Erste Prototypen des «Zone Trusted Information Channel» (ZTIC) stehen für Tests und Pilotanwendungen zur Verfügung, wie die IBM Research GmbH in einer Medienmitteilung schreibt. Der «Security-Stick» lässt sich über eine beliebige USB-Schnittstelle an einen Computer oder Laptop anschliessen und baut eine direkte, sichere Verbindung zum Online-Banking-Server der Bank auf. Auf diese Art und Weise umgeht der ZTIC den Heimcomputer des Benutzers, der möglicherweise von Hackern geknackt oder mit Malware befallen sein könnte.
Zusätzlicher Schutz zu bisher existierenden Sicherheitslösungen
Mit dem ZTIC kann sich ein Benutzer einerseits sicher bei einer E-Banking-Anwendung anmelden und einloggen, und andererseits alle Transaktionen direkt mit dem Server überprüfen und bestätigen. So schützt der «Security Stick» selbst vor immer abgefeimteren Formen von Hackerangriffen, die Daten – nicht erkennbar für Benutzer und Bank – im Hintergrund auf dem PC des Benutzers manipulieren könnten. Der ZTIC bietet damit einen zusätzlichen Schutz zu den bisher existierenden Sicherheitslösungen wie PIN-Codes, Chipkarte, oder Streichlisten.
Schutz vor Malware und «Man-In-The-Middle»-Attacken
Die ZTIC-Lösung schützt etwa gegen so genannte «Man-In-The-Middle»-Attacken. Hierbei werden die zwischen dem Heimcomputer und Bankserver übertragenen Datenströme von einem Hacker unauffällig abgefangen und modifiziert. Die manipulierten Daten werden bei der Bank als offizielle Transaktion des Benutzers wahrgenommen und umgekehrt auch vom Benutzer als authentisch angesehen. Auch Malware hat mit dem ZTIC keine Chance. Hierbei versucht ein Hacker eine schädliche Software, wie etwa einen Virus oder ein so genanntes Trojanisches Pferd, auf dem Heimcomputer des Benutzers zu installieren. Gelingt dies, kann der Angreifer Nachrichten, die der Benutzer schickt oder auf seinem Computerbildschirm sieht in Echtzeit modifizieren – auch eine solche Manipulation ist für den Benutzer nicht erkennbar. (Siehe auch den IBM Kurzfilm: «Online Banking Security».
Finanzdienstleistungssektor im Visier der Hacker
Die grosse Mehrheit von Hackerangriffen ist auf den Finanzdienstleistungssektor gerichtet. Ein 2007 erschienener Bericht der schweizerischen Melde- und Analysestelle Informationssicherheit (MELANI) weist auf eine Zunahme erfolgreicher Malware-Angriffe hin und hält fest: «Zwei-Faktoren- Authentisierungssysteme (z.B. Streichlisten, SecurID, usw.) bieten keinen Schutz gegen solche Angriffe.» ZTIC bietet in Hinsicht der genannten Angriffsformen einen zusätzlichen Schutz, weil mit dem ZTIC der möglicherweise attackierte Computer umgangen wird.
Neue innovative Ansätze notwendig
«Angesichts einer immer professioneller operierenden Hackerszene wurde uns klar, dass Authentisierungsverfahren, die ausschliesslich auf PC-Software basieren, potenziell gefährdet sind und es neue, innovative Ansätze braucht, um die Nase vorn zu haben. Das gab den Startschuss für die Entwicklung des ZTICs», erklärt Dr. Peter Buhler, Manager Computer Science am IBM Forschungslabor Zürich. Er fügt an: «Das Konzeot der Lösung ist zudem Resultat einer genauen Analyse von Pro und Kontra heute bekannter Lösungen.»
Alle sicherheitskritischen Prozesse auf dem Security-Stick
Die Lösung der IBM Forscher verschiebt alle sicherheitskritischen und kryptographischen Prozesse, wie etwa die Eingabe eines PIN-Codes während des Einloggens oder die Bestätigung einer Transaktion, vom PC des Benutzers auf den «Security-Stick». Dieser bildet einen sicheren und vertrauenswürdigen Kommunikations-Endpunkt für den Bankserver und Benutzer. Das Display des ZTICs zeigt dem Benutzer die Daten an, die der Bankserver vom Benutzer empfängt. «Aufgrund seiner geschützten Verbindung zum Bankserver, ist der ZTIC ein ,sicheres Fenster› zum Server», erklärt Buhler. Auf diese Art und Weise kann ein Benutzer Transaktionsdaten, die er wie gewohnt über die Internetmaske im Browser eingegeben hat, prüfen und mit den ZTIC-Steuerungstasten direkt bestätigen. Durch die zusätzliche Kontrolle der Transaktionsdaten auf dem ZTIC kann ein Benutzer möglicherweise manipulierte Daten leicht erkennen und die Transaktion entsprechend annullieren.
Der ZTIC ist mit allen Betriebssystemen kompatibel und läuft mit entsprechender Konfiguration durch eine Bank ohne Installation zusätzlicher Software auf dem Heimcomputer. Erste industriell gefertigte Prototypen stehen für Pilotanwendungen mit interessierten Banken zur Verfügung. (IBM Research/mc/pg)
