Anzeige

Anzeige

VERANSTALTUNGEN

Be CIO Summit
26.09.19 - 26.09.19
In Design Offices Frankfurt Wiesenhüttenplatz, Frankfurt am Main

3. DIGITAL MARKETING 4HEROES CONFERENCE
08.10.19 - 08.10.19
In Wien

it-sa 2019
08.10.19 - 10.10.19
In Nürnberg, Messezentrum

3. DIGITAL MARKETING 4HEROES CONFERENCE
15.10.19 - 15.10.19
In München

PM Forum 2019
22.10.19 - 23.10.19
In Nürnberg, NCC Ost

Anzeige

Anzeige

Face Scan

Mit der zunehmenden Verbreitung von Mobile Banking Apps wundert es kaum, dass Cyberkriminelle ein ernsthaftes Interesse daran entwickeln, mobile Endgeräte zu kompromittieren. Neue, ausgeklügelte Angriffsmethoden haben das klassische Schema von Benutzername und Passwort vollständig obsolet gemacht.

Selbst die etwas sicherere Zwei-Faktor-Authentifizierung scheint mittlerweile unzureichend: Bankkunden werden ausgetrickst und dazu gebracht, ihre Passwörter und Zugangsnummern in gefälschte Benutzerschnittstellen einzugeben. Die größte Herausforderung im Kampf gegen Online-Betrug besteht deshalb darin, ein einfach zu implementierendes Sicherheitskonzept zu entwickeln: Es muss dynamisch genug sein, um die Pläne der Hacker zu durchkreuzen, darf dabei jedoch die Benutzerfreundlichkeit für den Anwender nicht beeinträchtigen.

Aus Benutzersicht ist es sehr mühselig, ständig neue Zugangsdaten wie sichere Passwörter und eindeutige Benutzernamen einzugeben. Das verleitet viele Anwender dazu, dasselbe Passwort für mehrere Plattformen zu verwenden oder aus Bequemlichkeit leicht zu merkende Zugangsdaten zu wählen. Das allein schon untergräbt die Sicherheit immens, da Kriminelle Schwachstellen leichter entdecken und ausnutzen können. Mobile Geräte sind dafür besonders anfällig, Benutzer achten hier weniger auf Sicherheit als bei Desktop-PCs oder Laptops. Die Implementierung neuer Sicherheits-Layer kann hier Abhilfe schaffen.

Layer werden errichtet, Layer kollabieren

Aber neu hinzugefügte Sicherheits-Layer sind durch fehlerhafte Implementierungen oder inhärente Schwächen von mobilen Geräten und deren Betriebssystemen permanent in Gefahr, kompromittiert zu werden. Und Cyberkriminelle arbeiten ständig daran, neue Möglichkeiten zu finden, um genau diese Sicherheitslücken auszunutzen. Jeder ihrer Erfolge bedeutet, dass Entwickler entweder vorhandene Sicherheits-Layer verbessern oder einen neuen Layer hinzufügen müssen, welcher wiederrum die Gesamtkomplexität steigert. Technologie ist jedoch nicht das einzige Element, auf das Cyberkriminelle abzielen. So versuchen sie auch systematisch das mangelnde Wissen der Anwender für ihre Zwecke auszunutzen. Ein mögliches Angriffsszenario ist der gefälschte Anmeldebildschirm: Der ahnungslose Bankkunde wird dazu gebracht, seine Zugangsdaten und den per SMS gesendeten Authentifizierungscode auf einer gefälschten Website einzugeben, während eine eingeschleuste Malware unbemerkt die Zielkontonummer ändert.

Verhaltensweisen als zusätzlicher Faktor

Aus diesen nachvollziehbaren Gründen haben Finanzinstitute ihren Apps diskretere Sicherheits-Layer wie die biometrische Verhaltensanalyse hinzugefügt. Berücksichtigt man beispielsweise Zeit und Ort bei der Anmeldung mit einer mobilen Banking App, können potenziell verdächtige Anmeldeversuche schnell erkannt werden. Versucht jemand, mitten in der Nacht vom anderen Ende der Welt eine größere Transaktion zu veranlassen, dann stimmt etwas nicht. Idealerweise wird diese Transaktion blockiert, bis eine zusätzliche Überprüfung stattgefunden hat.

Der Mix aus Zeit und Ort kann um zahlreiche weitere biometrische Elemente erweitert werden. Beispiele sind Fingerdruck beim Tippen oder Wischen über den Touchscreen des Smartphones oder auch die Tippgeschwindigkeit. Fehlt einer dieser Parameter, ist das Gerät möglicherweise gestohlen worden oder der Benutzer verwendet unwissentlich ein Overlay, mit dem Cyberkriminelle versuchen, Benutzerdaten und Bankinformationen abzugreifen.

SmileSign

Bild: Ein Beispiel für die biometrische Verhaltensanalyse ist "Smile & Sign".

Diese Art von Sicherheit ist bekannt als Verhaltensbiometrie und erweitert Applikationen um einen zusätzlichen Sicherheits-Layer. Durch die Erfassung der Art und Weise, wie der Benutzer das Gerät normalerweise über einen bestimmten Zeitraum verwendet, können verhaltensbiometrische Algorithmen ein Profil erstellen. Stimmen die Aktionen des Benutzers mit diesem überein, dann ist die Wahrscheinlichkeit größer, dass sie legitim sind. Es besteht somit kein Grund für einen störenden Eingriff. Nichtsdestotrotz ist eine Verhaltensänderung immer ein Hinweis darauf, dass etwas nicht mit rechten Dingen zugeht. In solchen Fällen kann die Bank jedoch intervenieren und zusätzliche Überprüfungen durchführen.

Verhaltensbiometrie ist also eine diskrete Möglichkeit, um Transaktionen zu verifizieren, die Bürde der Sicherheit verlagert sich dabei weg vom Benutzer. Dieser bemerkt den zusätzlichen Sicherheits-Layer normalerweise nicht, da keine weitere Aktion von ihm erforderlich ist. Dies wiederum bedeutet eine Minimierung der Prozessdauer für die Benutzerauthentifizierung, der Anwender verbringt mehr Zeit mit der eigentlichen Anwendung. Währenddessen ist die Sitzung auf hohem Niveau abgesichert.

Verhaltensbiometrie reduziert Betrug und minimiert das Auftreten von Fehlalarmen, sogenannten False Positives. Zusätzlich schützt sie die Privatsphäre der Anwender, im Gegensatz zu herkömmlichen Biometriedatenbanken, die Fingerabdrücke, Iris-Scans oder Stimmmuster beinhalten, welche zumeist eindeutig einem bestimmten Nutzer zugeordnet werden können. Das Verhaltensmuster hingegen wird als mathematische Gleichung gespeichert: Diese ist für Kriminelle nutzlos, da sie keine persönlichen Daten enthält, gleichzeitig schützt sie so die Privatsphäre des Anwenders. Verhaltensbiometrie bietet Sicherheit auf Transaktionsbasis. Für Cyberkriminelle ist es aufgrund fehlender Schwachstellen sehr schwer sie zu überlisten. Und der Benutzer wird nicht mit den üblichen Unannehmlichkeiten konfrontiert, die zusätzliche Sicherheits-Layer normalerweise mit sich bringen.

Giovanni VerhaegheGiovanni Verhaeghe arbeitet seit 2000 bei VASCO Data Security und bekleidete verschiedene Führungspositionen auf globaler Ebene innerhalb des Unternehmens, darunter im Projekt- und Produktmanagement sowie in der Markt- und Produktstrategie. Davor war Verhaeghe mehrere Jahre als IT-Manager bei Vincotte, einem auf Sicherheit, Qualität und Umweltdienstleistungen spezialisierten Unternehmen, tätig. Verhaeghe hat mehrere Abschlüsse in angewandter Informatik und einen Management-Abschluss von der Vlerick Management School Gent / Leuven (Belgien).

www.vasco.com
 

GRID LIST
Tb W190 H80 Crop Int Ef2f4379fa61cba2609f3e23c806b4c2

Einfach sicheres WLAN

Zufriedene Kunden und reibungslose Abläufe im Tagesgeschäft sind eine klassische…
Hacker Mobile

„Schatten-Apps“ gefährden Unternehmens-IT

Die Nutzung von Apps ist weit verbreitet, stellt die Sicherheitsverantwortlichen in…
Mobile Pishing

Sicherheitslücke macht Android-Smartphones anfällig für Phishing

Die Threat Intelligence-Abteilung von Check Point Software Technologies Ltd, enthüllte…
Mobile Malware

Malware auf iPhones: Eine Analyse des Angriffs

Sicherheitsforscher haben aufgedeckt, dass iPhones von Apple mehr als zwei Jahre lang…
WLAN

Versteckte Gefahren bei öffentlichen WLANs

79% der öffentlichen WLAN-Nutzer gehen bei der Wahl einer WLAN-Verbindung erhebliche…
Spyware

Android-Spyware trickst Google Plays Sicherheitssystem aus

Google hat in den vergangenen Jahren zweifellos viel für die Sicherheit seines Stores und…