Sicherheit hat Mehrwert – am Computer und im Geschäft
Christian Walter ist Geschäftsführer und Redaktionsleiter von swiss made software. Bis Ende 2010 arbeitete er als Fachjournalist für das ICT-Magazin Netzwoche, publizierte zuletzt aber auch im Swiss IT Magazin, der Computerworld sowie inside-it.
Moderne Cyber-Security verlangt mehr als nur die Erhöhung der Schranken, um Angreifer abzuwehren. Der altbekannte Trade-off von Sicherheit und Bequemlichkeit hat als Argumentation ausgedient. Eine zeitgemässe Lösung muss neben Sicherheit und Bequemlichkeit auch neue Businesskonzepte unterstützen.
Neue Wege bei der Zweifaktorauthentifizierung: Automatischer Login oder Bestätigung von Transaktionen via ISPIN-App
Genau diesen Weg geht ISPIN: Aufbauend auf der eigenen Sicherheitsplattform Trustbridge bietet das Unternehmen mit Virto und Sedge zwei Produkte, die nicht nur Sicherheit und Komfort bieten, sondern auch Kosten sparen und eine engere Bindung zwischen Dienstleister und Endkunde ermöglichen.
Bei Virto handelt es sich um ein Smartphone-App-basiertes Verfahren für die Autorisierung sensitiver Vorgänge (Bestätigen/Signieren von Transaktionen oder Login-Vorgängen). Beispiel E-Banking: Gängige Schweizer Norm sind Zweifaktorauthentifizierungsverfahren (2FA) wie mTAN oder Hardware-Token. Mit diesen werden Zusatzinformationen für einen sicheren Login generiert. Modernere Lösungen ersetzen diese Faktoren durch eine App: Loggt sich der Kunde ein, wacht die App auf und bittet via Push-Nachricht um Bestätigung der Aktion. Erst das «Ja» bewirkt das automatische Einloggen.
So muss der Kunde nichts mehr abtippen. Parallel steigt die Sicherheit, da die App vor der Erstnutzung (Onboarding) registriert werden muss. Ein Musterkunde ist die ASGA Pensionskasse: Deren Versicherte können sich im neuen Versichertenportal mittels der im Vorsorgeausweis vorhandenen persönlichen Daten registrieren (individueller Faktor). Anschliessend fotografieren sie via App einen im Portal angezeigten QR-Code.
ISPIN-Kunden können ausserdem sogar eine Virto-Variante implementieren, bei der für die Registrierung nur eine App nötig ist. Dann erhält der Endkunde zum Beispiel via SMS ein Passwort (mTAN), das er in die App eingibt. Im Betrieb spart der Dienstleister so die Kosten für die Wartung einer aufwendigen Hardware-Token-Infrastruktur oder die permanenten SMS-Versandkosten im mTAN-Verfahren.
Betrugsversuche erkennen und verhindern
Virto bietet aber noch Anwendungsmöglichkeiten jenseits des Logins. Dank der App kann jede individuelle Aktion – ob Zahlungen im E-Banking oder per Kreditkarte – mit einer Push-Nachricht abgefragt werden. Das funktioniert genauso am Computer wie beim Einkauf im Laden, wo der Kaufbetrag durch Bestätigung einer Push-Nachricht freigegeben werden muss – so geschehen in der VisecaOne-App der Aduno-Gruppe mit mehr als 660 000 Kunden. Virto und Sedge sind hier vollständig integriert, sogar für 3D-Secure und Masterpass.
Eingebunden in die Trustbridge-Infrastruktur entstehen so zusätzliche Möglichkeiten für Fraud Detection/Fraud Prevention. Verweigert der Endkunde nämlich die Bestätigung, wird automatisch der Dienstleister alarmiert und kann eruieren, ob ein Betrugsversuch vorliegt. Werden gestohlene Kreditkartendaten beispielsweise für einen Flugticketkauf in Venezuela verwendet, erhält der Nutzer in Zürich genau in diesem Moment eine Bestätigungsabfrage und kann damit den Betrugsversuch verhindern.
Damit wird der Fokus aufs Handy als Lebenspartner gelegt. «Tokens werden häufig vergessen – auf dem Schreibtisch, im Auto, daheim. Da das Smartphone stark in den Alltag integriert ist, fällt es schnell auf, wenn es fehlt» so Daniel Kojic, Product Owner bei ISPIN. Damit setzt Virto auf eine Kombination der Sicherheitselemente «Was er (der Kunde) weiss» (Name, Passwort) und «Was er (der Kunde hat) hat» (Smartphone). Dies ist vor allem sinnvoll, wenn bisher nur «Wissenselemente» abgefragt wurden. Mögliche Alternativeinsatzszenarien sind Webshops oder Call-Center, denn so kann klar überprüft werden, ob der anrufende Kunde wirklich derjenige ist, der er zu sein behauptet.
Ein sicherer Kommunikationskanal
Aufbauend auf Virto bietet ISPIN das Produkt Sedge an. Damit verwandelt sich die App vom Bestätiger in einen sicheren Kommunikationskanal zwischen Dienstleister und Endkunde und schützt so vor Phishing. Noch immer gelingt es Kriminellen, vertrauliche Daten mit getürkten Mails einfach beim Endkunden abzufragen. Aufgrund der Professionalität der Mails ist es für viele schwierig, eine Nachricht ihres Dienstleisters von der eines kreativen Kriminellen zu unterscheiden. Via Sedge kann die Kommunikation auf den Out-of-Band-Kanal der App verlegt werden. Weiss der Kunde, dass alle Nachrichten seiner Bank nur via App kommen, können jegliche Mails nur Betrugsversuche sein. Gleichzeitig eröffnet die App einen sicheren, vom Dienstleister kontrollierten Kanal, um die Endkunden direkt in die Unternehmensprozesse einzubeziehen.
Die ISPIN-Apps gibt es als White-Label für Android und iPhone und lassen sich an die Corporate Identity des Kunden anpassen. Ausserdem gibt es ein SDK, das die Integration in bestehende Kunden-Apps erlaubt. Beide werden über die Trustbridge-Plattform in die Infrastruktur des Kunden on-site integriert. Neben Virto und Sedge erlaubt Trustbridge ausserdem OTP und TOTP. Der Kunde kann sich die für ihn besten Verfahren aussuchen.
Für 2018 sind bereits die nächsten Erweiterungen geplant. Virto und Sedge sollen um ein Offline-Verfahren erweitert werden, das auf den SMS-Kanal verzichtet. Hintergrund ist die bereits 2016 erfolgte Diskreditierung des mTAN-Verfahrens durch das National Institute of Standards and Technology (NIST). So wird es in Zukunft auch offline, zum Beispiel im Urlaub, möglich sein, sich sicher einzuloggen.
Weitere Artikel zum Thema Allgemein Sicherheit
- Dienstag 22.11.2022
Die eigene Recovery-Box
Trotz Cloud-Vorteilen ist vielen unwohl, wenn sie die Kontrolle über die Kerndaten verlieren. Sedion bietet dafür eine kombinierte Box- und Cloud-Variante. - Donnerstag 09.12.2021
Das Passwortarchiv bleibt in der Schweiz
Alpein Software Swiss bietet einen lokal gehosteten Passwortmanager für Privatpersonen und Unternehmen. - Donnerstag 26.09.2019
Keine Zero Days mehr
Das ETH-Spinoff Xorlab will Cyberattacken stoppen, bevor sie ins Rollen kommen. Dafür wurde ein neues Verteidigungskonzept entwickelt. - Montag 26.08.2019
Einfach zertifizieren
Regularien werden immer anspruchsvoller. Um den Überblick zu behalten und gleichzeitig die Komplexität zu beherrschen, bietet das Start-up CISS deshalb eine digitale Lösung. - Dienstag 02.04.2019
Das Ökosystem hinter der SwissID
Neben SwissSign sind zahlreiche Partner Teil des SwissIDÖkosystems. Zusammen wollen sie das Herzstück für weite Teile der kommenden Digitalisierung bilden, und zwar, ohne die Privatsphäre der Nutzenden zu tangieren. - Freitag 01.12.2017
Interview Gilbert Semmer: «Hersteller können nicht die alleinige Verantwortung tragen»
Gerade im vernetzten Gesundheitswesen ist Cyber-Sicherheit ein Gemeinschaftsprojekt. Trotz Fortschritten ist ein gesellschaftlicher Diskurs zu diesem Thema nach wie vor nötig, wie Sicherheitsexperte Gilbert Semmer im Interview darlegt. - Freitag 24.11.2017
Dreidimensionales Schach
Sicherheit muss auf mehr als nur der ICT-Ebene gedacht werden. Sicherheitsanbieter agieren deswegen auf einem überaus komplexen Terrain, das nicht nur von kriminellen, sondern auch von nationalen Interessen geprägt ist. - Freitag 24.11.2017
Innovation und Sicherheit im vernetzten Gesundheitswesen
Das labormedizinische Unternehmen Viollier setzt voll auf digitale Innovation, um sich am Markt zu differenzieren. Um die Sicherheit der medizinischen Daten zu garantieren, kooperiert das Unternehmen mit dem Berner Sicherheitsspezialisten United Security Providers. - Freitag 24.11.2017
Sicherheit für den internationalen Zahlungsverkehr
2016 versuchten Angreifer, mehr als 950 Millionen Dollar von den Konten der Nationalbank von Bangladesch zu stehlen. Zwar stoppten die automatischen Systeme die Überweisungen bei 81 Millionen, dennoch zeigte der Diebstahl eindrücklich die Verwundbarkeit des SWIFT-Systems. - Freitag 24.11.2017
Sicherheit klingt gut
Viele Nutzer verzichten zu Gunsten von Bequemlichkeit auf angebotene Security-Lösungen. Futurae versucht einen neuen Ansatz: Sicherheit durch den Vergleich von Umgebungsgeräuschen. - Freitag 24.11.2017
Das verschlüsselte Unternehmen
Während Private und Staaten mit der dauernden Ausspähung des Internets beschäftigt sind, steigen parallel die rechtlichen Anforderungen an den Datenschutz.