• Slide 1

Zwei-Faktor-Authentisierung

Regulatorischer Hintergrund

Die nationale Regulierungsbehörde in Belgien – die Commission Bancaire, Financière et des Assurances (CBFA) – hat in einem Rundschreiben im April 2009 neue regulatorische Anforderungen an über das Internet durchgeführte Finanzdienstleistungen aufgestellt. Dieses Rundschreiben besagt, dass Finanzinstitute, die selbst Finanzdienstleistungen über das Internet durchführen sowie ihren Kunden anbieten, Finanzdienstleistungen über das Internet durchzuführen, besonderen Risiken unterliegen. Solche Finanzinstitute müssen aus diesem Grunde spezielle Anforderungen erfüllen, die u.a. folgende Kriterien betreffen:

  • Organisation des Instituts und der IT-Infrastruktur
  • Analyse und Überwachung von möglichen Sicherheitslücken
  • Schutz vor unbefugtem Zugriff auf IT-Infrastruktur
  • Angemessene Sicherung von eigenen Webseiten
  • Vorschriften für Mitarbeiter
  • Sicherer Authentisierungs-Prozess für Kunden und Mitarbeiter
  • Schutz von Finanztransaktionen jeglicher Art



Zwei-Faktor-Authentisierung im Online Banking

Eine Authentifizierung dient dem Nachweis der Identität. Oft geht es dabei um die eindeutige Identifizierung des Gegenübers, wenn die Rechte direkt an eine Person gebunden sind. So benötigt beim Online Banking der Benutzer das Recht, sich auf ein bestimmtes Konto einzuloggen, Kontostände zu sehen und Transaktionen durchzuführen. Um Konten vor Missbrauch zu schützen, muss sich der Kunde beim Einloggen authentisieren. Dies kann auf drei verschiedenen Wegen erfolgen:

  • Authentisierung durch Wissen, z.B. Passwort, PIN
  • Authentisierung durch Besitz, z.B. Chip- / Magnetstreifenkarten, digitale Schlüssel-Codes auf USB-Sticks oder Festplatten, TAN, Tokens mit Einmalpasswörtern
  • Authentisierung durch biometrische Merkmale, z.B. Fingerabdruck, Gesichts- / Iriserkennung

Jede der drei Authentisierungsmethoden birgt gewisse Nachteile: Passwörter können vergessen oder erraten werden – Karten, USB-Sticks oder Tokens können verloren oder gestohlen werden – die Feststellung biometrischer Merkmale ist sehr kostenintensiv.
Um einen ausreichenden Schutz vor Hackern und Phishing-Angriffen zu gewährleisten, wird in der heutigen Zeit üblicherweise die sog. Zwei-Faktor-Authentisierung (oder auch starke Authentisierung genannt) verwendet. Dabei handelt es um eine Kombination aus zwei der oben genannten Methoden der Authentisierung. Ein allgemein bekanntes Beispiel hierfür wäre das Abheben von Bargeld an einem Geldautomaten: Der Kunde besitzt seine Bankkarte und weiß seine persönliche Identifikationsnummer (PIN).
Da bei größeren Kreditinstituten mehrere Tausend Benutzer pro Stunde auf Ihr Konto per Online Banking zugreifen möchten, bietet sich bei großen Kreditinstituten auch im Online Banking die Authentisierung durch Wissen und Besitz an. In einigen europäischen Ländern wie z.B. Belgien bestehen sogar regulatorische Vorschriften, die für den Zugriff auf Konten per Online Banking neben dem Benutzernamen und einem persönlichen Passwort eine Authentisierung durch Besitz erforderlich machen.
Wir betreuen eine Zwei-Faktor-Authentisierungslösung bei einer Großbank, die ihren Kunden zur starken Authentisierung einen Token zur Verfügung stellt, der auf Knopfdruck ein Einmalpasswort erzeugt. Dieses Einmalpasswort ist in der Regel nur für eine kurze Zeitspanne wie etwa 60 Sekunden gültig. Nachdem das Einmalpasswort eingegeben wurde, wird auf den Bank-Servern mit Hilfe von in einer Datenbank hinterlegten Informationen das Passwort in Abhängigkeit von der aktuellen Uhrzeit nachgerechnet, mit der Benutzereingabe verglichen und daraufhin der Zugriff auf das Konto gewährt oder verweigert.

Hardware Security Module

Durch eine Zwei-Faktor-Authentisierung wird das illegale Abgreifen von Zugangsdaten unterbunden, sie dient also dem Schutz vor Angriffen auf das Online Banking System von außen. Eine weitere Sicherheitsbedrohung beim Online Banking besteht jedoch innerhalb der Bank. Denn Mitarbeiter mit den entsprechenden Benutzerrechten, z.B. Administratoren, könnten sich Zugriff auf die in der Datenbank gespeicherten Informationen verschaffen, die zum Erstellen von gültigen Einmalpasswörtern benötigt werden. Um dies zu verhindern, werden alle Zugangsdaten verschlüsselt auf die Bank-Server übertragen und auch verschlüsselt in der Datenbank gespeichert. Für den Abgleich der eingegebenen Zugangsdaten zur Authentisierung müssen die Daten jedoch entschlüsselt werden.
Um an dieser Stelle das Entstehen einer Sicherheitslücke zu vermeiden, geschieht die Entschlüsselung und der Abgleich der Zugangsdaten in sog. Hardware Security Modules (HSM). Dabei handelt es sich um spezielle Geräte, die die sichere Ausführung von kryptografischen Operationen übernehmen. Neben dem softwaretechnischen Schutz durch Ver- und Entschlüsselung bietet ein HSM auch die Sicherheit vor physikalischen Angriffen auf das Gerät. Abhängig vom zu erreichenden Sicherheitslevel ist ein HSM so konzipiert, dass jeder Versuch, das Gehäuse des Geräts zu öffnen oder anderweitig einzudringen, registriert wird oder sogar zur automatischen Löschung der gespeicherten Schlüssel führt.
Wir sind verantwortlich für die Umsetzung einer HSM-Integration in die oben genannte Softwarelösung zur starken Authentisierung der Großbank, um die Sicherheit im Online Banking zu erhöhen.

Beispielhafte Architektur für eine Zwei-Faktor-Authentisierung

In folgender Grafik ist ein Beispiel einer Architektur für eine Zwei-Faktor-Authentisierung abgebildet.

architektur authentisierung

Der Einsatz unserer Kompetenz

  • Betreuung einer Zwei-Faktor-Authentisierungslösung einer Großbank
  • Umsetzung einer HSM-Integration