News 29.10.2008, 12:12 Uhr

E-Banking: Zusatzschutz von IBM

IBM Zürich präsentiert eine Lösung, die Privatpersonen beim E-Banking schützen soll – auch wenn der Rechner längst verseucht ist. Der «Zone Trusted Information Channel (ZTIC)» gleicht einem Memory-Stick mit eingebautem Display und Steuerungstasten.
Ein Expertenteam des IBM Forschungslabors Zürich hat eine neue Authentisierungslösung für E-Banking-Anwendungen entwickelt. Der «Security-Stick» lässt sich über eine beliebige USB-Schnittstelle an einen Computer oder Laptop anschliessen und baut eine direkte, sichere Verbindung zum Onlinebanking-Server der Bank auf. Damit umgeht ZTIC den Heimcomputer des Benutzers, der möglicherweise von Hackern geknackt oder mit Malware befallen ist.
Mit dem ZTIC kann sich ein Benutzer einerseits sicher bei einer E-Banking-Anwendung anmelden und einloggen, andererseits alle Transaktionen direkt mit dem Server überprüfen und bestätigen. Damit soll der «Security Stick» auch vor Angriffen schützen, bei denen Daten – nicht erkennbar für Benutzer und Bank – im Hintergrund auf dem PC des Benutzers manipuliert werden.
Die Gefahren
Die ZTIC-Lösung schützt etwa gegen sogenannte «Man-In-The-Middle»-Attacken. Hierbei werden die zwischen dem Heimcomputer und Bankserver übertragenen Datenströme von einem Hacker unauffällig abgefangen und modifiziert. Die manipulierten Daten werden bei der Bank als offizielle Transaktion des Benutzers wahrgenommen und umgekehrt auch vom Benutzer als authentisch angesehen. Auch Malware hat mit dem ZTIC keine Chance. Hierbei versucht ein Hacker eine schädliche Software, wie etwa einen Virus oder ein Trojanisches Pferd, auf dem Heimcomputer des Benutzers zu installieren. Gelingt dies, kann der Angreifer Nachrichten, die der Benutzer schickt oder auf seinem Computerbildschirm sieht, in Echtzeit modifizieren – auch eine solche Manipulation ist für den Benutzer nicht erkennbar.
Die Lösung der IBM Forscher verschiebt alle sicherheitskritischen und kryptographischen Prozesse, wie etwa die Eingabe eines PIN-Codes während des Einloggens oder die Bestätigung einer Transaktion, vom PC des Benutzers auf den «Security-Stick». Dieser bildet einen sicheren und vertrauenswürdigen Kommunikationsendpunkt für den Bankserver und Benutzer. Das Display des ZTICs zeigt dem Benutzer die Daten an, die der Bankserver vom Benutzer empfängt. Auf diese Art und Weise kann ein Benutzer Transaktionsdaten, die er wie gewohnt über die Internetmaske im Browser eingegeben hat, prüfen und mit den ZTIC-Steuerungstasten direkt bestätigen. Durch die zusätzliche Kontrolle der Transaktionsdaten auf dem ZTIC kann ein Benutzer möglicherweise manipulierte Daten leicht erkennen und die Transaktion entsprechend annullieren.
Der ZTIC ist mit allen Betriebssystemen kompatibel und läuft mit entsprechender Konfiguration durch eine Bank ohne Installation zusätzlicher Software auf dem Heimcomputer. Erste industriell gefertigte Prototypen stehen für Pilotanwendungen mit interessierten Banken zur Verfügung.
IBM stellt seinen E-Banking-Schutz auf YouTube in einem Infofilm vor.


Kommentare

Es sind keine Kommentare vorhanden.