Schutz vor Bedrohungen bei Online-Bankgeschäften: Dafür gibt es eine App

Frauke De Graeve, 3. September 2019
Protecting against Online Banking Threats: There’s an App for That

Ob Fitness oder Finanzen: Inzwischen gibt es für fast jeden Bereich des Alltagslebens (mindestens) eine Mobil-App. Auch Bankgeschäfte werden zunehmend übers Handy abgewickelt und mit Mobilgeräten und entsprechenden Apps gesichert.

Unter Mobile-Banking-Kunden erfreuen sich Online-Banking-Services hoher Beliebtheit. Das ergab eine Studie des Deloitte Center for Financial Services aus dem Jahr 2018, für die 17.100 Personen in 17 Ländern befragt wurden. Dabei zeigte sich, dass „die Mobile-Banking-Kunden unter den Umfrageteilnehmern nach wie vor in großem Umfang Gebrauch von Online-Banking-Kanälen machen: 94 % nutzen den Online-Kanal mindestens einmal im Monat.“

Viele Menschen haben das Smartphone als ständigen Begleiter überall dabei. So liegt es oft auch griffbereit auf dem Schreibtisch, während Bankgeschäfte am Laptop oder Desktop-Computer erledigt werden. Diese Angewohnheit ermöglicht eine elegante Lösung für Fallbeispiele wie Out-of-Band-Authentifizierung und Signierung von Transaktionsdaten zum Schutz gegen sogenannte „Man in the Middle (MitM)“- und „Man in the Browser (MitB)“-Angriffe. Leider passiert es immer noch allzu leicht, dass Schadsoftware auf einen Computer oder Laptop heruntergeladen wird und Finanzbetrüger dadurch einfaches Spiel haben. Die Nutzung eines vertrauenswürdigen Mobilgeräts als zusätzliche Sicherheitsschicht bei Online-Bankgeschäften bietet sich als unkomplizierte Methode zur Abwehr gegen tückische Cyber-Bedrohungen an.  

In der Deloitte-Studie zeigte sich, dass Sicherheit der Hauptgrund ist, der viele Verbraucher davon abhält, Online- und Mobile-Banking-Services häufiger zu nutzen. Weltweit gaben 56 % der Befragten an, sie würden Online-Banking-Services vermehrt nutzen, wenn robustere Vorkehrungen zur Datensicherung existierten. In diesem Blog-Beitrag geht es um eine spezielle Methode zur Gewährleistung der Sicherheit bei Online-Bankgeschäften: die App-basierte Signierung von Transaktionsdaten.

PSD2 und Signierung von Transaktionsdaten (dynamische Verlinkung)

In Europa müssen Banken und andere Finanzinstitute beim Ausbau ihrer Online- und Mobile-Banking-Services die revidierte Zahlungsdiensterichtlinie (PSD2) einhalten. Die PSD2 legt Anforderungen für starke Kundenauthentifizierung (SCA) und dynamische Verlinkung bzw. Signierung von Transaktionsdaten fest.

Die Vorschrift zur dynamische Verlinkung wurde zum Schutz vor Man-in-the-Middle-Angriffen (MitM) eingeführt. Bei MitM-Angriffen fangen Cyberkriminelle die Kommunikation zwischen Kunden und Bankserver ab und ändern die Zahlungsangaben für eine Transaktion, ohne dass der Auftraggeber der Zahlung dies bemerkt. Häufig erfolgt die Übernahme des Kommunikationskanals zwischen dem Laptop (oder anderem Gerät) des Kunden und der Bank durch ein WLAN-Netzwerk, das als öffentlicher Hotspot getarnt wird. Bei der Nutzung öffentlicher Hotspots ist Verbrauchern oftmals nicht bewusst, dass sie ihre Daten womöglich über ein Netzwerk übermitteln, das von einem Betrüger kontrolliert wird. So wird aus einer authentischen Überweisung von 100 Euro an einen Freund eine gefälschte Überweisung von 1.000 Euro an einen Betrüger!

Gemäß PSD2 muss die dynamische Verlinkung in drei Schritten erfolgen. Erstens muss die Transaktion vom Auftraggeber durch Berechnung eines Authentifizierungscodes für bestimmte Transaktionsdaten (u. a. Betrag der Transaktion und Zahlungsempfänger) authentifiziert werden. Der Authentifizierungscode muss mit der Transaktion verknüpft werden, sodass der Code bei einer Änderung der Transaktionsdaten ungültig würde.

Zweitens müssen die Vertraulichkeit und Integrität der Transaktionsdaten während des gesamten Authentifizierungsprozesses geschützt werden, damit sie nicht von Betrügern abgefangen und geändert werden können. Dadurch lässt sich gewährleisten, dass der Authentifizierungscode auf der Basis der authentischen Transaktionsdaten berechnet wird.

Drittens muss der Kunde über die Transaktionsdaten informiert werden, die er authentifizieren soll. Das bedeutet, dass ihm die Transaktionsdaten zum Zeitpunkt der Authentifizierung angezeigt werden müssen (Stichwort „What you see is what you sign“).

Risikominderung durch Cronto-Technologie

Cyberkriminelle nutzen Social-Engineering-Techniken und Trojaner zum Manipulieren von Finanztransaktionen und Diebstahl von Geldern. Cronto verhindert solche Angriffe, indem das Verfahren zur Autorisierung von Transaktionen gesichert wird. Cronto ist eine benutzerfreundliche Methode zur Blockierung von Betrügern, die Online- und Mobile-Banking-Services ins Visier nehmen.

Konkret funktioniert die Cronto-Technologie so:

  • Aufbau eines sicheren Kommunikationskanals zum Schutz der Geheimhaltung und Integrität von Transaktionsdaten
  • Anzeige der Transaktionsdaten als Klartext, damit der Kunde ihre Richtigkeit überprüfen kann
  • Berechnung eines Authentifizierungscodes anhand der Transaktionsdaten

Cronto ist als Mobil-App verfügbar, sodass der Kunde die Zahlungsangaben ganz einfach durch Scannen des Cronto-Codes überprüfen kann. Der Code wird als buntes Kryptogramm (ähnlich wie ein QR-Code) angezeigt. Der Cronto-Code beinhaltet die verschlüsselten Transaktionsdaten. Dieser visuelle Code kann nur von der Bank generiert und nur vom Smartphone des Kunden entschlüsselt werden. Der Kunde autorisiert dann die Transaktion, indem er den von dem Cronto-Kryptogramm generierten Antwortcode an die Bank sendet.

Diese visuelle Methode zur Unterzeichnung von Transaktionen vereinfacht die zur Verifizierung erforderliche Interaktion – der Anwender scannt den auf dem Bildschirm angezeigten Authentifizierungscode mit dem Handy und gibt einen Antwortcode in den Browser ein. Auf diese Weise haben Hacker keine Chance, die Kommunikation der verschlüsselten Transaktionsdaten zwischen Bank und Kunden abzufangen bzw. zu manipulieren. Wie Cronto im Einzelnen funktioniert, sehen Sie auch in diesem Demo-Video.

Cronto-Technologie setzt sich zunehmend durch

Die visuelle Unterzeichnung von Transaktionen zählt zu den beliebtesten Methoden zum Schutz von Online-Bankgeschäften. Sowohl im Privatkunden- als auch im Handelsbankgeschäft setzt sich die Unterzeichnung von Transaktionen durch „Scan and Sign“ aufgrund ihrer Benutzerfreundlichkeit überall auf der Welt zunehmend durch. Auch als kosteneffektiver Schutz vor Schadsoftware hat sie sich bewährt. Unter anderem haben folgende Banken Cronto bereits implementiert:

United Bulgarian Bank

United Bulgarian Bank (UBB) gehört zur belgischen KBC Group, dem größten Anbieter für Bank- und Versicherungsleistungen in Bulgarien. Mit einem Marktanteil von knapp 11 % ist sie – gemessen am betreuten Vermögen – die drittgrößte Bank in Bulgarien. Im Rahmen der Innovationsstrategie entwickelte UBB die Mobile-Banking-App UBB Mobile. Zum Schutz der App vor Schadsoftware kommt die Mobile Security Suite von OneSpan zum Einsatz, eine SDK-Suite für Mobilgeräte zur Integration von Anwendungsschutz, biometrischer Authentifizierung und Cronto-Technologie. Die Option zur Signierung von Online-Transaktionen über Cronto ist im Funktionsumfang der App inbegriffen. Durch die Implementierung von Cronto konnte UBB die Vorschrift zur dynamischen Verlinkung gemäß PSD2 erfüllen und das menschliche Risiko bei Online-Bankgeschäften mindern. 

Bank of Cyprus

Bank of Cyprus Group ist der führende Anbieter für Bank- und Versicherungsleistungen in Zypern. Das breite Angebot an Finanzprodukten und -leistungen reicht vom Privatkunden- und Handelsbankgeschäft über Investmentbanking bis hin zu Versicherungsleistungen. Bank of Cyprus musste die Konformität mit den PSD2-Vorschriften für starke Kundenauthentifizierung und dynamische Verlinkung nachweisen. Indes ist die Richtlinie Technologie-neutral und enthält keine Vorgaben zur Verwendung einer bestimmten Methode für die Unterzeichnung von Transaktionen. Nach mehreren Beratungsgesprächen und Produktvorführungen zur Bestätigung der Konformität der OneSpan-Lösungen mit den PSD2-Vorschriften entschied Bank of Cyprus sich für Cronto und weitere Technologien, die im Rahmen der OneSpan Mobile Security Suite bereitgestellt werden. (zum Demo-Video der Bank of Cyprus)

Jibun Bank

Zum Schutz vor Man-in-the-Browser-(MitB)-Angriffen wollte die japanische Internetbank Jibun Bank wirksame Gegenmaßnahmen einsetzen, ohne die Benutzererfahrung zu beeinträchtigen. Heute ist die Unterzeichnung von Transaktionen im Funktionsumfang der Mobile-Banking-App der Jibun Bank namens Smartphone Authentication Service inbegriffen. Bei der Abwicklung von Transaktionen über die Anwendung sind zur Authentifizierung keine zusätzlichen Angaben erforderlich. Bei der Abwicklung von Transaktionen über den PC fungiert die Unterzeichnung von Transaktionen als Zwei-Faktor-Authentifizierung zum Schutz vor Online-Betrug. 

Volkswagen Bank

Die 1949 gegründete Volkswagen Bank ist eine hundertprozentige Tochtergesellschaft der Volkswagen AG. Das Angebot reicht von der Finanzierung von Neu- und Gebrauchtfahrzeugen des Volkswagen-Konzerns bis hin zur Händlerfinanzierung. Die Volkswagen Bank setzte die OneSpan Mobile Security Suite zur Entwicklung und Sicherung ihrer PhotoTAN-App ein. Die App wurde zur direkten Kommunikation mit Volkswagen Bank konzipiert und ermöglicht Anwendern die Abwicklung von Bankgeschäften über Mobilgeräte. Zur Sicherung der App kommt die OneSpan Mobile Security Suite mit Funktionen zur biometrischer Authentifizierung, Abschirmung von Anwendungen und Cronto-Technologie zum Einsatz. Wie bei UBB wird durch die Cronto-Lösung von OneSpan die Konformität mit der PSD2-Vorschrift zur dynamischen Verlinkung gewährleistet.

Weitere Hinweise und Informationen zur Unterzeichnung von Transaktionen mit visuellen Methoden finden Sie auf der Seite OneSpan Cronto.

ebook cover
E-Buch

Betrug durch Account-Übernahme: Wie Sie Ihre Kunden und Ihr Unternehmen schützen

Tragen Sie dazu bei, Betrug durch Account-Übernahmen zu verhindern und Kunden in jeder Phase ihrer digitalen Aktivitäten zu schützen.

Jetzt herunterladen