Online-Banking: Mehr Sicherheit ohne TAN

Der österreichische IT-Security-Spezialist Helmut Schluderbacher zeigt die Schwachstellen der neuen Mobilen Transaktionsnummern (mTAN) auf und erklärt, warum das von ihm entwickelte System „SecLookOn“ den Bankkunden mehr Sicherheit bietet.

Die Sicherheitsexperten der Banken geben sich ernsthaft Mühe, dem Thema Phishing bzw. Passwortbetrug im Interesse der Kunden möglichst wirksam zu begegnen. Das jüngste Ergebnis dieser Bestrebungen heißt mTAN (mobile Transaktionsnummer). Diese wird dem Kunden nur für eine bestimmte Transaktion per SMS zugestellt, nachdem er einen

Überweisungsauftrag online eingegeben hat. Damit wird verhindert, dass Unbefugte durch Entwenden einer wie bisher per Post zugesandten TAN-Liste in den Besitz gültiger TAN gelangen können.

Bei genauerem Hinsehen erweisen sich jedoch auch die mTAN als unsicherer als sie scheinen. Denn mit der weiteren Verbreitung von kabellosen Internetzugängen landet auch die SMS direkt auf dem Rechner, statt im Mobiltelefon: Viele Anwender verwenden heute kabellose Internetzugänge als Standardverbindung, vor allem, wenn sie unterwegs sind. Wenn der integrierte SMS-Zugang für den Empfang der mTANs genutzt wird, landet der mTAN direkt auf dem Rechner und steht allfällig vorhandenen Trojanern zur Verfügung.

Das vom österreichischen Unternehmen Merlinnovations entwickelte, patentierte Verfahren SecLookOn bietet hingegen die volle Sicherheit gegen Phishing und Trojaner, indem es einen völlig neuen Lösungsweg einschlägt: nicht mehr geschriebene Passwörter oder TAN werden als Sicherheitsbarriere herangezogen, sondern gedachte Assoziationen. Im Klartext heißt das: Es wird nicht ein bestimmter Code abgefragt, sondern individuelle assoziative Verbindungen von Bildern, Farben, Formen und Zahlen. Vorteil Nr. 1: Nur der betreffende User kennt seine persönliche Assoziation. Vorteil Nr. 2: Verbindungen von Zahlen und bildhaften Elementen (Farben, Formen, Bilder) merkt sich das menschliche Gehirn leichter als Zahlen alleine. Vorteil Nr. 3: Die individuelle, nur im Kopf des Kunden vorhandene Bild-Zahl-Farb-Form-Assoziation ist bei Eingabe nicht erkennbar und, Vorteil Nr. 4: für Betrüger so gut wie unknackbar, da die Sicherheit von 340 Bit (2340 Möglichkeiten, entspricht einer 1 mit 102 Nullen) außergewöhnlich hoch ist und bei Bedarf weiter erhöht werden kann.

Ein vom international anerkannten Schweizer Security-Experten und Wissenschafter Dr. Thomas Dübendorfer erstelltes Gutachten bestätigt die höhere Sicherheit von SeclookOn gegenüber den bestehenden, auf statischen Zifferncodes basierenden Systemen. Somit eignet sich für SecLookOn Online-Banking und bei Bankomaten ebenso wie für den Schutz vor unerlaubtem Zugriff auf Unternehmens- oder Kundendaten. Im Bankwesen bietet SecLookOn neben der höheren Sicherheit auch den Vorteil der Vereinfachung: Für Onlinekonto und Bankomat brauchen die Kunden sich nicht mehr verschiedene Passwörter zu merken.