Spezialbank Investec: Authentifizierungstechnologie für eine fortgeschrittene mobile App
Als Spezialbank und Asset Manager mit einer ausgewählten Klientel legt Investec großen Wert auf individuelle Kundenbeziehungen. Investec Kunden sind anspruchsvoll, bringen sich aktiv ein und nutzen mobile Lösungen. Sie erwarten von ihrer Bank eine einfache und einheitliche Authentifizierungs-Lösung für die sichere Abwicklung aller Bankgeschäfte – in jedem Land, für jeden Self-Service-Kanal und alle Abteilungen ihrer Bank. Anbieter Entersekt erzählt, wie es dazu kam und was das Unternehmen anbieten konnte.
von Gerhard Oosthuizen, CIO, Entersekt
Investec machte sich bereits 2013 auf die Suche nach einer Lösung, die einerseits die Sicherheit des Online-Bankings erhöhen und gleichzeitig diese Kundenerwartungen übertreffen sollte. Die Lösung sollte weltweit alle Beteiligten schützen: Kunden der verschiedenen Abteilungen, Privatbankiers und Intermediäre sowie Mitarbeiter. Darüber hinaus sollte sie alle Self-Service-Kanäle über eine einzige Plattform abdecken.Es gab allerdings eine Herausforderung: Die Entwicklung der mobilen App von Investec war bereits weit fortgeschritten. Das Entwicklungsteam hatte für die Mobile Security Lösung die gleichen Fingerabdruck- und Virenschutz-Technologien genutzt wie für das Online-Banking.
Technologien zum Schutz von PCs sind jedoch auf mobilen Geräten längst nicht so effektiv. Fingerabdruck- und Virenschutzlösungen benötigen eine Vielzahl an Informationen, die auf dem Mobilgerät nur rudimentär vorhanden sind. Alle mobilen Betriebssysteme isolieren aus Sicherheitsgründen die Applikationen voneinander. Damit können Apps jedoch nur sehr wenige Informationen aus ihrer Systemumgebung nutzen, die für alle Apps auf dem Mobilgerät offen zugänglich sind. Das wiederum birgt die Gefahr, dass diese Informationen in einen Simulator kopiert und so z.B. auch der Fingerabdruck dupliziert werden könnte. Außerdem wird bei jeder Veränderung auf dem Mobilgerät auch der Fingerabdruck geändert. Für den Nutzer bedeutet das meist, dass er sich bei seiner mobilen App nach einer Veränderung neu registrieren muss.
Die Lösung: Eine unverwechselbare Geräte-ID mithilfe von digitalen Zertifikaten.
Mit dem Online-Banking beginnt der schrittweise Rollout des neuen Systems
Investec nutzte die Entersekt Technologie Anfang 2014 zunächst, um ihren südafrikanischen Kunden einen nutzerfreundlichen Schutz für das Online Banking zur Verfügung zu stellen. Diese mobile, Zwei-Faktoren-Authentifizierungs-Lösung basierte auf „Transakt“. Die Authentifizierung nutzt Push-USSD für einen sitzungsbasierten Datenaustausch in Echtzeit zwischen der Bank und einem beliebigen GSM-Endgerät.
Da die Kommunikation nicht mehr über den Browser stattfindet, sondern über einen komplett separaten Kommunikationskanal, sind jetzt auch Phishing-Angriffe oder andere Betrugsversuche wie Man-in-the-Middle-Angriffe oder Tastatur-Logging-Attacken nicht mehr möglich.
Zweiter Schritt: Ablösung von Hardware-Token für den Zugriff auf interne Netzwerke
Als nächster Schritt wurde der Zugriff der Mitarbeiter auf interne Netzwerke mit der Lösung abgesichert. Für den Zugriff auf sensible Netzwerkbereiche müssen sie sich einloggen und legitimieren. Der Pilotversuch sprach sich im Haus schnell herum und immer mehr Mitarbeiter wollten in der Testphase mit dabei sein. Zuvor nutzen sie Hardware-Token zur Generierung von Eimalpasswörtern, um sich einzuloggen. Zu oft wurden diese kleinen Geräte allerdings einfach zu Hause vergessen.
Das passierte mit dem Mobiltelefon, über das sich die Mitarbeiter mit der neuen App einloggen konnten, nun nicht mehr, denn dieses Gerät hat man stets zur Hand. Heute autorisieren sich alle Investec-Mitarbeiter über Transakt mit einer einfachen Bestätigung auf ihrem Mobiltelefon und Hardware-Token gehören der Vergangenheit an. Die Umsetzung und die Einbindung in das interne Log-in-System konnte deshalb so schnell und reibungslos umgesetzt werden, weil das Unternehmen darauf achtet, bestehende Industrie-Standards zu nutzen und seine Produkte so zu konzipieren, dass sie problemlos in bestehende Systeme integriert werden können. So konnte auch im Falle Investec die Transakt-Sicherheits-App zügig mit einer standardisierten RADIUS Integration an das bestehende interne Log-in System angebunden werden.
Schritt drei: Ausbau der Transakt-Plattform zu einem einheitlichen digitalen Sicherheitskanal für alle Nutzer
Ein Jahr später, in 2015, integrierte Investec dann Transakt mithilfe eines Software Development Kits in seine Mobile-Banking-App. Für die südafrikanischen Kunden wurde einfach die vorhandene USSD-basierte Push-Lösung ersetzt. Die Kunden in Großbritannien erhielten jedoch zu ersten Mal Zugang zu der neuen Authentifikationslösung. Heute nutzen alle Investec-Kunden weltweit diese Lösung und müssen sich nicht länger mit den Einschränkungen von SMS-Einmalpasswörtern abfinden. Ein weiterer Vorteil für Investec-Kunden: Sie müssen ihr Mobilgerät nicht bei jedem System-Update neu registrieren oder legitimieren. Die Bank kann jederzeit neue Produkte und Angebote einbauen, ohne dass Kunden in irgendeiner Weise aktiv werden müssen. Dank der zuverlässigen und geschützten Verbindung zu seinen Kunden kann Investec jederzeit mit neuen Produkte seine digitalen Angebote ausbauen.
Mit der Entersekt-Technologie hatten wir die Möglichkeit, die Nutzerfreundlichkeit signifikant zu verbessern und gleichzeitig die Sicherheit im Mobile-Banking zu erhöhen. Mit dem Transakt-SDK können wir unseren Mobile-Banking-Kunden die gleiche Funktionalität bieten, die sie gewohnt sind, und diese auch unseren Kunden in Großbritannien anbieten, die gleichzeitig von einer verbesserten Sicherheit profitieren. Entersekt hat eine sehr überzeugende Sicherheits-Roadmap, deshalb sind wir zuversichtlich, dass wir durch die Zusammenarbeit Betrügern immer einen Schritt voraus sein werden.“
Lyndon Subroyen, Global Head of Digital, Investec
Zertifikatsbasierte Technologie
Die Lösung basiert auf einer mobilen Zertifikatstechnologie. So setzt das Unternehmen auf jedem mobilen Endgerät zur individuellen Identifizierung das digitale Zertifikat X509 ein. Damit wird das Gerät zu einem sicheren „zweiten“ Faktor (Faktor „Besitz“). Die Kommunikation zwischen der Bank und dem mobilen Endgerät zur Authentifizierung einer Transaktion erfolgt mittels einer unabhängigen, vollständig verschlüsselten (FIPS 140-2 Level 3) Verbindung. Keine Drittpartei kann auf diese Kommunikation zugreifen. Der vom kryptografischen Stack aufgebaute Kommunikationskanal ist vollkommen getrennt vom konventionellen TLS-Kanal, der vom Betriebssystem des mobilen Gerätes initiiert wird. Dadurch können sogar Transaktionen, die vom selben Mobilgerät ausgehen, Out-of-Band authentifiziert werden.
Statt auf limitierten Möglichkeiten von Fingerabdruck- und Antivirus-Technologie zur Absicherung zurückzugreifen, generiert die Technologie einen öffentlichen und einen privaten Schlüssel auf jedem registrierten Endgerät. Damit wird das Gerät eindeutig identifiziert und so zu einem vertrauenswürdigen zweiten Faktor für die Authentifizierung. Authentifizierungsaufforderungen, die auf dem Mobiltelefon eingehen, werden auf dem Gerät verifiziert, so dass Investec-Kunden den Absender sicher erkennen.
Die Antwort der Kunden mit einem Tipp auf „Annehmen“ oder „Ablehnen“ wird mit dem privaten Schlüssel des Endgeräts signiert und ist damit ein verlässlicher Nachweis. Die gesamte Kommunikation zwischen dem Endgerät und der Bank ist Ende-zu-Ende verschlüsselt. Damit sie während der Übertragung weder abgefangen, noch manipuliert werden kann.aj
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/51954
Schreiben Sie einen Kommentar