Sicheres Online-Banking

Fotohandy-Verfahren trickst Trojaner aus

Informatiker der Universität Tübingen haben ein Verfahren entwickelt, das unter Nutzung eines Fotohandys durch den Bankkunden sicheres Online-Banking ermöglicht.

Online-Banking ist auch mit den Sicherungsverfahren TAN und iTAN nicht wirklich sicher: Ein Trojaner könnte durch einen heimlichen Angriff Zielkonto und Betrag eines Überweisungsauftrags fälschen, ohne dass Benutzer oder Bank davon etwas bemerken. Solche Trojaner-Viren sind nicht einfach zu schreiben, aber im Herbst 2007 gab es den ersten derartigen Betrugsfall. Der Trojaner hieß sinnigerweise „Silentbanker“.

Einige Banken nutzen Verfahren, die solche Trojaner-Angriffe verhindern, z.B. das mobile TAN-Verfahren mit dem Handy. Das an der Uni Tübingen entwickelte Fotohandy-PIN-Verfahren hat demgegenüber den Vorteil, dass keine Funk- bzw. SMS-Verbindung nötig ist und dass das Verfahren doppelt gesichert ist. Es reicht nicht aus, in Besitz des Handys zu sein, für jede Überweisung braucht man auch die Kenntnis der Account-PIN.

Der Bankkunde benötigt für das neue Verfahren also ein Fotohandy, auf dem er das im Internet frei verfügbare Fotohandy-PIN-Programm installiert. Die Bank schickt einen kryptografischen Schlüssel per Post als 2D-Code auf Papier an den Bankkunden. Dieser fotografiert den Code und liest ihn so ins Handy ein.

Der Überweisungsvorgang läuft dann folgendermaßen ab: Nach Eingabe der Überweisungsdaten wird auf dem Bildschirm ein 2D-Code gezeigt, der vom Bankkunden mit dem Handy abfotografiert wird. Auf dem Handy werden ihm die Überweisungsdaten nun nochmals gezeigt. Zur Bestätigung erhält er auf dem Handy ein Nummernfeld mit vertauschten Ziffern, das nicht der üblichen Anordnung entspricht. Die Bestätigung mit der PIN-Nummer durch Mausklicks am Computerbildschirm kann der Trojaner nicht abhören. Er kann bestenfalls die Position von Mausklicks wahrnehmen, aber er weiß nicht, was die Klicks bedeuten, denn er "sieht" das Handydisplay nicht.

Eine abgespeckte Version des Fotohandy-PIN-Verfahrens garantiert, dass Trojaner-Viren keine Passwörter bzw. PINs abhören können. Das ließe sich auch bei E-Mail-Accounts, E-Commerce-Accounts (Ebay, Amazon, etc.) und Internetforen anwenden. Als Vorteil der Fotohandy-PIN könnte es sich dabei herausstellen, dass die Software auf dem Handy in der Lage ist, beliebig viele Online-Accounts zu verwalten. Dabei könnte sie sich die Account-Namen merken und sogar für jeden Account eine abgespeicherte Gedächtnishilfe (Beispiel: "altes Passwort") für die jeweilige PIN anzeigen.

Ein weiteres Einsatzgebiet des Verfahrens könnten Internetzugänge von Unternehmen sein, die den Mitarbeitern Online-Transaktionen (z.B. Bestellungen) erlauben. (dsc)