Authentifizierung / Digitale Signatur:
Sich vor »Man-in-the-Middle«-Angriffen schützen
Computerkriminelle werden immer raffinierter. Vor allem der so genannte Man-in-the-Middle-Angriff kann etablierte Sicherheitsmechanismen aushebeln und die Konten ahnungsloser Online-Banking-Kunden abräumen. Nur eine starke Authentifizierung und digitale Signatur schützen zuverlässig.
An Alarmmeldungen aus dem Bereich Internet-Sicherheit hat man sich ja mittlerweile schon fast gewöhnt. Rund vier Millionen Deutsche wurden bereits einmal Opfer von Straftaten über das Internet, so das Bundeskriminalamt [1] und der Hightech-Branchenverband Bitkom [2]. Aus dem Wirtschaftsministerium kommen keine besseren Nachrichten: Jedes fünfte Unternehmen in Deutschland sei bereits mindestens einmal ausspioniert worden.
Jörg Ziercke, Chef des Bundeskriminalamtes, sieht die Schattenwirtschaft weiterhin im Aufwind: Gegen Ende vergangenen Jahres sei es Cyber-Kriminellen nach einigen ruhigeren Monaten wieder vermehrt gelungen, Online-Banking-Kunden um ihr Geld zu prellen.
Nachrichten, die aufschrecken sollten, zumal die Geldinstitute nach wie vor statt Bollwerken äußerst brüchige Schutzmauern gegen Angriffe aus dem Internet errichten. Und zwar im wahrsten Sinne des Wortes: Standard-Sicherheitsinstrument ist eine Liste von Transaktionsnummern. Bei jeder Online-Transaktion wird eine Nummer zur Bestätigung abgefragt.
TAN-Liste: ein dünner Schutzwall
Dieses vereinfachte Challenge-Response-Verfahren scheint auf den ersten Blick recht sicher, zumindest solange die TAN-Liste unter Verschluss bleibt. Wer sich aber auf dieses System verlässt, hat nicht mit der kriminellen Energie der Hacker gerechnet. Ihre Geheimwaffe gegen die TAN-Liste ist der Man-in-the-Middle-Angriff.
Wie eine Man-in-the-Middle-Attacke abläuft: Ein Angreifer schaltet sich in die Online-Kommunikation zwischen einem Bankkunden und seinem Kreditinstitut ein.
Denn nicht selten gelingt es den Phishern, trotz Virenscanner einen Trojaner auf dem Rechner eines Opfers zu installieren. Das Öffnen eines Mail-Anhangs reicht dazu aus, ebenso der Besuch auf einer infizierten Web-Seite.
Doktoranden der Universität Mannheim stießen im Rahmen einer Studie, die sie zwischen April und Oktober vergangenen Jahres durchführten, alleine auf 164.000 Rechner, die mit dem Keylogger »Limbo« verseucht waren. Wohl gemerkt: Das ist nur ein Beispiel und damit wohl nur die Spitze des Eisbergs.
Angreifer klinkt sich in Kommunikationsfluss ein
Landet statt eines Keyloggers ein ausgefeiltes Schadprogramm auf dem PC, kann sich ein Hacker unbemerkt in die Kommunikation zwischen Bank und Kunden einklinken. Dann leitet er einfach alle Identifikationsdaten weiter und verfälscht die Inhalte der Transaktion.
Die Grafik zeigt, wie der Verbrecher dabei vorgeht: Aus einer kleinen Überweisung an eine wohltätige Organisation wird unversehens ein großer finanzieller Aderlass für den Bankkunden und ein Imageschaden für das Geldinstitut.
Das Beispiel der ausgehebelten TAN-Sicherung zeigt, dass eine einfache Transaktionsbestätigung nicht mehr ausreicht. Es lässt sich nämlich weder von der Bank noch vom Kunden eindeutig feststellen, ob sich nicht ein unbefugter Dritter eingeschaltet hat.
Wege aus der Sicherheitskrise
Sicherheit im Online-Banking kann es nur geben, wenn die Transaktionsdaten über einen zusätzlichen Kanal überprüft werden. Dies setzt allerdings ein zeitgemäßes Authentifizierung- und Signatursystem voraus, etwa Digipass von Vasco [3].
Ein solches System errechnet aus den Transaktionsdaten und einem Schlüssel, der nur der Bank und dem Kunden bekannt ist, einen Message-Authentication-Code (MAC). Dieser wird bei der Transaktion mit übertragen.
Jede Verfälschung führt zu einem ungültigen MAC und damit zum Abbruch der Transaktion. Der MAC kann natürlich auf dem Rechner selbst berechnet werden, damit bleibt das System aber grundsätzlich angreifbar.
Ein höheres Maß an Sicherheit wird dann erreicht, wenn nicht der Computer die digitale Signatur erstellt, sondern ein externes Gerät. Denn diese Zusatz-Hardware ist für Hacker prinzipiell unerreichbar.
Separate Hardware erstellt Message-Authentication-Code
Wichtig ist, dass solche Authentifizierungsgeräte unterschiedliche Hardware-Plattformen und Eingabemöglichkeiten unterstützen. Die Lösung von Vasco beispielsweise arbeitet unter anderem mit Kartenlesegeräten zusammen. Auch an eine Sprachausgabe wurde gedacht, so dass auch Menschen mit Behinderungen das System verwenden können.
Das Digipass 855 von Vasco unterstützt PKIs und digitale Signaturen. Außerdem lässt es sich für die Authentifizierung einsetzen, etwa bei Online-Transaktionen.
Besonders wichtig: Daten wie Empfängerkonto und Überweisungssumme müssen im Klartext lesbar sein und direkt in die digitale Signatur einbezogen werden. Der Anwender muss sehen, was er da signiert, und er muss sicher sein, dass die Aufforderung zu Signatur auch wirklich von seiner Bank stammt.
Transparenz als Konzept: WYSIWYS-Hardware
Der Sicherheits-Grundsatz »What you see is what you sign« wird beispielsweise beim Smart-Card-Reader »Digipass 855« umgesetzt. Das Display zeigt alle Einzelheiten einer zu signierenden Transaktion. Daten, wie etwa der PIN-Code, werden direkt auf dem Tastenfeld des Readers eingegeben. Sie tauchen nicht auf dem PC auf und können daher auch nicht ausspioniert werden, etwa durch Keylogger.
Sicherheits-Token können der Schattenwirtschaft das Handwerk legen, aber jedes Zusatzgerät bedeutet natürlich auch zusätzlichen Aufwand. Denn nicht nur beim Online-Banking herrscht in puncto Authentifizierung Nachholbedarf. Wer sich also nicht gleich eine ganze Sammlung von Sicherheits-Tokens zulegen möchte, sollte zu einem universell einsetzbaren Gerät greifen.
Smartcard und Kartenleser bieten höheres Sicherheitsniveau
Diesen Forderungen trägt die Vasco-Hardware Rechnung. Sie kann für eine auf einer Public-Key-Infrastructure (PKI) basierenden Authentifizierung ebenso eingesetzt werden wie für die digitale Signatur oder den sicheren Zugang zum Firmennetzwerk. Das Gerät bietet zudem eine »Strong Authentication« für Internet-Banking, Telefon-Banking oder E-Commerce.
Für eine PKI-gestützte Authentifizierung sind Secrets und Schlüssel auf einer Smartcard gespeichert. Diese Chip-Karte wird auch zur kryptographischen Berechnung herangezogen. Die Kombination von Kartenleser und Smartcard beseitigt eine Reihe von Sicherheitsrisiken bei Verlust oder Diebstahl, weil keine Geheimdaten auf dem Reader gespeichert sind.
Der Kartenleser muss zudem nicht durch den Anwender personalisiert zu werden. Die Initialisierung erfolgt automatisch nach dem Einsetzen der Karte. Durch die auf der Smartcard gespeicherte PIN ist eine eindeutige Identifikation möglich. Damit sind auch größere Roll-outs mit vielen Endanwendern kein Problem.
Zum Autor: Jan Valcke ist Präsident und Chief-Operating-Officer von Vasco.
[1] http://www.bundeskriminalamt.de/
[2] http://www.bitkom.org/
[3] http://www.vasco.com/
- 1. Seite: Sich vor »Man-in-the-Middle«-Angriffen schützen
- 2. Seite: Sich vor »Man-in-the-Middle«-Angriffen schützen (Fortsetzung)
» Newsletter abonnieren
Täglich aktuelle News und Hintergründe für Fachhändler, ITK-Hersteller, Distributoren und aus der Online-Welt.
» Tipp der Redaktion
Das sind die Top-Notebooks
Auf der Suche nach neuen Notebooks sieht man oft den Wald vor lauter Bäumen nicht. Unsere Kollegen von der PC Go haben daher die besten Geräte für Sie getestet.
NEC prämiert die schönste Installation
Einen Fotowettbewerb der etwas anderen Art startet NEC Display Solutions für seine Partner. Unter dem Motto »Application Picture Competition« können NEC-Partner Bilder einsenden, die NEC-Produkte im Einsatz zeigen. Für die kreativsten Fotografen winkt als Preis ein iPhone.
SAP will den Cloud-Anbieter Ariba übernehmen
Der Softwareanbieter SAP steht vor einem weiteren großen Zukauf im SaaS-Segment: Für 4,3 Milliarden Dollar wollen sich die Walldorfer den kalifornischen Beschaffungsspezialisten Ariba einverleiben und das Cloud-Geschäft auf diese Weise ausbauen.
» Bilderstrecken
» Meistgelesene News
So sexy sind Deutschlands Bäuerinnen
Vor kurzem war es wieder soweit: Die Macher des Deutschen Bauernkalenders suchten nach den schönsten Botschafterinnen für die Landwirtschaft. Die ansprechendsten Bewerberinnen kamen zum Casting nach München und Hamburg. Wir zeigen Ihnen die besten Bilder der Vorauswahlen in unserer Bilderstrecke ...
Massenentlassungen bei HP geplant
Der Rückgang der PC-Nachfrage und die Zusammenlegung von PC-und Druckersparte haben einschneidende Konsequenzen für die Mitarbeiter von HP. Es sollen laut Medienberichten 30.000 Mitarbeiter entlassen werden.