Gamechanger Kobil: Überweisungen ohne SMS, TAN oder Zusatzhardware bei ING-DiBa

Die ING-DiBa und Kobil machen vor wie es geht: Mobile Transaktionen ohne SMS, TAN oder Zusatzhardware – aber mit rechtlich sauberer 2-Kanal-Autorisierung auf einem Handy. Die Basis dazu liefert Kobil mit “m-Identity-Protection” plus die “Smart Security Management Server”-Appliance. Über das Verfahren lässt sich mobile Banking auf einem Handy über zwei gesicherte, voneinander getrennte Kommunikationskanäle durchführen. Damit hält die Bank die Sicherheitsanforderungen der Europäischen Bankenaufsicht ein, ohne dass der Kunde seine mobilen Transaktionen über ein zweites physisches Endgerät autorisieren muss.

Für das Kobil-Verfahren “m-Identity-Protection” ist neben der Mobile Banking App der ING-DiBa eine zweite App von Kobil installiert. Die sogenannte SmartSecure App stellt einen zusätzlichen gesicherten Kommunikationskanal als auch ein zweites virtuelles Device bereit. Der Vorteil: Durch Kobils Technologie können Nutzer der SmartSecure App künftig Transaktionen autorisieren, ohne TANs abzutippen, die ihnen per SMS zugesendet oder die sie per TAN-Generator erzeugen.

Damit bekommen ihre Kunden eine der sichersten und komfortabelsten mobilen Transaktionslösungen, die auf dem Markt angeboten werden”

Die Kobil-Lösung funktioniert unabhängig vom eingesetzten Endgerät und benötigt keine zusätzliche Hardware, um Transaktionen zu autorisieren. Sie besteht aus einem Frontend- und Backend-Teil. Das Frontend bildet die SmartSecure App. Sie sei vor dem Kopieren aus dedizierten Geräten, der Manipulation und der Erstellung von Fake-Apps geschützt. Außerdem beinhalte sie diverse integrierte Sicherheitsfunktionen wie:

 Schutz vor Debugging und Reverse Engineering,
 Security Sensoren (Jailbreak-, Malware-Detection),
 Schutz vor unautorisierter Nutzung (PIN)
 Kommunikationskanal Ende-zu-Ende verschlüsselt
 Unerreichbarkeit für Anwendungen von Dritten.

Die App wird zunächst zum Signieren von Transaktionen eingesetzt, später auch als virtuelles Authentifizierungsgerät. Den Backend-Teil des Kobil-Sicherheitssystems bildet der Smart Security Management Server (SSMS), der im ING-DiBa-Rechenzentrum implementiert und mit deren Kernbankensystem verbunden ist. Dieser Server kontrolliert zum Beispiel:

 ob die SmartSecure App wirklich auf dem ursprünglich registrierten Gerät läuft oder auf ein anderes kopiert wurde,
 ob die laufende App noch über ihren Originalcode verfügt oder modifiziert wurde,
 ob die Version dieser App korrekt ist oder aktualisiert werden muss,
 ob der Nutzer der App das richtige Passwort zum Erhalt der Transaktionsdetails eingibt.

Christian Valentin, Projektleiter für ING-DiBa bei Kobil erläutert die Funktionsweise des 2-in-1-Securtiy-Ansatzes, den sein Unternehmen entwickelt und die ING-DiBa als erste Bank in Deutschland einsetzt. „Der von uns bereitgestellte SSMS baut zur SmartSecure App einen eigenen, voll verschlüsselten Kommunikationskanal auf und führt die beschriebenen Prüfroutinen durch. Steht die sichere Verbindung, kann der Kunde absolut sicher die Transaktion bestätigen, die er in der eigentlichen ING-DiBa App getätigt hat.“aj