Kann Rüschlikoner IBM-USB-Stick E-Banking sicher machen?

29. Oktober 2008, 15:17
  • security
  • ibm
  • sicherheit
image

Der Stick mit eigenem Display "umgeht" den PC, nimmt direkt mit dem Server Kontakt auf und zeigt dem User, welche Transaktionen dieser tatsächlich vornimmt.

Der Stick mit eigenem Display "umgeht" den PC, nimmt direkt mit dem Server Kontakt auf und zeigt dem User, welche Transaktionen dieser tatsächlich vornimmt.
Das IBM-Forschungslabor Zürich hat heute eine Sicherheitslösung für das E-Banking vorgestellt, die äusserlich einem USB-Stick ähnelt, aber ein eingebautes Display und Steuerungstasten umfasst. "Die Idee war, dem User mehr Einblick zu geben, was auf dem Server wirklich passiert", betont Michael Baentsch, ein am Projekt beteiligter Forscher im Bereich Sicherheitstechnik, gegenüber 'pressetext'. Dazu baut das Gerät eine direkte, sichere Verbindung zum Online-Banking-Server auf und erlaubt eine Echtzeitkontrolle von Transaktionsdaten. Dadurch verspricht der "Zone Trusted Information Channel" (ZTIC) zusätzlichen Schutz vor Hacker-Angriffen gegen E-Banking-Anwendungen.
Das Gerät wird einfach per USB-Port an einen Computer angeschlossen und baut eine verschlüsselte (TSL oder SSL), direkte Verbindung zum Online-Banking-Server auf, die den Computer selbst umgeht. Schon das Log-in wird dabei besonders geschützt. "Hier werden die meisten kritischen Daten exponiert, daher erfolgt das direkt über den Stick", erklärt Baentsch. Das Gerät enthält alle dazu erforderliche Daten, damit kritische Log-in-Informationen gar nicht erst auf einem eventuell kompromittierten Computer in den Browser eingegeben werden müssen. Der ZTIC-Stick selbst soll vor etwaiger Malware gefeit sein. "Es sind keinerlei Updates des Sticks vom Computer aus möglich", betont der Sicherheitsspezialist. Änderungen am Gerät könnten ausschliesslich über die sichere Verbindung und durch den Bank-Server vorgenommen werden.
Der Man-in-the-middle wird entlarvt
Gut fassbar werden die Schutzfunktionen bei E-Banking-Transaktionen, die nach wie vor über den Browser abgewickelt werden. Hier verspricht der Sicherheits-Stick Schutz gegen "Man-in-the-Middle"-Attacken, bei denen ein Hacker Datenströme zwischen Computer und Server manipuliert, ebenso wie vor Malware, die Nachrichten auf dem Bildschirm modifiziert. Bei beiden Angriffsarten bekommt ein E-Banking-User in seinem Browser die korrekten Daten seiner beabsichtigten Transaktion angezeigt, obwohl der Server vom Hacker ganz andere Informationen empfängt und andere Transaktionen vornimmt.
IBMs Stick aber zeigt in seinem Display genau die Daten an, die auch der Server sieht oder übermittelt. Gibt es also eine Diskrepanz zwischen den Daten auf dem Computerbildschirm und der ZTIC-Anzeige, erkennt der Nutzer daran die Manipulation und kann die Transaktion mittels Tastendruck am Stick abbrechen. Dazu hat IBM auch ein Demonstrations-Video auf YouTube veröffentlicht.
Gespräche mit Banken im Gang
IBM sieht die Neuentwicklung als Ergänzung zu bestehenden Sicherheitslösungen wie PIN-Codes, Chipkarten oder TAN-Streichlisten. Die zusätzliche Sicherheit der USB-Lösung könnte helfen, bisherige E-Banking-Skeptiker davon zu überzeugen, dass Online-Banking sicher sein kann, glauben die Zürcher. Ausserdem will IBM mit einer einfachen Handhabung punkten. "Wir haben grosses Augenmerk auf Benutzerfreundlichkeit gelegt", betont Baentsch gegenüber 'pressetext'. Beispielsweise weisen die Prototypen relativ grosse Displays auf, um gerade älteren Bankkunden durch gute Lesbarkeit entgegen zu kommen. In der Massenproduktion könne eine Reduktion der Displaygrösse aber nötigenfalls einer Kostenreduktion dienen, so der Forscher.
Der ZTIC-Stick ist IBM zufolge mit allen Betriebssystemen kompatibel, erfordert keine Installation zusätzlicher Software und ist in Form industriell gefertigter Prototypen verfügbar. Ob und wann genau IBMs Sicherheits-Sticks Einzug in den Online-Banking-Alltag halten werden, steht indes noch nicht fest. Das Züricher Forschungslabor führe mit interessierten Kunden Gespräche und hoffe, dass grössere Pilotprojekte im Laufe des Jahres 2009 in Angriff genommen werden können, so Baentsch. (pte/hjm)
(Fotos: IBM)

Loading

Mehr zum Thema

image

EPD-Infoplattform von eHealth Suisse gehackt

Unbekannte haben von der Website Patientendossier.ch Nutzerdaten abgegriffen. Das BAG erstattet Anzeige, gibt aber Entwarnung.

publiziert am 30.9.2022 2
image

Palantir übernimmt 230-Millionen-Auftrag, um US-Drohnen effizienter zu machen

Der opake Datenanalyse-Konzern des rechtslibertären Milliardärs Peter Thiel gibt auch in Europa wieder zu Reden. CEO Alex Karp inszeniert sich als kritischer Geist.

publiziert am 30.9.2022
image

Podcast: Sollten noch Produkte von Huawei und Kaspersky eingesetzt werden?

Wir debattieren, was es für die Schweiz bedeutet, wenn Produkte von Firmen aus autoritären Ländern eingesetzt werden. Zudem gehen wir den Transparenzinitiativen von zum Beispiel Kaspersky und Huawei auf den Grund und fragen uns: Sind die Amerikaner eigentlich besser?

publiziert am 30.9.2022
image

Ransomware-Banden kaufen Erstzugänge extern ein

Für nur gerade 10 Dollar können sich Cyberkriminelle auf Darkweb-Flohmärkten Zugänge zu Systemen kaufen. Damit können sie dann Schlimmes anrichten.

publiziert am 29.9.2022