Schon seit einigen Jahren bedient sich die Migros Bank moderner Techniken in Sachen Sicherheit und Usability ihrer umfassende E-Banking-Dienstleistungen. 2008, als andere Institute noch mit TAN-Listen arbeiteten, führte sie zur sicheren Identifizierung und Authentifizierung ihrer Online-Kunden ein Hardware-basierendes Identity-Verfahren von Kobil ein.
Die Grundlage für dieses System ist ein spezieller USB-Stick, ausgerüstet mit Chipkarte und vorkonfiguriertem Browser, der die gesamte Software für sicheres E-Banking enthält. Durch die Vorkonfiguration des Browsers kann der Kunde ausschließlich die Website der Migros Bank ansteuern. Die Chipkarte übernimmt die Verschlüsselung der Kommunikation und die Authentisierung des Nutzers.
Die Migros Bank
Der Finanzdienstleister gehört zum Schweizer Migros-Genossenschafts-Bund und betreut rund 800.000 Kunden. Die Bilanzsumme belief sich zum Geschäftsjahresabschluss im Juni 2014 auf rund 40,8 Milliarden Schweizer Franken. Damit zählt die Migros Bank zu den Top Ten der helvetischen Banken.
Vorbereiten auf die mobile Welt
Heute wollen immer mehr Kunden ihre elektronischen Bankgeschäfte auch mobil tätigen, Folglich musste die Migros Bank ihre E-Banking-Lösung an die Anforderungen der mobilen Welt anpassen.
Stephan Wick ist Mitglied der Migros-Bank-Geschäftsführung und agiert als Auftraggeber des Projekts bei der Migros Bank. Er erläutert die zusätzlichen Anforderungen folgendermaßen: "Inzwischen nutzen mehr als 74 Prozent der Schweizer das Internet über Smartphones und Tablets. Selbstverständlich erwarten diese Nutzer auch, dass sie ihre Bankgeschäfte mobil abwickeln können."
Foto: Migros Bank
Für die meisten dieser mobilen Endgeräte ließen sich aber USB-Sticks, wie sie für die vorhandene Lösung zum Einsatz kam, nicht nutzen. "Deshalb benötigen wir eine Lösung", so Wick, "die rein Software-basierend funktioniert, unabhängig ist vom eingesetzten Endgerät, die komfortabel ist und vor allem den größeren Sicherheitsrisiken im mobilen Bereich wirksam begegnen kann."
Mit der letzten Bemerkung spielt der Migros-Bank-Manager auf die heute im Vergleich zu PCs nur schwache Absicherung mobiler Endgeräte an. Antivirenprogramme, persönliche Firewalls oder
andere Schutzeinrichtungen sind dort bisher die Ausnahme, obwohl die mobilen Devices ständig online sind.
Nicht selten sind kostenlose mobile Anwendungen bösartig behaftet. Sie können Daten von Telefonaten, SMS und 3G-Verbindungen abfangen, abhören, weiterleiten und abändern, ohne dass die Anwender etwas bemerken. Geheimhaltung und Datenintegrität stellen daher die größten Probleme im mobilen Bereich dar.
Wick zufolge hat die Migros Bank Sicherheitsprodukte verschiedener Hersteller geprüft - und sich letztlich für die Kobil-Lösung M-Identity Protection entschieden: "Kein anderer Anbieter konnte alle vier Kriterien - Software-basiert, geräteunabhängig, sicher und komfortabel zu vernünftigen Kosten - erfüllen."
Zwei Komponenten für die Sicherheit
Die ihrem künftigen E-Banking-Verfahren zugrunde liegende Security-Lösung gilt den Schweizer Bankern als sicher, weil sie auf zwei Komponenten basiert: einer stark abgesicherten App auf dem Smartphone, Tablet oder PC des Nutzers und einem Sicherheits-Server in der Bank, der erst nach diversen Prüfungen ein Einmalpasswort an die App vergibt, das schließlich den Zugang zur eigentlichen Bankenanwendung öffnet.
Auf diese Weise wird praktisch jede Art von Angriff verhindert, der auf den Diebstahl von Identitäten, Passworten oder Transaktionsdaten zielt: Man-in-the-Middle-Attacks, SMS-Weiterleitungen, Cross-Channel-Angriffe, Fake-Apps, Kopieren von Einmalpassworten oder Kopieren privater Schlüssel und Zertifikate auf andere Mobilgeräte. Außerdem muss ein Angriff zeitgleich die App des Nutzers und den Sicherheits-Server der Bank erfolgreich attackieren, um die Vertrauenskette zu durchbrechen. Für die weitere Absicherung sorgt die Zwei-Geräte-Authentisierung, die bei kritischen Transaktionen vorgeschrieben ist.
Um den Faktor zehn pro Kunde billiger
Selbstverständlich hat die Bank bei der Auswahl der Lösung nicht nur die Funktionen, sondern auch auf die Kosten pro Nutzer. Die USB-basierende Lösung schlägt pro Anwender mit mehr als 50 Euro zu Buche. Da ist der Wunsch nach einer preiswerten Alternative nachvollziehbar. Vor allem, weil die Migros Bank von einem rasanten Wachstum im E- und Mobile Banking ausgeht sowie weitere Self-Service-Dienstleistungen anbieten möchte. Heute wickeln rund 150.000 der 800.000 Kunden ihre Bankgeschäfte über das Internet ab. In fünf Jahren werden es rund 50 Prozent der Klientel sein, schätzt Wick. "Mit dem neuen System können wir zusätzliche E-Banking-Kunden um den Faktor zehn günstiger anschließen als mit einer Hardware-basierenden Lösung", so der Migros-Bank-Manager.
Kostensenkend wirkt sich der Verzicht auf SMS-Nachrichten aus, die von verschiedenen anderen Verfahren wie SMS-TAN benutzt werden, um Transaktionen einzeln abzusichern. Selbst im Großeinkauf werden per SMS rund sechs Eurocent fällig. Bei einer großen Bank mit aktiver Online-Nutzerschaft kann sich das schnell zu einem Kostenfaktor auswachsen.
Anstelle von SMS-Nachrichten nutzt die neue Lösung zur Autorisierung von Transaktionen in vielen Fällen verschlüsselte Internet-Nachrichten, die über einen weiteren Kommunikationskanal an ein zweites, bei der Bank registriertes Endgerät des Kunden gesendet werden.Das ist nicht nur billiger, sondern auch sicherer als die leicht angreifbaren SMS.
Allerdings sei der Vollständigkeit halber erwähnt, dass in M-Identity Protection ebenfalls dezidierte Hardware einbezogen werden muss, falls der Bankkunde über kein zweites mobiles Endgerät verfügt oder keines benutzen darf, wie es in bestimmten Unternehmen der Fall ist. In diesem Fall ist der Kostenvorteil deutlich geringer.
Mobile Banking aus Kundensicht
So gestaltet sich das Mobile Banking aus der Perspektive des Migros-Bank-Kunden:
Der Kunde lädt sich auf jedes mobile Endgerät, das er für E-Banking nutzen möchte, die Banking-Ap.
Möchte er einen PC nutzen, installiert er ein kleines Programm, das ihm ebenfalls von der Bank zur Verfügung gestellt wird.
Bestehenden E-Banking-Kunden wird für jede angemeldete Gerät ein Aktivierungscode zugeteilt; neue E-Banking-Kunden erhalten die Codes per Post.
Sobald der Aktivierungscode in App oder Software eingegeben wurde, ist das Gerät registriert und mit den Konten des Kunden verbunden.
Ist die Anwendung aktiviert, muss der Kunde nur noch seine selbstgewählte PIN eingeben, um die E-Banking-Anwendung zu starten.
Will er beispielsweise Überweisungen tätigen, muss er die Transaktion bei bisher unbekannten Empfängern oder Auslandsüberweisungen über ein zweites Gerät bestätigen. Dazu wird an die App des zweiten Geräts über eine Internet-Verbindung eine verschlüsselte Nachricht "gepusht". Sie enthält noch einmal die Überweisungsdetails und bittet den Kunden, die Überweisung oder eine andere Transaktion zu bestätigen oder abzulehnen.
Nicht jede Transaktion muss über ein zweites Gerät bestätigt werden. Empfänger, an die der Kunde regelmäßig Geld überweist, oder Unternehmen, die von der Bank über eine White List als verlässlich eingestuft werden, zum Beispiel der örtliche Stromversorger, sind nicht gesondert zu bestätigen.
Der Kunde kann dabei weitgehend selbst bestimmen, welche Empfänger als sicher eingestuft werden. Die Bank geht davon aus, dass nach der anfänglichen Lernphase nur noch drei bis fünf Prozent der Transaktionen gesondert bestätigt werden müssen.
Integration in Core-Banking-Software
Insgesamt haben rund 50 Entwickler mehr als anderhalb Jahre an der Sicherheits- und Prozessoptimierung des E-Bankings für die Migros Bank gearbeitet. Dabei wurde M-Identity Protection in die Standard-Banking-Software der Finnova AG integriert. Kobil entwickelte in Zusammenarbeit mit dem Standardsoftware-Hersteller eine eigene Schnittstelle, die die Funktionen der Sicherheitslösung mit der Standardsoftware verbindet, so dass auch künftige Online-Services damit abgesichert werden können.
Für das Frontend beim Kunden entwickelte der Migros-Bank-Partner Netcetera unter Verwendung des Kobil Software Development Kit eine mobile App. Ab November dieses Jahres geht die Lösung in den Probebetrieb, ab Januar 2015 soll sie an die Kunden ausgerollt werden.
Zusätzliche Einsatzmöglichkeiten
Die Migros Bank will die neue Identity- Processing-Engine auch für andere Dienstleistungen nutzen. So ist ein Direct-Pay-Service für E-Commerce-Händler geplant. Gedanken macht sich das Unternehmen zudem über Mobile Payment in stationären Kaufhäusern.
Ein sicheres Mobiltelefon macht darüber hinaus zusätzliche Anwendungsfälle möglich, die sowohl den Kundennutzen als auch die Verarbeitungseffizienz der Bank erhöhen sollen. So ist zum Beispiel eine Lösung angedacht, mit der sich der Kunde beim Anruf im Call Center vorgängig in seiner mobilen App identifiziert und dadurch rascher und ohne lästige Sicherheitsfragen direkt bedient werden kann.
Wie Wick ergänzt, ist die Lösung auch einsetzbar, um sichere E-Mails mit Dokumentenanhängen zu schicken oder elektronisch Termine zu vereinbaren: "Der Kunde kann sicher sein, dass die Mail tatsächlich von uns kommt, und wir sind sicher, dass der Richtige die Mail erhalten hat." Die Migros Bank sei das erste Schweizer Finanzinstitut, das diese sicheren Services Endgeräte-übergreifend anbieten werde. Das führe zu mehr Kundenbindung, und zugleich senke es die Kosten durch mehr Selbstbedienung. (qua)