Mit Handys gegen Bankbetrug

Bislang werden Smartphones zur Transaktionsabsicherung beim Online-Banking nur sehr eingeschränkt eingesetzt. Ein US-Start-up will das ändern.

Eine bessere Sicherheitstechnik beim Online-Banking hätte Mark Patterson fast
350.000 Dollar retten können. Das Geld wurde ihm im vergangenen Jahr vom Bankkonto seiner Firma gestohlen – von Cyberkriminellen, die vermutlich aus Osteuropa kamen. Patterson entdeckte den Betrug geschlagene sechs Tage, nachdem er begonnen hatte – und zwar erst, als ihm seine Bank mitteilte, dass eine Überweisung über 9000 Dollar an ein ominöses Konto in Kalifornien nicht ausgeführt werden konnte.

Das Start-up DUO Security will Patterson und anderen Betrugsopfern nun mit einem neuen Verfahren helfen, das Banktransaktionen besser absichern soll – indem zu ihrer Bestätigung notwendige Informationen stets über ein zweites, abgesichertes Gerät dargestellt werden. Dabei geht der Ansatz deutlich weiter als bisherige Systeme wie die auch in Deutschland seit längerem verwendete Mobile-TAN-Technik (mTAN).

Die US-Firma macht sich dabei die Tatsache zunutze, dass immer mehr Nutzer Smartphones einsetzen. DUO Security entwickelt Anwendungen für diverse Geräteplattformen, die einen getrennten Kanal zwischen Bank und Kunden schaffen, um eine Transaktion zu verifizieren. Kunden erhalten die Details auf ihrem Handy und bestätigen sie dann mit einem Fingerstrich.

"Man drückt einen Knopf auf dem Computer und bekommt eine Nachricht, man aktiviert eine Schaltfläche auf dem Smartphone, das war's", erklärt Firmengründer Jon Oberheide. Viele weitere Optionen, die den Kunden nur verwirrten, brauche es da nicht.

Pattersons Firma wurde wie viele andere Internet-Nutzer Opfer eines trojanischen Pferdes. Die Geldstehl-Software "Zeus" wird von Cyberkriminellen verwendet, um die Online-Banking-Sitzungen von Kunden zu entführen und sich dann große Summen überweisen zu lassen. Dabei setzen sie "Money Mules" ein, oftmals unbedarfte Menschen, die das Geld gegen Provision außer Landes schaffen. Anti-Viren-Programme werden dabei regelmäßig überlistet. So testen Gauner oft den Code der jeweils neuesten Version gegen aktuelle Schutzsoftware.

Das Abfangen von Nutzername und Passwort ist einfach, weshalb Banken mittlerweile überall auf der Welt einen zusätzlichen Authentifizierungsfaktor verlangen, um Online-Banking sicherer zu machen. Weil Kriminelle die Kontrolle über den Rechner des Bankkunden besitzen, hilft aber selbst dies, etwa in Form eines temporären Passworts, oft nichts mehr. Zeus und andere fortschrittliche Trojaner verändern Banktransaktionen in Echtzeit, schicken Gelder an ihre "Money Mules", zeigen dem Nutzer aber etwas anderes – dass sein Geld nämlich an den legitimen Empfänger zu gehen scheint. So lässt sich praktisch jede Sicherheitsmaßnahme aushebeln, die den gleichen Kommunikationskanal zwischen PC und Bank nutzt. Sobald ein Angreifer die Kontrolle über den Rechner hat, reicht das schon.

DUO Security nutzt deshalb ein Verschlüsselungsverfahren, um zu verifizieren, dass die Kommunikation von und zu einem Gerät, dass der Nutzer registriert hat, auch wirklich berechtigt ist. Enorm wichtig dabei ist, dass der Nutzer die Transaktion vor der Auslösung auch auf dem externen Kanal zu sehen bekommt. "Wir sprechen uns schon lange für eine Transaktionsverifizierung aus", meint Avivah Litan, Spezialist für Internet-Betrug beim IT-Beratungshaus Gartner. "Wir nennen das: Unterschreibe, was Du siehst."

DUO Security ist bei weitem nicht der erste Anbieter, der sich auf das Handy als Verifikationskanal konzentriert. RSA, Entrust und PhoneFactor nutzen ähnliche Techniken, um Transaktionen zu verifizieren. In Deutschland kennt man schon sein Längerem das erwähnte mTAN-Verfahren, bei dem Kunden Summe, Empfängerkonto und ein Transaktionscode per SMS gesendet werden. Den Code muss er dann am Computer wieder eingeben.

Die Entwickler von Zeus können einfache SMS-Bestätigungssysteme allerdings bereits austricksen. So haben sie ein trojanisches Pferd für Symbian- und Blackberry-Handys entwickelt, das den SMS-Code an den Angreifer verschickt, der die Transaktion dann abschließen kann. Steht nicht ganz genau in der SMS, worum es geht, kann sie für jedwede Überweisung eingesetzt werden.

DUO Security entwickelte deshalb ein System, das sich leicht in Online-Banking-Websites integrieren lässt – dazu reichen nur wenige Programmzeilen. Kunden müssen keine Transaktionscodes eingeben. Banken brauchen auch keine spezielle Hardware in ihrem Netz und müssen ihre Software kaum verändern. Stattdessen läuft der Hauptteil auf dem Smartphone. Die Firma hofft deshalb, schnell eine große Kundenanzahl akquirieren zu können.

"Wir denken, wir könnten mit unserem Verfahren die Mehrfaktor-Authentifizierung deutlich stärker verbreiten." Dabei hat es DUO Security auch auf Web 2.0-Dienste abgesehen: "Das ginge sogar bei einem Facebook- oder einem Twitter-Account", meint Firmengründer Oberheide. (bsc)