Schon seit einigen Jahren bedient sich die Migros Bank moderner Techniken in Sachen Sicherheit und Usability ihrer umfassende E-Banking-Dienstleistungen. 2008, als andere Institute noch mit TAN-Listen arbeiteten, führte sie zur sicheren Identifizierung und Authentifizierung ihrer Online-Kunden ein Hardware-basierendes Identity-Verfahren von Kobil ein.
Die Grundlage für dieses System ist ein spezieller USB-Stick, ausgerüstet mit Chipkarte und vorkonfiguriertem Browser, der die gesamte Software für sicheres E-Banking enthält. Durch die Vorkonfiguration des Browsers kann der Kunde ausschließlich die Website der Migros Bank ansteuern. Die Chipkarte übernimmt die Verschlüsselung der Kommunikation und die Authentisierung des Nutzers.
Die Migros Bank
Der Finanzdienstleister gehört zum Schweizer Migros-Genossenschafts-Bund und betreut rund 800.000 Kunden. Die Bilanzsumme belief sich zum Geschäftsjahresabschluss im Juni 2014 auf rund 40,8 Milliarden Schweizer Franken. Damit zählt die Migros Bank zu den Top Ten der helvetischen Banken.
Vorbereiten auf die mobile Welt
Heute wollen immer mehr Kunden ihre elektronischen Bankgeschäfte auch mobil tätigen, Folglich musste die Migros Bank ihre E-Banking-Lösung an die Anforderungen der mobilen Welt anpassen.
Stephan Wick ist Mitglied der Migros-Bank-Geschäftsführung und agiert als Auftraggeber des Projekts bei der Migros Bank. Er erläutert die zusätzlichen Anforderungen folgendermaßen: "Inzwischen nutzen mehr als 74 Prozent der Schweizer das Internet über Smartphones und Tablets. Selbstverständlich erwarten diese Nutzer auch, dass sie ihre Bankgeschäfte mobil abwickeln können."
Für die meisten dieser mobilen Endgeräte ließen sich aber USB-Sticks, wie sie für die vorhandene Lösung zum Einsatz kam, nicht nutzen. "Deshalb benötigen wir eine Lösung", so Wick, "die rein Software-basierend funktioniert, unabhängig ist vom eingesetzten Endgerät, die komfortabel ist und vor allem den größeren Sicherheitsrisiken im mobilen Bereich wirksam begegnen kann."
Mit der letzten Bemerkung spielt der Migros-Bank-Manager auf die heute im Vergleich zu PCs nur schwache Absicherung mobiler Endgeräte an. Antivirenprogramme, persönliche Firewalls oder
andere Schutzeinrichtungen sind dort bisher die Ausnahme, obwohl die mobilen Devices ständig online sind.
Nicht selten sind kostenlose mobile Anwendungen bösartig behaftet. Sie können Daten von Telefonaten, SMS und 3G-Verbindungen abfangen, abhören, weiterleiten und abändern, ohne dass die Anwender etwas bemerken. Geheimhaltung und Datenintegrität stellen daher die größten Probleme im mobilen Bereich dar.
Wick zufolge hat die Migros Bank Sicherheitsprodukte verschiedener Hersteller geprüft - und sich letztlich für die Kobil-Lösung M-Identity Protection entschieden: "Kein anderer Anbieter konnte alle vier Kriterien - Software-basiert, geräteunabhängig, sicher und komfortabel zu vernünftigen Kosten - erfüllen."
Zwei Komponenten für die Sicherheit
Die ihrem künftigen E-Banking-Verfahren zugrunde liegende Security-Lösung gilt den Schweizer Bankern als sicher, weil sie auf zwei Komponenten basiert: einer stark abgesicherten App auf dem Smartphone, Tablet oder PC des Nutzers und einem Sicherheits-Server in der Bank, der erst nach diversen Prüfungen ein Einmalpasswort an die App vergibt, das schließlich den Zugang zur eigentlichen Bankenanwendung öffnet.
Auf diese Weise wird praktisch jede Art von Angriff verhindert, der auf den Diebstahl von Identitäten, Passworten oder Transaktionsdaten zielt: Man-in-the-Middle-Attacks, SMS-Weiterleitungen, Cross-Channel-Angriffe, Fake-Apps, Kopieren von Einmalpassworten oder Kopieren privater Schlüssel und Zertifikate auf andere Mobilgeräte. Außerdem muss ein Angriff zeitgleich die App des Nutzers und den Sicherheits-Server der Bank erfolgreich attackieren, um die Vertrauenskette zu durchbrechen. Für die weitere Absicherung sorgt die Zwei-Geräte-Authentisierung, die bei kritischen Transaktionen vorgeschrieben ist.