Zwei-Faktor-Authentifizierung für PSD2

Mindestanforderungen sind nicht genug

16.04.2019
Von 


Ingo Tänzler betreut das Europa-Geschäft bei MagicCube. Vor seiner Tätigkeit bei MagicCube war Tänzler als Global Account Director bei G&D Mobile Security tätig. Zuvor arbeitete er in verschiedenen Rollen in der Siemens Communication Division. Im Rahmen dieser langjährigen Beschäftigung hat Tänzler maßgeblich an den ersten groß angelegten IoT-Projekten im Geschäftsbereich Wireless Modules mitgewirkt.
Ab September wird die Zwei-Faktor-Authentifizierung (2FA) für Banken und ihre Kunden alltäglich. Alte Konzepte wie 2FA über SMS oder WBC, um sensible Daten zu speichern, reichen jedoch nicht mehr aus.

Am 14. September treten die Anforderungen an die sogenannte starke Kundenauthentifizierung (SCA) im Rahmen der EU-Richtlinie PSD2 in Kraft. Bis dahinmüssen die meisten Zahlungstranskationen der regulierten Zahlungssysteme mit einer Zwei-Faktor-Authentifizierung (2FA) abgesichert sein.

Bankentechnologie kann sich nicht mehr mit Mindestsicherheitsanforderungen zufriedengeben.
Bankentechnologie kann sich nicht mehr mit Mindestsicherheitsanforderungen zufriedengeben.
Foto: vladwel - shutterstock.com

Es herrscht zwar weitgehend Einigkeit darüber, dass die SCA dazu beiträgt, elektronische Zahlungen künftig noch sicherer zu machen. Versäumen es Unternehmen aber, sich auf die neue Gesetzeslage angemessen vorzubereiten, kann es zu Problemen kommen wie etwa Kaufabbrüche im E-Commerce. Zudem bedeutet 2FA keine automatische Sicherheitsgarantie.

SMS als zweiter Faktor bei der 2FA ist unsicher

2FA bringt nur dann einen Fortschritt, wenn beide Faktoren sicher sind. Kommen SMS zum Einsatz, ist das nicht unbedingt der Fall.

SMS als zweiter Faktor der Authentifizierung sind heute bei vielen Banking-Services und Technologieunternehmen Standard. Die Methode ist jedoch nur aufgrund ihrer Praktikabilität populär. Sie ist zudem günstig, simpel in der Handhabung und einfach zu erklären.

Grundsätzlich werden dabei zwei unterschiedliche Faktoren des europäischen Regulierungsstandards kombiniert: der Faktor "Wissen" durch ein Passwort oder eine PIN sowie der Faktor "Gerät", da die SMS nur über ein zusätzliches mobiles Endgerät abrufbar ist.

Allerdings erfüllen SMS nur Mindestsicherheitsanforderungen und legitimieren sich dadurch, dass es bisher nicht zu großen Datenpannen kam. Um Vertrauensverlusten vorzubeugen und Angriffsszenarien präventiv auszuschließen, ist es für die Banken- und Technologiebranche jedoch entscheidend, nicht auf der Ebene der Mindestanforderungen zu bleiben.

Bereits 2017 war die sogenannte SS7-Schwachstelle bei der Autorisierung über SMS-Verfahren bekannt. Im selben Jahr wurde sie ausgenutzt und führte zu einem Datenleck im Zusammenhang mit Geldautomaten der US-Großbank Chase. Einige Verbraucher, die nicht mit ihrer Karte sondern über die Authentifizierung per Smartphone Geld abgehoben hatten, wurden geschädigt.

Auch die britische Metro Bank wurde kürzlich zum Opfer eines ähnlichen Angriffs. Auch hier wurde die 2FA per SMS über die Schwächen des vom SS7-Protokolls von Hackern umgangen. Solche Fälle zeigen, dass per SMS versendete Einmal-Passwörter nicht verlässlich sind und in vielen Fällen keinen vertrauenswürdigen Authentifizierungsmechanismus darstellen.

WBC ist keine sichere Speicheroption für sensible Daten

Sichere, starke Kundenauthentifizierung auf einem mobilen Endgerät erfordert Zugriff auf einen sicheren Hardware-Container. Das sind beispielsweise Chip-basierte SIM-Karten, in denen die Faktoren der Authentifizierung manipulationssicher gespeichert werden können. Zum Schutz sensibler Datenbestände auf dem Endgerät setzen viele Nutzer auf cloudbasierte Lösungen Dabei ergeben sich jedoch Probleme, sobald der Nutzer offline ist. Dann kann ein Hacker entsprechende Informationen vom Verbraucher-Smartphone aus der Ferne abrufen und ausnutzen, um auf dessen Bankkonto zuzugreifen.

Eine weit verbreitete Technologie um die Daten auf dem Telefon ohne Zugriff auf Hardware-Chips zu schützen ist die White-Box-Kryptographie (WBC). Dahinter verbirgt sich im Grunde ein Verschleierungsmechanismus. Daten werden sprichwörtlich wie die Nadel im Heuhaufen auf dem Endgerät versteckt. Leider sind Hacker wirklich gut darin, diese Nadeln zu finden.

Mit Angriffsverfahren wie Fault Injections oder Side-Channel-Attacks ist es möglich, entsprechend geschützte Systeme in relativ kurzer Zeit zu kompromittieren. Angreifer können beispielsweise den Energieverbrauch des Prozessors während der Verschlüsselung analysieren Passende Cracking-Werkzeuge mit praktischer Anleitung, lassen sich kostengünstig und ohne viel Aufwand im Internet herunterladen.

Gehen sensible Daten wie die eindeutige Android-ID (SSAID) oder IMEI-Nummer eines Smartphones verloren, haben Handynutzer ein Problem. Sie lassen sich nicht zurücksetzen. Um das zu vermeiden, ist es wichtig, dass kryptografische Schlüssel zu erneuern. Dies gestaltet sich bei WBC-basierten Systemen allerdings kompliziert und mühsam. Sie benötigen kontinuierliche Updates und Downloads um den "Heuhaufen" zu aktualisieren, bevor er von Angreifern kompromittiert werden kann.

Warum kommt eine Technologie wie White-Box-Kryptografie dann überhaupt zum Einsatz? Aus denselben Gründen wie die SMS für die 2FA. Es ist relativ einfach und klingt sicher, ist aber eigentlich nur eine erfüllte Mindestsicherheitsanforderung.

Alte Mindestsicherheitsanforderungen sind im IoT nicht genug

Echte Innovationen erfordern, dass wir uns von den Mindestanforderungen an Sicherheit lösen. Stattdessen sollten neue Technologien zum Einsatz kommen, die heute bereits vorhanden sind. Bei der 2FA sollten beispielsweise biometrische Merkmale als Faktoren genutzt werden.

Für die sichere Speicherung hochsensibler Daten wie etwa Anmeldeinformationen, könnten Plattformlösungen helfen. Eine Trusted Execution Environment funktioniert beispielsweise wie ein (virtueller) Chip und kann ein Sicherheitsniveau bieten, dass Hardware ähnelt, ohne selbst auf Hardware zu setzen. Der Schutz von Daten auf mobilen und IoT-Geräten wird zukünftig nicht durch alte Ideen in neuen Lösungen gelöst werden.