Fotohandy-PIN sichert Online-Banking

EnterpriseProjekteSicherheitSoftwareSoftware-Hersteller

Bernd Borchert und Klaus Reinhardt vom Wilhelm-Schickard-Institut für Informatik der Universität Tübingen haben ein Verfahren entwickelt, das Bankkunden ein sicheres Online-Banking unter Nutzung eines Fotohandys ermöglichen soll.

Das Verfahren wurde von der
Universität Tübingen zur internationalen Patentierung angemeldet, und ein Software-Prototyp wurde von Informatik-Studenten bereits geschrieben. Nach Angaben der Universität besteht der Trick des neuen Verfahrens in der besonderen Art der Kommunikation des Kunden mit der Bank mittels Fotohandy, die ein auf dem PC installierter Virus nicht verfolgen und fälschen könne.

Online-Banking ist auch mit den Sicherungsverfahren TAN und iTAN nicht wirklich sicher: Schadsoftware kann durch einen heimlichen Angriff das Zielkonto und den Betrag eines Überweisungsauftrags fälschen, ohne dass der Bankkunde etwas bemerkt. Ein Online-Überweisungsauftrag wird dabei vom Virus abgefangen und manipuliert an die Bank geschickt.

Die Bank empfängt den gefälschten Auftrag und bittet um Bestätigung mit einer iTAN-Nummer. Diese Rückfrage wird wiederum vom Virus abgefangen und verfälscht auf dem Bildschirm dargestellt, so dass der ahnungslose Bankkunde die gefälschte Überweisung mit dem iTAN-Code bestätigt. Solche Viren sind nicht einfach zu schreiben, aber im Herbst 2007 gab es den ersten solchen Betrugsfall, der Virus wurde ‘Silentbanker’ genannt.

Einige Banken nutzen Verfahren, die solche Angriffe verhindern, zum Beispiel das mobile-TAN Verfahren mit dem Handy. Das jetzt neue entwickelte Fotohandy-PIN-Verfahren hat aber den Vorteil, dass keine Funk- oder SMS-Verbindung nötig ist und dass das Verfahren doppelt gesichert ist: Es reicht nicht aus, im Besitz des Handys zu sein, für jede Überweisung braucht man auch die Kenntnis der Account-PIN.

Der Bankkunde benötigt für das neue Verfahren ein Fotohandy, auf das er das im Internet frei verfügbare Fotohandy-PIN-Programm herunterlädt. Ein geheimer kryptographischer Schlüssel wird von der Bank per Post als 2D-Code auf Papier an den Bankkunden geschickt und durch einfaches Abfotografieren in das Handy eingelesen.