Sicherheit hat Mehrwert – am Computer und im Geschäft

Freitag 24.11.2017 Christian Walter
Christian Walter

Christian Walter ist Geschäftsführer und Redaktionsleiter von swiss made software. Bis Ende 2010 arbeitete er als Fachjournalist für das ICT-Magazin Netzwoche, publizierte zuletzt aber auch im Swiss IT Magazin, der Computerworld sowie inside-it.

Moderne Cyber-Security verlangt mehr als nur die Erhöhung der Schranken, um Angreifer abzuwehren. Der altbekannte Trade-off von Sicherheit und Bequemlichkeit hat als Argumentation ausgedient. Eine zeitgemässe Lösung muss neben Sicherheit und Bequemlichkeit auch neue Businesskonzepte unterstützen.

Neue Wege bei der Zweifaktorauthentifizierung: Automatischer Login oder Bestätigung von Transaktionen via ISPIN-App

Genau diesen Weg geht ISPIN: Aufbauend auf der eigenen Sicherheitsplattform Trustbridge bietet das Unternehmen mit Virto und Sedge zwei Produkte, die nicht nur Sicherheit und Komfort bieten, sondern auch Kosten sparen und eine engere Bindung zwischen Dienstleister und Endkunde ermöglichen.

Bei Virto handelt es sich um ein Smartphone-App-basiertes Verfahren für die Autorisierung sensitiver Vorgänge (Bestätigen/Signieren von Transaktionen oder Login-Vorgängen). Beispiel E-Banking: Gängige Schweizer Norm sind Zweifaktorauthentifizierungsverfahren (2FA) wie mTAN oder Hardware-Token. Mit diesen werden Zusatzinformationen für einen sicheren Login generiert. Modernere Lösungen ersetzen diese Faktoren durch eine App: Loggt sich der Kunde ein, wacht die App auf und bittet via Push-Nachricht um Bestätigung der Aktion. Erst das «Ja» bewirkt das automatische Einloggen.

So muss der Kunde nichts mehr abtippen. Parallel steigt die Sicherheit, da die App vor der Erstnutzung (Onboarding) registriert werden muss. Ein Musterkunde ist die ASGA Pensionskasse: Deren Versicherte können sich im neuen Versichertenportal mittels der im Vorsorgeausweis vorhandenen persönlichen Daten registrieren (individueller Faktor). Anschliessend fotografieren sie via App einen im Portal angezeigten QR-Code.

ISPIN-Kunden können ausserdem sogar eine Virto-Variante implementieren, bei der für die Registrierung nur eine App nötig ist. Dann erhält der Endkunde zum Beispiel via SMS ein Passwort (mTAN), das er in die App eingibt. Im Betrieb spart der Dienstleister so die Kosten für die Wartung einer aufwendigen Hardware-Token-Infrastruktur oder die permanenten SMS-Versandkosten im mTAN-Verfahren.

Betrugsversuche erkennen und verhindern

Virto bietet aber noch Anwendungsmöglichkeiten jenseits des Logins. Dank der App kann jede individuelle Aktion – ob Zahlungen im E-Banking oder per Kreditkarte – mit einer Push-Nachricht abgefragt werden. Das funktioniert genauso am Computer wie beim Einkauf im Laden, wo der Kaufbetrag durch Bestätigung einer Push-Nachricht freigegeben werden muss – so geschehen in der VisecaOne-App der Aduno-Gruppe mit mehr als 660 000 Kunden. Virto und Sedge sind hier vollständig integriert, sogar für 3D-Secure und Masterpass.

Eingebunden in die Trustbridge-Infrastruktur entstehen so zusätzliche Möglichkeiten für Fraud Detection/Fraud Prevention. Verweigert der Endkunde nämlich die Bestätigung, wird automatisch der Dienstleister alarmiert und kann eruieren, ob ein Betrugsversuch vorliegt. Werden gestohlene Kreditkartendaten beispielsweise für einen Flugticketkauf in Venezuela verwendet, erhält der Nutzer in Zürich genau in diesem Moment eine Bestätigungsabfrage und kann damit den Betrugsversuch verhindern.

Damit wird der Fokus aufs Handy als Lebenspartner gelegt. «Tokens werden häufig vergessen – auf dem Schreibtisch, im Auto, daheim. Da das Smartphone stark in den Alltag integriert ist, fällt es schnell auf, wenn es fehlt» so Daniel Kojic, Product Owner bei ISPIN. Damit setzt Virto auf eine Kombination der Sicherheitselemente «Was er (der Kunde) weiss» (Name, Passwort) und «Was er (der Kunde hat) hat» (Smartphone). Dies ist vor allem sinnvoll, wenn bisher nur «Wissenselemente» abgefragt wurden. Mögliche Alternativeinsatzszenarien sind Webshops oder Call-Center, denn so kann klar überprüft werden, ob der anrufende Kunde wirklich derjenige ist, der er zu sein behauptet.

Ein sicherer Kommunikationskanal

Aufbauend auf Virto bietet ISPIN das Produkt Sedge an. Damit verwandelt sich die App vom Bestätiger in einen sicheren Kommunikationskanal zwischen Dienstleister und Endkunde und schützt so vor Phishing. Noch immer gelingt es Kriminellen, vertrauliche Daten mit getürkten Mails einfach beim Endkunden abzufragen. Aufgrund der Professionalität der Mails ist es für viele schwierig, eine Nachricht ihres Dienstleisters von der eines kreativen Kriminellen zu unterscheiden. Via Sedge kann die Kommunikation auf den Out-of-Band-Kanal der App verlegt werden. Weiss der Kunde, dass alle Nachrichten seiner Bank nur via App kommen, können jegliche Mails nur Betrugsversuche sein. Gleichzeitig eröffnet die App einen sicheren, vom Dienstleister kontrollierten Kanal, um die Endkunden direkt in die Unternehmensprozesse einzubeziehen.

Die ISPIN-Apps gibt es als White-Label für Android und iPhone und lassen sich an die Corporate Identity des Kunden anpassen. Ausserdem gibt es ein SDK, das die Integration in bestehende Kunden-Apps erlaubt. Beide werden über die Trustbridge-Plattform in die Infrastruktur des Kunden on-site integriert. Neben Virto und Sedge erlaubt Trustbridge ausserdem OTP und TOTP. Der Kunde kann sich die für ihn besten Verfahren aussuchen.

Für 2018 sind bereits die nächsten Erweiterungen geplant. Virto und Sedge sollen um ein Offline-Verfahren erweitert werden, das auf den SMS-Kanal verzichtet. Hintergrund ist die bereits 2016 erfolgte Diskreditierung des mTAN-Verfahrens durch das National Institute of Standards and Technology (NIST). So wird es in Zukunft auch offline, zum Beispiel im Urlaub, möglich sein, sich sicher einzuloggen.

Weitere Artikel zum Thema Allgemein Sicherheit