IBM: USB-Stick für sicheres Online-Banking

Elektronisches BezahlenMarketingSicherheitWorkspaceZubehör

Big Blue entwickelt mit dem Security-Stick »ZTIC« einen USB-Stick, der auf der CeBIT das erste Mal der Öffentlichkeit vorgestellt wird – unter größten Sicherheitsvorkehrungen.

IT-Verantwortliche in Banken sollten genau hinsehen: Ein Expertenteam des IBM Forschungslabors Zürich entwickelt eine Authentifizierungslösung für eBanking-Anwendungen in Form eines USB-Sticks. Handlich für die User, soll das neue Gerät Hackern einen Riegel vorschieben.

Das dürfte Musik in den Ohren von Bankern sein, denen die aktuelle Rechtssprechung zumeist die Verantwortung für Betrugsfälle durch Hacker anlastet. Deshalb suchen Banken nach Lösungen, die Phishing-Attacken unmöglich machen. IBM entwickelt den Security-Stick im Auftrag von Banken, die den Stick an ihre Kunden verteilen wollen.

IBMs Security-Stick »ZTIC« – ein Prototyp, den Banken jetzt in Pilotanwendungen testen. Die Effizienz soll noch gesteigert werden, doch das Design wird nicht mehr geändert. (Bild: IBM)

Stick wird in einer sicheren Umgebung entwickelt

»Die Sicherheit liegt in der Hardware«, erklärte Frank Fischer, IBM Leader Security bei IBM Deutschland, kürzlich vor Journalisten in München. »Der Stick wird in einer sicheren Umgebung entwickelt und enthält kryptografische Algorithmen.« Sobald das Gerät an den PC andockt – und das geht über eine beliebige USB-Schnittstelle – wird der Browser auf das extern angeschlossene Device umgelenkt. Die SSL-Verschlüsselung läuft über den Stick, nicht über den Computer.

User kontrolliert alle Transaktionen über das Display
»Auf diese Weise wird die Schwachstelle Computer ausgeschaltet«, erklärt Fischer. Selbst wenn ein PC bereits von Malware befallen sein sollte, kann ein User sichere eBanking-Transaktionen tätigen, weil alle sicherheitskritischen Infos über den Stick verifiziert werden.

Der User weiß stets, was läuft, denn er kann alle Transaktionen optisch über das eingebaute Display des Sticks, eine organische LED-Anzeige mit 128 Zeichen Länge, mitverfolgen. Über die integrierten Steuerungstasten könnte er im Falle eines Falles – also wenn zum Beispiel die angezeigte Kontonummer oder der Betrag nicht mit dem übereinstimmen, was er eingegeben hat – die Transaktion sofort stoppen.

Größtmögliche Transparenz: Erst wenn Betrag und Kontonummer im Display mit den Angaben auf dem Bildschirm übereinstimmen, klickt der User auf die entsprechende Steuertaste (rechts im Bild) und setzt die Transaktion in Gang.

Damit es nicht soweit kommt, sollte die Bank, die diese Sticks an ihre Kunden ausgeben wird, größte Sorgfalt auf ihre Authentifizierungsverfahren verwenden. Ob der Kunde über PIN/TAN-Verfahren oder über sicherere Smartcard-basierte Verfahren Zugriff aus das Online-Portal seiner Bank hat, entscheidet allein die Bank. Die IBM-Technik unterstützt beide Authentifizierungsverfahren gleichermaßen. Der Stick wird deshalb auch »Zone Trusted Information Channel« (ZTIC) genannt.

Das einfacherere PIN/TAN-Verfahren setzt ein, sobald der »ZTIC« mit dem PC über Kabel verbunden ist. Zusätzlich kann eine Smartcard in den integrierten Cardreader geschoben werden. Das aktiviert die kryptografische Engine und gewährleistet den höheren Authentifizierungsgrad. Höher deshalb, weil der Einsatz der Chipkarte verhindert, daß PINs eingegeben werden müssen, die nur allzu oft schon von Hackern ausspioniert und missbraucht wurden.

Maßgeschneiderte Sticks sind noch sicherer
Noch nicht abgeschlossen sind die Überlegungen, ob das Gerät customized angeboten wird, also ob es nur mit dem Portal-Server einer einzigen Bank funktionieren soll – oder auch zu Servern anderer Banken kompatibel sein darf.

Sicherer sind in jedem Fall die maßgeschneiderten Sticks, weil in ihnen der Online-Zugang zum Banken-Server schon festgelegt ist und keine gefälschten Seiten von Hackern dazwischen gemogelt werden können. Der Nachteil hier ist jedoch, dass der Anwender für jede Bank einen eigenen Stick benutzen muss. Letztendlich wird die Akzeptanz im Markt entscheiden, wie der Kampf zwischen Bequemlichkeit und Sicherheit entschieden wird.

ZTIC wird auf der CeBIT vorgestellt
Nachdem im Oktober 2008 bereits die ersten Prototypen vorgestellt wurden, testen Banken nun industriell gefertigte Prototypen einer neuen Generation in Pilotanwendungen. Der breiten Öffentlichkeit wird »ZTIC« erstmals auf der CeBIT im März in Hannover präsentiert, und zwar unter großen Sicherheitsvorkehrungen. »Denn noch gibt es kein vergleichbares Device auf dem Markt, kein anderer Stick übernimmt in diesem Ausmaß Browser-Funktionalitäten«, erklärt Fischer. Das endgültige Roll-out des Sticks ist für das zweite Halbjahr 2009 geplant.
(Gudrun Kosche/mt)

Weblinks
IBM-Infos zum Security-Stick
Youtube-Video zu ZTIC