Jürgen Weiß (Seal One): “Eine Strategie, die nur auf Apps setzt, halten wir für riskant!”
Jürgen Weiß (Geschäftsführer Seal One) ist ein langjähriger Experte für transaktionsbasierte Sicherheitsverfahren. Im Hintergrund-Interview mit Rudolf Linsenbarth erklärt er die Hintergründe, warum Hardware-Lösungen bei Transaktionsfreigaben unbedingt notwendig sind und den schwierigen Spagat zwischen Sicherheit und Nutzungsfreundlichkeit.
Herr Weiß, das von Ihnen gegründete Unternehmen Seal One bietet Banken Lösungen zur Absicherung des Online Bankings. Wie kamen Sie auf die Idee, dieses Marktsegment zu bearbeiten?
Zugang zu diesem Thema habe ich seit Ende der 90er Jahre. Damals war ich bei der GEFM, einer Tochter der Deutsche Bank angestellt. Mein Aufgabengebiet umfasste damals unter anderem Online Banking und eCommerce. Im Jahr 2001 habe ich dann mein erstes Unternehmen gegründet.… Seal One?
Nein, nicht sofort, zuerst kam die Novosec, ein Beratungs-, Software- und Entwicklungshaus. Dort ist das Thema Sicherheit ebenfalls ein Tätigkeitsschwerpunkt. Dazu gehörten unter anderem auch neue Konzepte für die Transaktionsfreigabe als Alternative zu den TAN-Listen. Der erste Ansatz war eine Realisierung auf Basis der Paybox PIN. Dabei gab es aber keine Einigung bezüglich der kommerziellen Ausgestaltung. Daraufhin haben wir dann das SMS-TAN-Verfahren für das Online Banking entwickelt und 2002 bei der Postbank dessen Einführung begleitet.
Wie ging es dann weiter?
Unser Anspruch war schon immer, das Problem der Sicherheit im Online Banking „richtig“ zu lösen. Die erste Idee war ein separates Gerät, und zwar ein „Handy“, reduziert auf die Transaktionsfreigabe. Schnell war klar, dass ein derartiges Gerät viel zu teuer und von daher am Markt ohne Chance ist.
Wir haben uns also gefragt, welche Funktionen sind für diese hohen Kosten verantwortlich. Das waren die Stromversorgung und die Netzanbindung.
Für uns war daher der nächste logische Schritt ein USB-Stick.”
Der PC stellt dabei die Stromversorgung und die Netzverbindung. Hierzu haben wir auch entsprechende Patente angemeldet, bei denen insbesondere auch eine Multipartnerfähigkeit zum Tragen kommt.
Was ist der Sinn einer solchen Multipartnerfähigkeit?
Der Kunde möchte nicht für jede Bank ein separates Gerät, sondern ein Gerät, das er möglichst überall einsetzen kann. Eine zentrale Problematik des Signaturgesetzes ist die Haftungsfrage (Dreiecksbeziehung Ausgeber, Unterzeichner, Empfänger). Im Gegensatz dazu wird bei Seal One die eigentliche Zweierbeziehung Kunde Bank direkt abgebildet. Bei unserem USB-Stick-Ansatz verwenden daher die einzelnen Partner (Banken, Payment, Identprovider) jeweils eigene Schlüssel, die in der sicheren SmartCard erzeugt werden, und es gibt jeweils eine eindeutige 1 : 1 Zuordnung, so dass der Endkunde für jeden Partner immer unterschiedliche Schlüssel besitzt.
In 2001 gründete Jürgen Weiß die Novosec, die als IT-Security Spezialist Beratungs- und Softwareentwicklungsprojekte für Banken und Großkonzerne rund um die Absicherung des elektronischen Geschäftsverkehrs umsetzt. Neben seiner Tätigkeit als Vorstand war er zudem als Berater für diverse sicherheitsrelevante Bankprojekte sowohl im kartenbasierten Zahlungsverkehr, als auch in den Bereichen online und mobile Banking tätig.
Zusätzlich zu seiner Tätigkeit in der Novosec gründete er 2009 die Seal One als innovatives FinTech-Unternehmen, welches auf die Entwicklung und Vermarktung von hard- und softwarebasierten Sicherheitslösungen auf Basis digitaler Signaturen spezialisiert ist.
Der USB-Stick enthält eine eigene Verarbeitungslogik. Diese holt die verschlüsselten Nachrichten von der Bank ab und nutzt eine secure Enklave im USB-Stick zum Entschlüsseln. Erst danach werden die Daten auf dem Display des Sticks sicher zur Anzeige gebracht und nach Prüfung durch den Kunden durch einfachen Knopfdruck digital signiert.
Wann war das ungefähr?
Die grundsätzliche Idee des Verfahrens reicht schon bis 2002 zurück, die Idee mit dem USB-Stick haben wir im Jahr 2007 konkretisiert.
…also dem Jahr, in dem das iPhone erschienen ist und die Online-Banking-Welt komplett verändert hat.
Richtig, mit der Zeit wurde das Thema mobile Endgeräte immer relevanter. Wir hatten schließlich sogar überlegt, den USB-Stick am iPhone über den Lightning-Anschluss zu koppeln. So etwas ist aber von Apple untersagt, da solche Geräte nach Apple-Sicht zu viel Strom konsumieren.
Überhaupt ist Apple als Entwicklungspartner rigoros. „Du hast Fragen? Hier sind die Regeln!“
Dazu kommt noch, dass ein Kabel auf Grund der Lightning-Lizenz wahrscheinlich teurer geworden wäre als das eigentliche USB Device.
Wir sind mittlerweile zu der Überzeugung gelangt, dass die Ideale Schnittstelle für mobile Devices Bluetooth-LE ist. Deshalb haben wir unser Portfolio in diese Richtung erweitert. Für das Sicherheitsverfahren inklusive der Produktion der Hardware haben wir aber dann im Jahr 2009 mit Seal One ein separates Unternehmen gegründet. Seal One betreibt auch die Systemkomponenten für die Multibanking-Fähigkeit der Seal One Devices.
Wie funktioniert das?
Die Bank verbindet sich nicht direkt mit unseren Endgeräten, sondern die Nachrichten werden über Seal One Server weitergeleitet. Es handelt sich hierbei um eine Art „Postverteilzentrum“- in das verschlüsselte Pakete abgelegt und von den Endgeräten abgeholt werden. Seal One hat hierbei keinerlei Zugriff auf die Inhalte dieser verschlüsselten Nachrichten, da die Schlüssel zur Entschlüsselung und Signatur nur in den Geräten selbst sind. Dieser Punkt ist uns sehr wichtig, da wir selbst niemals Zugriff auf Daten von Endkunden unserer Partner haben wollen. Durch dieses Vorgehen ist dies technisch völlig ausgeschlossen. Wir sind mit diesem Service seit 2011 live und haben seitdem keinerlei Downtime!
Keine Downtime? Da gab es doch neulich den BestSign-Ausfall bei der Postbank!
Dem muss ich widersprechen, es gab keinen Ausfall des Seal One Service und auch nicht des BestSign-Verfahrens bei der Postbank! Korrekt ist, dass ein Update der iOS BestSign App der Postbank live gegangen ist, bei dem existierende BestSign-Verfahren nicht korrekt übernommen wurden. Dies wurde durch ein Folgeupdate unmittelbar am selben Tag korrigiert. Betroffen waren ausschließlich iOS BestSign App Kunden der Postbank, die das Update sofort am Erscheinungstag eingespielt hatten.
Muss jede Bank- die Seal-One-Geräte einsetzt- über die Rechenzentren der Seal One laufen?
Nein, wir können unsere Lösung auch zur exklusiven Nutzung im eigenen Rechenzentrum anbieten. Dann verlieren die Banken aber die Möglichkeit der Nutzung bereits im Markt verfügbarer Geräte der Endkunden und somit auch die Multi-Banking-Fähigkeit.
Wie kam es dann zur Software-Lösung?
Die Banken haben uns immer wieder gefragt, wie wir die Lösung auch ohne dedizierte Hardware, die extra Geld kostet, machen können.”
Unsere Antwort dazu war, das ist machbar, aber bedeutet auch Abstriche in der Sicherheit, die entsprechend mitigiert werden müssen.
Was bedeutet Mitigation in diesem Zusammenhang?
Das sind Maßnahmen, die man ergreift, um die zusätzlichen Risiken zu minimieren. Zum Beispiel durch Härtungsmaßnahmen auf dem mobilen Endgerät und Betrieb eines Fraud Managements im Backend. Da sind wir impliziert schon im Bereich des Risk-based-Ansatzes, der im Übrigen auch in der PSD2 verankert wurde.
Vor allem muss man dem Partner bewusst machen, dass man hier mit einem anderen Sicherheitsrisiko unterwegs ist. Wir bewegen uns hier genau zwischen den beiden Anforderungen von maximaler Convenience vs. höchstmöglicher Sicherheit.
Dann muss man auch die Sicherheit der Software-Lösung von Seal One hinterfragen?
Auf unserer Webseite weisen wir eindeutig darauf hin, dass die Lösungen immer im Kontext des Risikovektors anzuwenden sind. Wir empfehlen generell Hoch-Risiko-Transaktionen nur auf dedizierter Hardware durchzuführen.”
Ihr Kunde die Postbank unterscheidet hier aber nicht. Beide Verfahren sind dort gleichberechtigt im Einsatz.
Das ist eine Frage- die Sie an die Postbank richten müssen. Die Postbank kann in ihrem Backend die unterschiedlichen BestSign-Methoden unterscheiden. Die Risiko-Bewertung, also wann welches Verfahren zum Einsatz kommt, obliegt nicht unserer Einschätzung, sondern obliegt vollständig der Risikosteuerung unserer Partner. Wir bieten unseren Partnern die entsprechenden Verfahren an. Wie und wann sie diese einsetzen, entscheiden die Partner selbstverständlich selbst.
Lassen Sie uns noch mal auf die Multibanking-Fähigkeit von Seal One zurückkommen. Das gibt es doch auch so ähnlich bei Fido. Welche Chancen räumen Sie diesem Industrie-Standard für die Freigabe von Banktransaktionen ein?
Als Erstes sehe ich, was FIDO-U2F-Geräte derzeit nicht haben. Es fehlt eine sichere Anzeige und damit sind sie nicht für SCA-Transaktionen im Sinne der PSD2 geeignet. Bei Nutzung von Smartphones für die zum Beispiel FIDO UAF gilt grundsätzlich, dass die Komplexität eines Smartphone Betriebssystems mit all dessen Features die Sicherheit gefährdet, insbesondere da sich das Betriebssystem und die Banking-Anwendung das Display teilen müssen.
Aber vergleichen Sie jetzt nicht Äpfel mit Birnen? Alle Kritikpunkte, die Sie gerade zum Thema FIDO genannt haben, treffen doch auch auf die software-basierte Variante von Seal One ebenfalls zu. Außerdem gibt es bereits Smartphones, die ein TEE (Trusted Execution Environment) bieten und mit dem Fingerprint-Sensor ist auch die geforderte separate Freigabeeinheit vorhanden.
Bisher sehe ich bei allen Smartphones nur teilweise Umsetzungen oder schlechte, bereits gebrochene TEE-Implementierungen, daher auch die Notwendigkeit der Mitigationsmaßnahmen. Für SCA im Kontext gilt grundsätzlich die Anforderung: „what you see is what you sign“. Es hängt also von der Umsetzung ab. Wenn die bislang im Standard fehlende sichere Anzeige bei FIDO ergänzt werden würde, würde die Lösung unserer deutlich näher kommen, bislang fehlt dort für echtes SCA die Kombination der Bestandteile.
Zudem basiert Fido auf ECC (Elyptic Curve Cryptographie). Eine Frage, die man sich hier stellen kann- ist: Warum wurde genau die problematische ECC-Kurve ausgewählt? Angeblich war auch die NSA dabei nicht unbeteiligt. Das ist natürlich kein Beweis dafür, dass das Verfahren nicht sicher ist, aber für mich hat das wie wir auf schwäbisch sagen ein Geschmäckle.”
Wir bei Seal One nutzen RSA mit 2048 Bit und sind auch sonst in allen Spezifikationen komplett transparent.
Herr Weiß- Sie gelten in Fachkreisen als großer Kritiker bei der Verwendung von TAN-Verfahren zur Absicherung der starken Kundenauthentifizierung im Online Banking. Wo liegen dort Ihrer Meinung nach die Schwachstellen dieser Systeme?
Wichtigste Schwachstelle ist neben der unbequemen Bedienung das Finden und manuelle Übertragen der TAN. Der Kunde vergisst häufig beim Suchen und Übertragen, den zu verifizierenden Text zu lesen. Einige Banken machen die TAN sogar größer als den Text, der die Grundlage für die Freigabe-Entscheidung des Kunden ist. Bei einer solchen Vorgehensweise halte ich es für vergleichsweise sicher, dass die Bank vor Gericht einen Schadensersatzprozess gegen ihre Kunden verlieren könnte. Die TAN konnte gelesen werden, der andere Text war kleiner und wurde daher als „nicht so wichtig“ erachtet oder konnte auf Grund der Größe erst gar nicht gelesen werden.
Bei den Seal-One-Produkten hingegen prüfen die Kunden den Transaktionstext, da sie nicht mit zusätzlichen Aufgaben wie Suchen und Abtippen beschäftigt werden, und geben die Transaktion per Knopfdruck oder Biometrie frei. Wie bereits erwähnt gilt:
„What you see ist what you sign!“
Bei den App-basierten TAN,Verfahren kann man ihre Argumentation teilweise nachvollziehen, aber chipTAN gehört doch wohl unstreitig zu den sichersten Freigabemethoden am Markt. Außerdem sind die neuen Kartenleser auf QR- oder Farbmatrix-Code-Basis mit ihren großen Displays doch jetzt wesentlich komfortabler im Handling und auch am Smartphone verwendbar.
Besser als der Flackercode, aber immer noch nicht so bequem wie man es machen könnte, wenn man bidirektionale Verbindungen hat. Warum manuelle Schritte mit Fehleingabemöglichkeiten, wenn man diese auch durch Knopfdruck, Fingerprint oder Face-ID ersetzen kann?
Mein zweiter Kritikpunkt am TAN-Verfahren ist die Verknüpfung zwischen den Transaktionen und einer kurzen z. B. sechsstelligen TAN. Hier gibt es prinzipbedingt keine sichere Zuordnung!”
Wir haben vorhin über risk-basierte Betrugserkennung im Backend gesprochen, das wäre in diesem Fall dann doch der richtige Ansatz, um für die von Ihnen genannten Betrugsversuche zu unterbinden.
Allein die Tatsache, dass man durch einfaches „TAN-Raten“ bereits erfolgreiche Angriffe durchführen kann, sollte doch schon Grund genug sein, es gar nicht erst dazu kommen zu lassen.”
Man muss sich doch nur mal anschauen, wie viele geleakte Kontenzugänge es im Darknet gibt, da wird man blass!
Ich bleibe dabei, Seal One Hardware bietet derzeit den optimalen Schutz für die Bankgeschäfte im Internet bei gleichzeitig maximaler Convenience. Als nächste Stufe kommt noch der Fingerprint-Sensor ins Gerät.
Die Tendenz ist doch derzeit, dass dedizierte separate Hardware nicht gewollt ist!
Das gilt aus unserer Sicht nur so lange bis etwas passiert. Eine Strategie, die nur auf Apps setzt, halten wir für riskant!”
Wie sehen Sie die Zukunft von Seal One und des Online Banking?
Unser Ziel ist es, so viele Partner (Banken, Payment Provider, Ident Provider, …) wie möglich davon zu überzeugen, unser Verfahren zu nutzen. Idealerweise in einem risk based Ansatz mit dedizierter Hardware und Apps, also nicht entweder oder, sondern UND. Das bietet den Kunden maximale Sicherheit bei gleichzeitig höchstmöglicher Convenience. Je mehr Hardware-Geräte bei Endkunden verfügbar sind, desto mehr use cases wird es dafür geben.
Wir sehen zum Beispiel in Zukunft auch die Möglichkeit, für unsere Partner über Fremdtransaktionen Erlöse erwirtschaften können. Also die Entwicklung hin zu einem Plattform-Ökosystem.
Das sind große Ambitionen für ein Unternehmen ihrer Größe. Bis wann wollen Sie diese Ziele erreichen? Wie entgegnen Sie den Kunden, die befürchten, hier einen Monopolisten groß zu machen?
Um unsere Ziele zu erreichen, arbeiten wir nicht nur am nationalen Markt, sondern unsere Vision ist eine globale Lösung. Security ist ein Langlauf-Thema, deshalb ist Seal One auch keine Venture Capital finanzierte Company mit kurzfristigem shareholderbasierten Erfolgsdruck. Bezugnehmend auf unsere Größe sage ich, wir sind groß genug, um Kunden beliebiger Größe zu bedienen und flexibel genug, um in allen Richtungen organisch zu wachsen.
Es ehrt uns, dass man unserer Idee die Erschaffung eines Monopols zutraut, gleichzeitig haben wir aber weder Monopolphantasien noch verschließen wir uns davor, dies von vornherein auszuschließen.”
Herr Weiß, vielen Dank für das Gespräch!Rudolf Linsenbarth
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/93937
Schreiben Sie einen Kommentar