computerwoche.de

Archiv

IT in Banken/Merita Nordbanken auf Vorreiterkurs

Skandinavische Bank sichert mit Smart Cards Internet-Zahlungsverkehr ab

19.11.1998
Online-Banking läßt den Bedarf an Sicherheitssoftware für den Internet-Zugang wachsen. Merita Nordbanken, die größte skandinavische Bank, setzt als eines der ersten Kreditinstitute seit gut einem Jahr ein PKI-System (Public Key Infrastructure), das lange Schlüssel verwendet, und Smart Cards ein, um die Internet-Transaktionen ihrer Kunden zu sichern. 3,3 Millionen Dollar, so Jari Nyholm*, wurden bereits investiert.

Während man bei E-Commerce und Online-Brokerage andernorts noch eher zurückhaltend ist, nehmen die Skandinavier neben den USA eine Vorreiterrolle auf dem Gebiet der Internet-Nutzung für Finanzdienstleistungen ein. Sie ermutigen ihre Kunden systematisch, ihre Finanzgeschäfte vornehmlich von zu Hause aus zu tätigen. Und das mit Erfolg: Von den knapp neun Millionen Einwohnern loggt sich bereits jetzt ein Drittel der Bevölkerung täglich in das World Wide Web ein und fast eine Million Schweden nutzen das Internet für die Abwicklung von Bankgeschäften.

Am 20. September dieses Jahres fand sogar ein staatliches Pilotprojekt in Sachen Opinion-Polling statt: Eine kleine Gruppe ausgewählter schwedischer Staatsbürger kam via Internet ihrer Wahlpflicht nach. Eine solche Nutzung ist jedoch mit ganz spezifischen Gefahren verbunden: Verletzungen der Informationssicherheit durch Hacker, Viren und Datenmißbrauch könnten das Internet schnell zu einem Pulverfaß werden lassen. Doch auch für Banken, Versicherungen und Finanzdienstleister wächst der Bedarf an neuen Sicherheitstechnologien. Die Merita Nordbanken hat vor gut einem Jahr ihre Lösung entdeckt.

Im April 1997 entschied man sich für eine Sicherheitslösung für Geldgeschäfte via Internet: Die vereinte Merita Nordbanken modifizierte das PKI-System und erwarb von dem schwedischen Unternehmen ID2 Technologies in Stockholm deren Smart-Card-Technologie für den Zahlungsverkehr am heimischen PC.

Diese Smart Card ist ähnlich wie eine Kreditkarte gestaltet, enthält aber neben der herkömmlichen PIN einen Mikroprozessor, auf dem der Codierungsschlüssel, der Private Key, und eine digitale persönliche Nennung des Users, das digitale Zertifikat, speziell für Internet-Transaktionen gespeichert sind. So können alle Geldgeschäfte mit nur einer Karte getätigt werden, da die Codierung nicht vom Computer, sondern von der Karte selbst verarbeitet wird. Voraussetzung für Online-Zahlungen ist ein Lesegerät, das der Benutzer zu Hause mit seinem Computer verbindet und über das der Zahlungsverkehr abgewickelt wird. Auf der Datenbank des Kreditinstituts liegt ein Decodierungsschlüssel, der Public Key, der jeweils lediglich eine einzige, speziell auf ihn abgestimmte elektronische Unterschrift entziffern kann. Das gesamte Sicherheitssystem der Codierung und Decodierung basiert auf dem Prinzip der asymmetrischen Verschlüsselung. Identitätsbeweise einzelner User erfolgen lediglich über den Besitz des Private Key. Daher müssen Verschlüsselung und digitales Zertifikat ein hohes Maß an Sicherheit erfüllen. Die ausgewählte Technologie versteht sich als Komplettlösung, was insbesondere für Trust-Center, die offiziellen Ausgabestellen der Karten, wichtig ist.

Merita Nordbanken betrachtet den Einsatz der Smart Card schon jetzt als Erfolg: In knapp zwei Monaten wuchs der Anteil der User von null auf 25000 an, und für das Jahr 1999 prognostiziert man 100000 Nutzer. Das Sicherheitssystem gilt als eine Lösung, mit der auch die breite Masse der Kunden operieren kann. Lediglich der Militärdienst trifft in Schweden noch höhere Sicherheitsvorkehrungen.

In der Tat bietet die Smart Card aus Schweden eine besondere Sicherheit: Hat man in Deutschland unlängst die Nachlässigkeit in der Verschlüsselung zur Authentifizierung des Bankkunden bemängelt - anstelle der 768 Bit langen Schlüssel werden in fast 50 Prozent der Fälle nur 512 Bit verwendet - so können sich die Skandinavier sicher sein, daß ihre persönlichen Daten mit 1024 Bit codiert sind.

Ein weiterer Vorteil ist die Bequemlichkeit, mit der sich Bankgeschäfte in Zukunft tätigen lassen. Mußte man in der Vergangenheit bei mehreren Konten noch eine Vielzahl unterschiedlicher PINs im Kopf - und leider oft auch im Notizbuch - haben, um diverse Transaktionen tätigen zu können, so ermöglicht die Smart Card die Abwicklung all dieser Geschäfte jetzt mit nur einem Werkzeug und einer PIN, die die Transaktion in Gang setzt.

Das Handling der Karte geht mit der Dienstleistung am Kunden einher: Der Interessent geht mit seiner ID-Card in die Bank und füllt ein Antragsformular aus, das es dem Card-Provider erlaubt, einen speziell auf den Kunden abgestimmten Schlüssel und ein digitales Zertifikat zu generieren. Der Kunde erwirbt noch ein Lesegerät für seine persönliche Karte, das er daheim an seinen PC anschließt. Für die Installation des Sicherheitsprogramms erhält er entweder eine CD, oder er lädt sich die aktuelle Version per Download direkt von der Web-Site herunter. Anfangs lief die Software allerdings nicht unter jedem Betriebssystem.

Bislang können die Kunden der Merita Nordbanken die Standardgeschäfte mit der Smart Card tätigen. Das Spektrum beginnt bei der einfachen Kontostandsprüfung und erstreckt sich über das Einrichten von Daueraufträgen, Überweisungen, Zahlungen von Einkäufen bis hin zur Kreditbeantragung. Bei letzterem gibt es jedoch noch einige Probleme, weil die Gültigkeit der digitalen Unterschrift von der schwedischen Regierung noch nicht in letzter Instanz abgesegnet worden ist.

Dies scheint jedoch nur eine Frage der Zeit. Merita Nordbanken hat die Organisation Security Electronic Information in Society (SEIS) bereits auf ihrer Seite. Diese Organisation ist eine offizielle Vereinigung einzelner Vertreter aus dem privaten und öffentlichen Sektor sowie von Staat, Regierung und Banken. Langfristig ist es das Ziel der Vereinigung, elektronische ID Cards zu standardisieren. Eine einzelne Karte soll in Zukunft multiple gesellschaftliche Funktionen erfüllen.

Damit dürfte es schon bald keine Zukunftsmusik mehr sein, Kreditkarten mit gesetzlich anerkannten digitalen Unterschriften einzusetzen. In Schweden könnten dann Steuererklärungen über das Internet abgegeben, Studentenkredite per Internet überwiesen, Rechnungen nicht mehr auf dem Postweg versandt, sondern einfach auf dem Bildschirm angeklickt, bestätigt und dann auf die Datenautobahn geschickt werden. Letztlich ließen sich auch Cash Cards über das Internet beliebig aufladen. Der Mehrwert für den Endverbraucher liegt darin, daß er neben den üblichen Bankgeschäften auch alle anderen Transaktionen, die eine Identifizierung erfordern, tätigen kann.

Obwohl Schweden für Hochtechnologie bekannt ist, ist Merita Nordbanken bislang das einzige Kreditinstitut, das die Sicherheitstechnologie der asymmetrischen Verschlüsselung einsetzt. Zwei andere skandinavische Banken arbeiten mit Soft-Certificate-Systemen und drei weitere mit den herkömmlichen Tokens. Mit diesen Karten werden die Transaktionen via persönliche Identifikationsnummer (PIN) versiegelt. Allerdings ist die Decodierung sehr viel einfacher, da Inhalte und Aktionen lediglich über diese eine Identifikationsnummer geprüft werden. Für das Bankenkonsortium stellt die Sicherheitslösung der Merita deshalb einen gewissen Vorteil dar: "Wir haben uns den großen Vorsprung durch die bereits vorhandene Sicherheits- infrastruktur gesichert. Außer- den lernen wir ständig voneinander.

Die Bank

Merita Nordbanken wurde 1997 nach der Fusion der finnischen Bank Merita und Nordbanken aus Schweden als größtes Bankenkonsortium Skandinaviens gegründet. Die Bank hat 21000 Angestellte, 6,5 Millionen Privat- und rund 300000 Firmenkunden. Als sich 1994 die damals noch eigenständige Nordbanken dazu entschlossen hatte, ihren Firmenkunden Transaktionen via Internet zu ermöglichen, hielt man Ausschau nach einer dafür geeigneten Sicherheitslösung. Schon damals wurden spezielle PKI-Systeme eingesetzt, die den bargeldlosen Zahlungsverkehr für die Großkunden vereinfachen und gleichzeitig sichern sollten. Seit 1996 ermöglichte die Bank auch ihren Privatkunden Internet-Banking, war aber von den Sicherheitsvorkehrungen noch nicht so überzeugt, da entsprechende Transaktionen lediglich über ein Paßwort abgesichert waren.

Angeklickt

Für das Internet-Banking hat die Merita Nordbanken ein Smart-Card-System eingeführt, das folgendermaßen funktioniert:

-Der Client nimmt die Verbindung zum Server der Bank auf.

-Der sendet eine Identifikationsanfrage.

-Der Client übermittelt die Anfrage an die Smart Card.

-Mit Hilfe einer Codierung konstruiert diese eine digitale Unterschrift für die Anfrage. Dieser Schlüssel kann weder durch Viren, noch von OS-Programmen geknackt oder verändert werden.

-Die Smart Card leitet die unterschriebene Anfrage zurück an den Client.

-Der schickt die Anfrage an den Server der Bank.

-Der Server der Bank kontrolliert die Gültigkeit der Unterschrift und gewährt nach korrekter Identifikation den Zugang.

*Jari Nyholm ist Manager der IT-Sicherheitsabteilung der Merita Nordbanken.