Zwei-Faktor-Authentifizierung mit Fingerabdruck und Flickercode

Siemens und Axsionics sichern Online-Banking mit Internetpass ab

06.12.2007
Mit einem vom Schweizer Unternehmen Axsionics patentierten kombinierten Authentifizierungsverfahren aus Fingerabdruck und elektronischer Flickercode-Erkennung will Siemens IT Solutions and Services einen neuen Online-Banking-Standard in Deutschland einführen.
Mit dem Internetpass soll Online-Banking sicherer und populärer werden.
Mit dem Internetpass soll Online-Banking sicherer und populärer werden.
Foto: Siemens IT Solutions and Services

Der Kunde bekommt dabei von seiner Bank einen Internetpass - etwa in Form und Größe eines iPods - ausgehändigt, auf dem er die Abdrücke mehrerer Finger registrieren lässt. Beim Banking via Internetbrowser wird er dann nicht mehr nach PIN und TAN gefragt, sondern er bekommt eine flackernde Schwarz-Weiß-Grafik angezeigt, den von Axsionics patentierten "Flickercode". Nun drückt er den in den Internetausweis eingebauten visuellen Scanner einige Sekunden auf den Monitor, bis die Prüfung der Echtheit des Codes vollzogen ist. Auf seinem Internetpass erscheinen die genauen Daten der Überweisung sowie ein nur für diese Transaktion gültiges Einmal-Passwort. Das gibt der Anwender im Browser ein, um die Überweisung abzuschließen.

Auf dem Internetausweis können bis zu 128 verschiedene Schlüssel gespeichert werden – Siemens und Axsionics sehen für die Zukunft daher auch Möglichkeiten, die Kundendaten mehrerer Banken und andere elektronisch erfasste Informationen wie der der geplanten Gesundheitskarte, Lohnsteuerkarte und anderer zu erfassen. "Der Kunde kann mit dem Internetausweis alle kritischen Transaktionen, die über das Web abgewickelt werden, sicherer und bequemer erledigen als bisher", warb Andreas Finke, Leiter Financial Services bei der Siemens IT Solutions and Services, heute im Rahmen der offiziellen Produktvorstellung im Münchner Siemens-Forum für das Verfahren. Es würden weder Passwörter, PINs noch Transaktionsnummern (TANs) mehr benötigt, um Überweisung per Online-Banking zu tätigen. Die Gefahr, Opfer von Phishing-Attacken zu werden, würde erheblich reduziert, weil der zur Bedienung des Internetpasses benötigte Fingerabdruck deutlich fälschungssicherer sei als bisherige Verfahren, so Finke. In Kombination mit einem One-Time-Password sei eine missbräuchliche Nutzung nahezu ausgeschlossen, sagte auch der Director Solutions Management bei Siemens IT Solutions and Services, Olaf Badstübner. Als Zugabe hat das Gerät eine Funktion eingebaut, mit der der Kunde einen bestimmten Finger zum "Panikfinger" erkoren könne. "Wenn Ihnen dann jemand die Pistole auf die Brust setzt und zur Überweisung von Geld auf ein fremdes Konto zwingt, können Sie mit diesem Finger die Transaktion augenscheinlich korrekt verifizieren. Die Bank wird die Überweisung aber nicht ausführen, da das verwendete Einmal-Passwort aus dem Abdruck des Panikfingers erzeugt wurde und damit nichtig ist", erklärte Badstübner.

Flächendeckender Pilotversuch bis Ende 2008

Datenschutzrechtliche Bedenken räumte Alain Rollier, CEO der schweizerischen Axsionics AG, aus: Die erfassten Fingerabdrücke seien ausschließlich auf dem Chip des Passes gespeichert und nicht bei den Geldinstituten. "Damit unterscheidet sich der Internetpass beispielsweise vom elektronischen Reisepass, für den zu Grenzkontrollzwecken alle Anwenderdaten in einer zentralen Datenbank verwaltet werden", unterstrich Rollier.

Die Unternehmen erhoffen sich von dem Verfahren eine Zunahme von Online-Banking-Kunden auf dem deutschen Markt. "Rund ein Drittel der Bankkunden machen noch kein Banking via Internet, weil sie die Bedrohungen durch Phishing und Man-in-the-Middle-Attacken derzeit als zu hoch einschätzen", stellte Forrester-Analyst Jost Hoppermann auf Basis einer kürzlich veröffentlichten Studie zum Online-Banking fest. Allein in Deutschland hätten Bankkunden nach Angaben des Bundeskriminalamtes im vergangenen Jahr mehr als 14 Millionen Euro an Verlusten durch Phishing- und Man-in-the-Middle-Angriffe hinnenhmen müssen, so Hoppermann. Die tatsächliche Zahl liege wohl noch um einiges darüber, weil die Banken derartige Vorfälle nur selten melden würden.

Axsionics hat in der Schweiz bereits eine Großbank für sein Verfahren gewinnen können, ein Pilotversuch mit ausgewählten Kunden wird demnächst abgeschlossen. Auch deutsche Geldinstitute sollen sich nach Siemens-Angaben für das Verfahren interessieren. Neben der zu erwartenden Steigerung der Sicherheit spielten für die Banken besonders die enormen Kosteneinsparungen durch Online-Banking die entscheidende Rolle. Bis Ende 2008 will der Münchner Konzern den bereits jetzt verkaufsfertigen Internetpass flächendeckend in die Testphase bringen. (sh)