Sticks vom Computer aus möglich", betont der Sicherheitsspezialist. Änderungen am Gerät könnten ausschliesslich über die sichere Verbindung und durch den Bank-Server vorgenommen werden.
Für Nutzer gut sichtbar werden die Schutzfunktionen bei den E-Banking-Transaktionen, die nach wie vor über den Browser abgewickelt werden. Hier verspricht der Sicherheitsstick Schutz gegen "Man-in-the-Middle"-Attacken, bei denen ein Hacker Datenströme zwischen Computer und Server manipuliert, ebenso wie vor Malware, die Nachrichten auf dem Bildschirm modifiziert. In beiden Fällen bekommt ein E-Banking-User in seinem Browser die korrekten Daten seiner Transaktion angezeigt, obwohl der Server eigentlich andere Informationen empfängt und sendet. IBMs Stick aber zeigt in seinem Display genau die Daten an, die auch der Server sieht oder übermittelt. Gibt es also eine Diskrepanz zwischen den Daten auf dem Computerbildschirm und der ZTIC-Anzeige, erkennt der Nutzer daran die Manipulation und kann die Transaktion mittels Tastendruck am Stick abbrechen.

Ergänzung zu bestehenden Lösungen

IBM sieht die Entwicklung als Ergänzung zu bestehenden Sicherheitslösungen wie PIN-Codes, Chipkarten und TAN-Streichlisten. Die zusätzliche Sicherheit der USB-Lösung könnte helfen, bisherige E-Banking-Skeptiker von der Online-Abwicklung ihrer Bankgeschäfte zu überzeugen, glauben die Rüschliker. Ausserdem will IBM mit einer einfachen Handhabung punkten. "Wir haben grosses Augenmerk auf Benutzerfreundlichkeit gelegt", betont Baentsch. Beispielsweise nutzen die Prototypen relativ grosse Displays, um gerade älteren Bankkunden durch gute Lesbarkeit entgegen zu kommen. In der Massenproduktion könne eine Reduktion der Displaygrösse aber nötigenfalls einer Kostenreduktion dienen, so der Forscher.
Der ZTIC ist IBM zufolge mit allen Betriebssystemen kompatibel, erfordert keine Installation zusätzlicher Software und ist in Form industriell gefertigter Prototypen verfügbar. Ob und wann genau IBMs Sicherheitssticks Einzug in den Online-Banking-Alltag halten werden, steht indes noch nicht fest. Das Züricher Forschungslabor führe mit interessierten Kunden Gespräche und hoffe, dass grössere Pilotprojekte im Laufe des Jahres 2009 in Angriff genommen werden können, so Baentsch.



Das könnte Sie auch interessieren