Biometrische Sicherung und Flickercode

Siemens will Phisher mit Internetpass bekämpfen

Siemens hat heute den Internetpass vorgestellt, der Online-Banking deutlich sicherer machen soll. Das Gerät in Scheckkartengröße gibt TANs erst frei, wenn der Besitzer per Fingerabdruck verifiziert ist.

Im Endeffekt handelt es sich bei dem Internetpass um ein E-Token. Neu sind allerdings die Übertragungsart und die Identifikation des Benutzers. Letztere geschieht per Fingerabdruck. Nur wenn sich der Nutzer mit dem passenden Abdruck identifiziert, wird der scheckkartengroße Internetpass überhaupt aktiv.

Aufbau: Das Gerät besteht aus mehreren Komponenten, wie Display und Fingerabdruckscanner. (Quelle: Siemens)
Aufbau: Das Gerät besteht aus mehreren Komponenten, wie Display und Fingerabdruckscanner. (Quelle: Siemens)

Trickreicher ist dagegen die Datenübergabe von Bank zum Internetpass. Im Beispiel füllte ein Nutzer eine Überweisung aus und übergab diese an die Bank. Diese widerum zeigt die Daten der Überweisung und sechs Kästchen auf dem Bildschirm, die abwechselnd weiß und schwarz blinken. Das ist der so genannte Flickercode. Sechs im Pass integrierte optische Sensoren fangen das Blinken der Kästchen auf, und empfangen so die Daten der Überweisung direkt vom Bildschirm. Der Internetpass stellt die kompletten Daten noch einmal in seinem eigenen Display dar, wenn der Benutzer deren Echtheit bestätigt, gibt der Pass eine TAN aus. Mit dieser wiederum kann der Nutzer seine Überweisung bestätigen. Token und Computer sind während des gesamten Vorgangs nicht miteinander verbunden.

Übertragung: Die flackernden Kästchen übertragen die Einzelheiten der Zahlung kabellos an den Pass. (Quelle: Siemens)
Übertragung: Die flackernden Kästchen übertragen die Einzelheiten der Zahlung kabellos an den Pass. (Quelle: Siemens)

Das Konzept bietet einige interessante Ansätze. So kann mittels Fingerabdruck die Identität des jeweiligen Nutzers klar verifiziert werden. Zudem erspart es den Bankkunden TAN-Listen oder HBCI-Ausrüstung. Allerdings wirft das System auch einige Fragen auf. So beispielsweise nach den Kosten. Siemens wollte sich dazu nicht äußern, sprach lediglich von „einem niedrigen zweistelligen Betrag“. Man gehe aber davon aus, so ein Siemens-Sprecher, dass die Banken das Gerät kostenlos zur Verfügung stellen. Da sind wir ein wenig skeptischer.

Zudem wurde die Frage nach einer Lebenderkennung des Biometrie-Sensors nur unbefriedigend beantwortet. Man habe einige Stoffe geprüft und nutze ein RF-Feld zur Erkennung, so Alain Rollier von ACSionics, der Entwicklerfirma. Ob das reicht, um einen kopierten Fingerabdruck zu erkennen, darüber gab Rollier keine Antwort.

In der Demonstration konnte hat der Ausweis einen sehr guten Eindruck gemacht. Das Gerät ist leicht zu bedienen und gibt, richtig angewandt, tatsächlich eine deutlich höhere Sicherheit als TAN-Listen. In der Praxis entscheidet aber der Preis, ob Kunden vom zumeist kostenlosen TAN-Verfahren auf eine zusätzliche Hardware umsteigen. Bei HBCI ist das, zumindest im Privatkundenbereich, nicht der Fall.

Siemens rechnet Mitte bis Ende 2008 mit dem öffentlichen Einsatz in den ersten Banken. Die Firma gibt sich optimistisch: Innerhalb von drei Jahren will man einen dreistelligen Millionenbetrag umsetzen. (mja)