WTLS schützt Transaktionen via WAP-Handy

Sicherheit beim M-Brokerage

23.03.2001
MÜNCHEN (CW) - Die Dresdner Bank bietet ihren Privatkunden eine Reihe von WAP-Services. Hierzu errichtete das Kreditinstitut eine eigene Infrastruktur mit einem WAP-Server sowie einem ServerZertifikat. Die Lösung folgt der Sicherheitsspezifikation Wireless Transport Layer Security 2 (WTLS-2). Von Edith Lechner und Kai Schumann*

Seit Januar 2001 offeriert die Bank über diese Infrastruktur auch Wertpapiergeschäfte per Wireless Application Protocol (WAP). Der neue Dienst Dresdner M-Broke-rage ist ein direkter mobiler Zugang zum kurz vorher eröffneten Internet-Wertpapierportal Dresdner Brokerage. Der Service erlaubt dem Kunden, Aktien zu kaufen oder abzustoßen, Neuemissionen zu zeichnen und Renten, Optionsscheine sowie Investmentfonds zu erwerben. Zudem kann er reale und virtuelle Depots führen und Watchlists zum Beobachten bestimmter Kurse einrichten. Eine gemeinsame Datenbasis ermöglicht dabei die wechselweise Nutzung von Internet-PCs und WAP-Endgeräten.

Transaktionen schützenDa bei mobilen Wertpapiertransaktionen sensitive Informationen per WAP übertragen werden müssen, kommt dem Sicherheitsaspekt besondere Bedeutung zu. GSM-Netze verschlüsseln die Daten zwar vor der Übertragung, doch Hacker können Angriffe auf die IT-Systeme im Festnetz sowie auf WAP-Gateways starten, was gerade bei Banktransaktionen fatal wäre. Aus diesem Grund scheidet die Nutzung einer öffentlich zugänglichen WAP-Gateway-Infrastruktur, wie sie von zahlreichen Providern angeboten wird, bei vielen Geldinstituten, die wie die Dresdner Bank solche Dienste anbieten, aus.

Vorüberlegungen über die Planung einer WAP-Architektur führen zwangsläufig zum Vergleich mit Web-Server-Infrastrukturen. Diese Server-Farmen werden vornehmlich in Sicherheitszonen (Demilitarisierten Zonen, kurz DMZ) aufgestellt, wo aus Sicherheitsgründen Firewalls vorgeschaltet die Pakete filtern sowie als Application-Proxies fungieren. Eventuell kommen zur Beschleunigung des Zugriffs auf statische Inhalte Load Balancer zum Einsatz, die eine faire Lastverteilung der Requests auf mehrere Web-Server steuern.

Analoge Überlegungen für WAP-Dienste führen zu einer ähnlichen Lösung: Ein Access-Router nimmt alle eingehenden Calls entgegen. Dabei wird eine PPP-Verbindung etabliert. Zudem erfolgt die Identifikation des Nutzers. Die Firewall blockt Pakete ab, die nichts mit der WAP-Kommunikation zu tun haben und schützt so die nachfolgenden WAP-Gateway-Server vor unberechtigt aufgebauten Dial-in-Verbindungen.

Brücke zwischen Web und WAPAuf dem eigentlichen WAP-Gateway innerhalb der Sicherheitszone findet dann die Protokollumsetzung zwischen Wireless-in und Internet-Welt statt. Auswahlkriterien für den WAP-Server waren unter anderem die angebotenen Security-Features und die Referenzen des Herstellers. Die Wireless-Markup-Language-(WML-)Seiten bezieht das Gateway von einem oder mehreren logisch über Load Balancer zusammengeschalteten Web-Servern. Die Server ihrerseits ziehen Informationen aus den angebundenen Backend-Anwendungen heran. Damit ist eine strikte Trennung von statischem und dynamischem Content gewährleistet.

Der Anwendungs-Server sollte sich im Corporate-LAN (Lokal Area Network) befinden. Zusätzliche Sicherheit lässt sich erreichen, wenn Application- und Web-Server durch eine interne Firewall getrennt werden.

Die aktuelle Spezifikation Wireless Transport Layer Security (WTLS) erlaubt neben der reinen Kanalverschlüsselung (WTLS-1) auch eine Identifikation des Gateways mit einem Server-Zertifikat gegenüber dem WAP-Handy (WTLS-2). Entscheidend für den einfachen Einsatz von Client-Zertifikaten wird sein, ob Smartcards mit kryptografischen Funktionen in einem zusätzlichen Slot des Handys als WIM-Modul oder als Fullsize-Smartcard im Scheckkartenformat Platz finden. Banken wollen zeigen, wie sich Client-Zertifikate in für den Kunden komfortabler Weise einsetzen lassen.

Auf Zertifikate achtenUm die Interoperabilität bei der Nutzung von öffentlichen WTLS-Zertifikaten zu gewährleisten, sollte sich der Anbieter von WAP-Services beim Hersteller rückversichern, dass das Zertifikat später auch auf dem Gateway genutzt werden kann. Mit nicht-öffentlichen Zertifikaten lässt sich die Vertrauenswürdigkeit des Endkunden nicht prüfen.

Auf dem Gateway werden zwei Zertifikate installiert - das eigentliche Server-Zertifikat und das CA-Root-Zertifikat (das Zertifikat des Trustcenters oder Certificate Authority, kurz CA). Auf diese Weise können sich der Bank-Server und das Handy des Kunden gegenseitig authentifizieren. Die Verschlüsselungsfunktionen hängen vom Handy-Typ ab. Es ist ratsam, die Parameter der Kryptofunktionen der unterschiedlichen Handys in einem Testaufbau zu verifizieren, was aber in Anbetracht der unterschiedlichen Release-Stände der Micro-Browser oft schwierig ist.

WTLS bietet eine End-to-End-Verschlüsselung (Authentisierung, Integrität) des Kanals zwischen Handy zum Gateway. Zusätzlich muss noch der Datenverkehr zwischen Gateway und Web-Server über Secure Sockets Layer (SSL) verschlüsselt werden.

Fehlende StandardsZwar ermöglicht die WAP-Technologie ein breites Spektrum an neuen Anwendungen, die Standards lassen jedoch teilweise noch zu wünschen übrig. Beispielsweise sind die Präsentationsfähigkeiten der Micro-Browser und die Security-Features der Endgeräte oft proprietär. Mit der Over-the-Air-Provisioning(OTA-)Technik können die Geräte automatisch für den Zugriff auf einen WAP-Service konfiguriert werden. Leider ist dieses Verfahren nur für wenige Modelle verfügbar.

* Edith Lechner und Kai Schumann arbeiten im Konzernstab der Dresdner Bank für Informationstechnologie.

Abb.1: Infrastruktur

Zusammenspiel der einzelnen Komponenten im Dresdner M-Brokerage. Quelle: Dresdner Bank

Abb.2: Allgemeine WAP-Architektur nach dem Standard des WAP-Forum

Quelle: Dresdner Bank