All Stories
Follow
Subscribe to Entersekt

Entersekt

Kriminelle Hacker räumen Konten leer - Gängige Authentifizierungsverfahren beim Mobile-Banking nicht sicher

Südafrika (ots)

   - Süddeutsche Zeitung berichtet über weitreichenden Hackerangriff
   - PSD2-Richtlinie verschärft Anforderungen an eine starke 
     Authentifizierung
   - Multi-Faktor Out-of-Band Authentifizierungsverfahren sicherste 
     Option
   - Entersekt-Technologie verhindert Hackerangriffe: Bei der 
     südafrikanischen Nedbank war seit Einführung der Entersekt 
     Out-of-Band-Technologie im Jahr 2012 kein einziger 
     Phishingangriff erfolgreich

Wie die Süddeutsche Zeitung in ihrer Ausgabe vom 3. Mai 2017 berichtete, ist es kriminellen Hackern erneut gelungen, Sicherheitslücken zu nutzen und die Konten zahlreicher Bankkunden leerzuräumen. Diesmal betroffen sind Kunden des Mobilfunkanbieters 02 Telefonica. Die Geschädigten nutzten ihr Handy, um sich per SMS ein One-Time-Passwort (OTP) für eine Online-Überweisung schicken zu lassen. Diese SMS wurde von den Hackern abgefangen. Die weiteren notwendigen Angaben wie Kontonummer, Passwort und Handynummer hatten sie sich zuvor mit einer Phishing-Mail besorgt, bei der sie beim Bankkunden dem Eindruck erweckten, er kommuniziere seine Daten an sein Finanzinstitut. Für den Zugang zu den Handys nutzten die Hacker dann eine bekannte Sicherheitslücke im sogenannten SS7-Netzwerk der Mobilfunkanbieter. Die Kriminellen konnten sich so problemlos und unbemerkt mit diesen Angaben in die Konten der Besitzer einloggen und jede beliebige Geld-Transaktion auf Konten ihrer Wahl veranlassen.

Sicherheitslücken lange schon bekannt

Zwar verschärft die neue PSD2-Zahlungsrichtline der Europäischen Bankenaufsichtsbehörde die Sicherheits- und Authentifizierungsanforderungen und fordert künftig eine Zwei-Faktoren-Authentifizierung. Missbrauchsfälle lassen sich damit jedoch nicht gänzlich ausschließen, denn extrem anfällige, d.h. leicht abzufangende Einmalpasswörter sind nach wie vor als ein Authentifizierungsfaktor zugelassen. IT-Experten warnen seit einiger Zeit, dass gängige OTP-Verfahren nicht mehr den aktuellen Sicherheitsanforderungen genügen.

Eine Zwei-Faktoren-Authentifizierung benötigt mindestens zwei der nachfolgenden drei Berechtigungs-Nachweise:

   - Wissen (Knowledge): Ein Passwort oder ein Einmalpasswort
   - Besitz (Possession): Token, Smartcard, Mobiltelefon oder etwas 
     anderes, das nur der berechtigte Anwender besitzt oder
   - Eigenschaft (Inherence): Eine Computer-lesbare, biometrische 
     Charakteristik des berechtigten Anwenders

Im aktuellen Fall zeigt sich aber, dass die Kommunikationskanäle nicht 100% sicher sind. Der Faktor "Besitz" kann simuliert werden durch illegal erworbene Zugangsdaten zu dem Mobilfunkkonto, der Faktor "Eigenschaft", bei dem z.B. biometrische Angaben genutzt werden können, können Kriminelle ebenfalls ohne große Schwierigkeiten umgehen. Denn viele mobile Anwendungen, die Biometrie nutzen, informieren lediglich einen externen Diensteanbieter, wie beispielsweise eine Bank, dass der Fingerabdruck des Nutzers erfolgreich lokal abgeglichen wurde. Leicht können Betrüger diesen Kommunikationsprozess hacken und der Bank die Bestätigung mitteilen - ohne dass ein Abgleich des Fingerabdrucks tatsächlich stattgefunden hat.

Tan-Generator keine komfortable Lösung für Mobile-Banking

Laut SZ empfiehlt das Bundesamt für Sicherheit in der Informationstechnik TAN-Generatoren zu nutzen, um sichere Passwörter für Bank-Transaktionen zu erstellen. Besonders nutzerfreundlich und zukunftsweisend ist das nicht: Auch unterwegs müssten Nutzer von Mobile Banking den TAN-Generator immer mit sich führen.

Die Lösung: Out-of-Band Push-Verfahren

Die Lösung für diese Sicherheitsproblematik: die Authentifizierung einer Transaktion im Rahmen des Mobile Banking muss über einen zweiten Kommunikationskanal erfolgen. Das Auslösen von Transaktionen und die anschließende Authentifizierung über einen separaten, sicheren Kanal auf dem gleichen Mobilgerät ist Kern der Geschäftsidee des international tätigen Fintech Entersekt.

Statt eines konventionellen TLS-Kanals für die Authentifizierung nutzt Entersekt eine geschlossene Kommunikationsebene mit einer isolierten, zertifikatsbasierten Ende-zu-Ende-Verschlüsselung der Kommunikationskanäle zwischen Gerät und Bankserver. Keine Drittpartei - auch nicht Entersekt - kann auf diese Kommunikation zugreifen. Der vom kryptografischen Stack aufgebaute Kommunikationskanal ist vollkommen getrennt vom konventionellen TLS-Kanal, der vom Betriebssystem des mobilen Gerätes initiiert wird. Dadurch können sogar Transaktionen, die vom selben Mobilgerät ausgehen, Out-of-Band authentifiziert werden.

Die Multi-Faktor- und Out-of-Band-Authentifizierungslösungen von Entersekt wurden speziell für den hoch reglementierten Finanzsektor konzipiert und erfüllen alle wichtigen Sicherheitsvorgaben für das digitale Bankwesen, inklusive der Anforderungen, die von der Europäischen Bankenaufsichtsbehörde in den Final Guidelines on the Security of Internet Payments und den PSD2-spezifischen Regulatory Technical Standards formuliert wurden.

Gartner prognostiziert rasanten Anstieg beim Einsatz von Out-of-Band Push-Verfahren

Auch das international renommierte Marktforschungsinstitut Gartner prognostiziert in seinem jüngsten "Market Guide for User Authentication" eine Revolution bei den gängigen Verfahren zur Authentifizierung. Die Marktanalysten gehen davon aus, dass bis 2020 80 Prozent aller Transaktionen, bei denen Mobiltelefone als Sicherheits-Token verwendet werden, auf ein Out-of-Band-Push-Verfahren setzen werden, das damit zur wichtigsten Authentifizierungs-Methode würde. Heute kommt dieses Verfahren erst in 15 Prozent der Fälle zum Einsatz.

Über Entersekt

Entersekt ist Pionier für hochsichere Authentifizierungen und Apps auf Basis von Push-Nachrichten. 2008 in Stellenbosch, Südafrika, gegründet, verfügt das Unternehmen heute bereits über 5 Niederlassungen und 10 Vertriebspartner in 45 Ländern. Entersekt setzt auf eine Mehrfaktoren-Authentifizierung mit modernster, Zertifikat-basierter Verschlüsselungstechnologie, um Finanzdienstleistern und ihren Kunden einen lückenlosen Schutz gegen Online-Betrug zu bieten. Anwender können damit Transaktionen einfach und benutzerfreundlich über ihr Mobiltelefon verifizieren. Die patentierten Entersekt-Sicherheitslösungen basieren auf offenen Technologie-Standards und zeichnen sich durch hohe Verfügbarkeit, Skalierbarkeit und einfache Integration aus. Sie schützen täglich Millionen von Geräten und Transaktionen und erfüllen dabei weltweit strengste regulatorische Vorgaben. Unternehmen rund um den Globus setzen auf Entersekt, um das Vertrauen ihrer Kunden mit der Einführung hochsicherer und benutzerfreundlicher neuer Mobil- und Online-Angebote zu stärken und auszubauen. Weitere Informationen: www.entersekt.com

Details zur Funktionsweise der Entersekt-Technik sowie die Basis-Pressemappe stehen in der Rubrik "Media kits" unter https://www.entersekt.com/Resources zum Download bereit.

Pressekontakt


Anne Weber-Ploemacher
BSK Becker+Schreiner Kommunikation GmbH
+49 (0) 2154 8122-17
weber@kommunikation-bsk.de

Original content of: Entersekt, transmitted by news aktuell

More stories: Entersekt
More stories: Entersekt
  • 24.04.2017 – 14:04

    Entersekt: Über 1 Milliarde sichere Transaktionen

    Stellenbosch, Südafrika (ots) - Entersekt nutzt innovative und hochsichere Out-of-Band-Technologie für die nutzerfreundliche Authentifizierung von Transaktionen auf dem Mobiltelefon - Fortsetzung der internationalen Expansion - Entersekt jetzt in 45 Ländern vertreten - Neue strategische Partnerschaften in den USA, im Mittleren Osten und im asiatisch-pazifischen Raum - Bereits über 1 Milliarde sichere Transaktionen mit ...

  • 16.11.2016 – 09:00

    Entersekt: Sichere Authentifizierung für die Bank der Zukunft

    Stellenbosch, Südafrika (ots) - - Entersekt verstärkt Aktivitäten in der DACH-Region - Auftakt in Deutschland mit Integrationen bei PlusCard/Sparkasse - Mehrfaktorenauthentifizierung für höhere Sicherheit Entersekt, ein globales Fintech-Unternehmen im Bereich hochsichere Authentifizierung, will seine Präsenz in der DACH-Region deutlich ausweiten. Seit 2008 ...