Geldinstitute sehen sich zunehmend der Kritik ausgesetzt, das Bankgeschäft nicht genügend abzusichern. Kein Wunder: Der Missbrauch von Bankdaten nimmt ständig zu mit teilweise verheerenden Folgen für die Geldinstitute und deren Kunden. Neue Technologien von Siemens sollen hier Abhilfe schaffen.
Sicherheit per Fingerzeig: Dank Scanner und optischen Sensoren kommen beim Internetausweis die Authentifizierungsdaten erst gar nicht mit dem PC in Berührung.
Venenstruktur als Ausweis: Vor allem an Geldautomaten soll der berührungslose Handvenen-Scanner das Banking sicherer und Betrügern die Zeiten schwerer machen.
- Text Size
- Share
- Print this page
Das bequeme Online-Banking von zu Hause aus erfreut sich großer Beliebtheit: Allein in Deutschland gibt es über 35 Millionen Online-Konten und fast 1,7 Milliarden Online-Überweisungen jährlich. Der Blick auf die Kehrseite der Medaille verrät allerdings, dass die Zahl der Strafdelikte in diesem Bereich ebenfalls wächst, beispielsweise beim Phishing – das ist der Versuch von Hackern, sich über gefälschte Internetseiten Zugang zu fremden Kontodaten zu verschaffen. Der dadurch verursachte Schaden liegt nach Angaben des Bundeskriminalamtes allein für 2007 offiziell bei 19 Mio. € – ein Zuwachs von 50 % im Vergleich zum Vorjahr. Der resultierende Imageschaden für die Banken ist ebenfalls nicht zu unterschätzen.
Um derartigen Aktivitäten ein Ende zu setzen, entwickelt Siemens zurzeit mehrere Lösungen, die das Bankgeschäft nicht nur im Online-Bereich, sondern auch beim Telefon- und Filial-Banking sicherer gestalten sollen. "Viele Internet-Nutzer bevorzugen die bequeme Abwicklung ihrer Bankgeschäfte. Allerdings fürchten sie gleichzeitig um die Sicherheit ihrer persönlichen Daten", erklärt Olaf Badstübner, der weltweit das Security-Geschäft für Banken und Versicherungen bei Siemens IT-Solutions and Services verantwortet. "Unser Ziel ist es deshalb, Lösungen anzubieten, die Nutzerfreundlichkeit mit höchsten Sicherheitsstandards kombinieren. Die Kernfrage dabei lautet immer, wie wir uns in anonymen Kanälen wie Internet und am Telefon sicher identifizieren können."
Scanner im Miniaturformat. So bietet Siemens etwa zusammen mit einem Schweizer Biometrie-Spezialisten einen Internetausweis an, der Online-Betrügern die Hände bindet. Das scheckkartengroße Gerät ist mit einem Fingerabdruck-Scanner und sechs optischen Sensoren ausgestattet und kann ohne zusätzliche Hardware- und Software-Installation von jedem Computer mit Internetanschluss aus eingesetzt werden.
Zu Beginn einer Überweisung identifiziert sich der Anwender zunächst per Fingerabdruck, mit dem er vorher den Ausweis personalisiert hat. Daraufhin sendet die Internetseite der Bank einen sogenannten Flickercode auf den Bildschirm des Nutzers, den die Sensoren des Ausweises erfassen und entschlüsseln. Dabei zeigt der Monitor sechs Felder, die im schnellen Wechsel schwarz und weiß flimmern. Dieser Code enthält die vorher über die Computertastatur eingegebenen Überweisungsdaten und die von der Bank generierte Nummer zur Transaktionsfreigabe (TAN).
Der integrierte kryptographische Schlüssel des Ausweises dechiffriert den Code und zeigt die entschlüsselten Informationen auf seinem Display an. Nun kann der Nutzer prüfen, ob die Daten korrekt sind und die Überweisung durch die Eingabe der TAN abschließen. "Separate Passwörter und TAN-Listen sind bei diesem Ausweis überflüssig", betont Badstübner – dies macht die Bedienung komfortabler und deutlich sicherer.
Derzeit wird dieser Internetausweis zwar nur Geldinstituten vorgestellt, doch laut Badstübner kann die Lösung auch in weniger sicherheitskritischen Online-Bereichen Anwendung finden: "Ob Reisebuchung oder Musik-Download: Der Ausweis verfügt über insgesamt 128 verschiedene Schlüssel und kann theoretisch für eine entsprechende Zahl von Onlineanbietern eingesetzt werden." Rege Anwendung findet das intelligente System bereits Siemens-intern. Vor allem dort, wo externe Partner einbezogen werden, verschafft der Ausweis den richtigen Personen Zugang zu internen Siemens-Daten. "Indem der Anwender seinen Fingerabdruck zur Identifikation nutzt, wird gewährleistet, dass die richtige Person bei der Anmeldung physikalisch anwesend war. Ein Passwortmissbrauch durch Dritte ist somit ausgeschlossen", erläutert Badstübner.
Trotz der vielen Einsatzmöglichkeiten konzentriert sich Badstübner weiterhin auf die Sicherheit des Bankgeschäftes. So auch bei Bankautomaten, bei denen die Missbrauchsraten ebenfalls stark zunehmen. Wurden 2007 europaweit noch an die 5 000 betrügerische Übergriffe gezählt, so gab es bereits in den ersten sechs Monaten des letzten Jahres über 6 000 Angriffe – das ist eine Steigerung vonimmerhin 143 %.
Dabei fallen drei Viertel der Attacken unter das so genannte Skimming, bei dem sich Bankräuber mit Hilfe von Attrappen des Bankkarten-Einzugsschlitzes, ausgestattet mit Lesegerät und Minikamera, Zugang zu fremden Kartendaten verschaffen. Das Handvenen-Scanning könnte hier Abhilfe schaffen. Bei dieser Methode dient die Handvenenstruktur, die bei jedem Menschen einmalig ist, der Identifizierung.
Geräte, die aus der Hand lesen. Dazu liest ein Infrarot-Scanner, der an einem Bankautomaten installiert ist, die Venenstruktur der Hand des Kunden ein. Die so gewonnenen Daten werden dann an ein System zur Erkennung biometrischer Merkmale weitergeleitet, das den aktuellen Scan mit den eingespeicherten Daten des Anwenders abgleicht. "Durch diese Art der Identifizierung kann sich der Kunde zusätzlich zur Eingabe des Pin-Codes absichern", erklärt der Frankfurter Spezialist.
Das technische System zur Erkennung und zum Abgleich der Venenstruktur wird dabei von Siemens geliefert, der Infrarot-Scanner mit dem Sensor kommt von Fujitsu. "Die Vorteile dieses Verfahrens liegen neben der erhöhten Sicherheit vor allem in der berührungslosen Anwendung – der Kunde muss den Scanner anders als beim Fingerabdruck nicht einmal berühren", beschreibt Badstübner. "Beim Fingerabdruck können Fehler bereits durch kleinste Verschmutzungen und Verletzungen der Haut auftreten und die Authentifizierung erschweren."
Neben dem Einsatz am Geldautomaten, kann das Handvenen-Scanning auch zur Identifizierung am Bankschalter genutzt werden. Kunden müssten dann nicht mehr ihren Ausweis vorlegen. Längere Wartezeiten zum Prüfen von Unterschriften würden ebenfalls der Vergangenheit angehören – Vorteile, für die sich momentan vor allem englische Banken interessieren, mit denen Siemens bereits im Gespräch ist.
Stimmenerkennung am Telefon. Eine dritte Authentifizierungsanwendung aus Badstübners Entwicklungslabor stammt aus dem Feld der Sprachbiometrie. Mit der Sprecher-Erkennung eignet sie sich besonders für das Telefonbanking. Siemens stellt dafür ein System bereit, das die individuellen Eigenheiten der Stimme des Anwenders erfasst und als Grundlage zur Authentifizierung bei zukünftigen Transaktionen über das Telefon verwendet. Um so genannte Replay-Angriffe – also den missbräuchlichen Einsatz von mitgeschnittenen Sprachaufzeichnungen – zu vermeiden, generiert das System einen zufälligen Zahlencode, den der Kunde nachsprechen muss. Seine Stimme wird dann mit den gespeicherten Daten abgeglichen, um den Anwender einwandfrei zu identifizieren.
Aktuell führt Siemens Gespräche mit deutschen, spanischen und türkischen Banken zum Einsatz dieser Technologie, bei der lediglich das bestehende Telefon-Banking-System der Bank um das Spracherkennungsprogramm ergänzt werden müsste. Siemens-intern wird das System bereits erfolgreich eingesetzt, um den normalerweise zeit- und dokumentenaufwendigen Prozess beim Rücksetzen von Passwörtern zu vermeiden.
"Hat ein Mitarbeiter sein Passwort vergessen, kann er sich einfach über das Telefon per hinterlegten Sprachcode identifizieren", sagt Badstübner. Auf diese Weise kann der Nutzer sein Passwort sicher, schnell und unkompliziert zurücksetzen. Sicher, schnell und unkompliziert, das sind genau jene Kriterien, die alle drei Sicherheits-Lösungen aus Badstübners Entwicklungsabteilung auszeichnen.