VERANSTALTUNGEN

USU World 2018
06.06.18 - 07.06.18
In World Conference Center Bonn

CEBIT 2018
11.06.18 - 15.06.18
In Hannover

ERP Tage Aachen
19.06.18 - 21.06.18
In Aachen

next IT Con
25.06.18 - 25.06.18
In Nürnberg

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

Face Scan

Mit der zunehmenden Verbreitung von Mobile Banking Apps wundert es kaum, dass Cyberkriminelle ein ernsthaftes Interesse daran entwickeln, mobile Endgeräte zu kompromittieren. Neue, ausgeklügelte Angriffsmethoden haben das klassische Schema von Benutzername und Passwort vollständig obsolet gemacht.

Selbst die etwas sicherere Zwei-Faktor-Authentifizierung scheint mittlerweile unzureichend: Bankkunden werden ausgetrickst und dazu gebracht, ihre Passwörter und Zugangsnummern in gefälschte Benutzerschnittstellen einzugeben. Die größte Herausforderung im Kampf gegen Online-Betrug besteht deshalb darin, ein einfach zu implementierendes Sicherheitskonzept zu entwickeln: Es muss dynamisch genug sein, um die Pläne der Hacker zu durchkreuzen, darf dabei jedoch die Benutzerfreundlichkeit für den Anwender nicht beeinträchtigen.

Aus Benutzersicht ist es sehr mühselig, ständig neue Zugangsdaten wie sichere Passwörter und eindeutige Benutzernamen einzugeben. Das verleitet viele Anwender dazu, dasselbe Passwort für mehrere Plattformen zu verwenden oder aus Bequemlichkeit leicht zu merkende Zugangsdaten zu wählen. Das allein schon untergräbt die Sicherheit immens, da Kriminelle Schwachstellen leichter entdecken und ausnutzen können. Mobile Geräte sind dafür besonders anfällig, Benutzer achten hier weniger auf Sicherheit als bei Desktop-PCs oder Laptops. Die Implementierung neuer Sicherheits-Layer kann hier Abhilfe schaffen.

Layer werden errichtet, Layer kollabieren

Aber neu hinzugefügte Sicherheits-Layer sind durch fehlerhafte Implementierungen oder inhärente Schwächen von mobilen Geräten und deren Betriebssystemen permanent in Gefahr, kompromittiert zu werden. Und Cyberkriminelle arbeiten ständig daran, neue Möglichkeiten zu finden, um genau diese Sicherheitslücken auszunutzen. Jeder ihrer Erfolge bedeutet, dass Entwickler entweder vorhandene Sicherheits-Layer verbessern oder einen neuen Layer hinzufügen müssen, welcher wiederrum die Gesamtkomplexität steigert. Technologie ist jedoch nicht das einzige Element, auf das Cyberkriminelle abzielen. So versuchen sie auch systematisch das mangelnde Wissen der Anwender für ihre Zwecke auszunutzen. Ein mögliches Angriffsszenario ist der gefälschte Anmeldebildschirm: Der ahnungslose Bankkunde wird dazu gebracht, seine Zugangsdaten und den per SMS gesendeten Authentifizierungscode auf einer gefälschten Website einzugeben, während eine eingeschleuste Malware unbemerkt die Zielkontonummer ändert.

Verhaltensweisen als zusätzlicher Faktor

Aus diesen nachvollziehbaren Gründen haben Finanzinstitute ihren Apps diskretere Sicherheits-Layer wie die biometrische Verhaltensanalyse hinzugefügt. Berücksichtigt man beispielsweise Zeit und Ort bei der Anmeldung mit einer mobilen Banking App, können potenziell verdächtige Anmeldeversuche schnell erkannt werden. Versucht jemand, mitten in der Nacht vom anderen Ende der Welt eine größere Transaktion zu veranlassen, dann stimmt etwas nicht. Idealerweise wird diese Transaktion blockiert, bis eine zusätzliche Überprüfung stattgefunden hat.

Der Mix aus Zeit und Ort kann um zahlreiche weitere biometrische Elemente erweitert werden. Beispiele sind Fingerdruck beim Tippen oder Wischen über den Touchscreen des Smartphones oder auch die Tippgeschwindigkeit. Fehlt einer dieser Parameter, ist das Gerät möglicherweise gestohlen worden oder der Benutzer verwendet unwissentlich ein Overlay, mit dem Cyberkriminelle versuchen, Benutzerdaten und Bankinformationen abzugreifen.

SmileSign

Bild: Ein Beispiel für die biometrische Verhaltensanalyse ist "Smile & Sign".

Diese Art von Sicherheit ist bekannt als Verhaltensbiometrie und erweitert Applikationen um einen zusätzlichen Sicherheits-Layer. Durch die Erfassung der Art und Weise, wie der Benutzer das Gerät normalerweise über einen bestimmten Zeitraum verwendet, können verhaltensbiometrische Algorithmen ein Profil erstellen. Stimmen die Aktionen des Benutzers mit diesem überein, dann ist die Wahrscheinlichkeit größer, dass sie legitim sind. Es besteht somit kein Grund für einen störenden Eingriff. Nichtsdestotrotz ist eine Verhaltensänderung immer ein Hinweis darauf, dass etwas nicht mit rechten Dingen zugeht. In solchen Fällen kann die Bank jedoch intervenieren und zusätzliche Überprüfungen durchführen.

Verhaltensbiometrie ist also eine diskrete Möglichkeit, um Transaktionen zu verifizieren, die Bürde der Sicherheit verlagert sich dabei weg vom Benutzer. Dieser bemerkt den zusätzlichen Sicherheits-Layer normalerweise nicht, da keine weitere Aktion von ihm erforderlich ist. Dies wiederum bedeutet eine Minimierung der Prozessdauer für die Benutzerauthentifizierung, der Anwender verbringt mehr Zeit mit der eigentlichen Anwendung. Währenddessen ist die Sitzung auf hohem Niveau abgesichert.

Verhaltensbiometrie reduziert Betrug und minimiert das Auftreten von Fehlalarmen, sogenannten False Positives. Zusätzlich schützt sie die Privatsphäre der Anwender, im Gegensatz zu herkömmlichen Biometriedatenbanken, die Fingerabdrücke, Iris-Scans oder Stimmmuster beinhalten, welche zumeist eindeutig einem bestimmten Nutzer zugeordnet werden können. Das Verhaltensmuster hingegen wird als mathematische Gleichung gespeichert: Diese ist für Kriminelle nutzlos, da sie keine persönlichen Daten enthält, gleichzeitig schützt sie so die Privatsphäre des Anwenders. Verhaltensbiometrie bietet Sicherheit auf Transaktionsbasis. Für Cyberkriminelle ist es aufgrund fehlender Schwachstellen sehr schwer sie zu überlisten. Und der Benutzer wird nicht mit den üblichen Unannehmlichkeiten konfrontiert, die zusätzliche Sicherheits-Layer normalerweise mit sich bringen.

Giovanni VerhaegheGiovanni Verhaeghe arbeitet seit 2000 bei VASCO Data Security und bekleidete verschiedene Führungspositionen auf globaler Ebene innerhalb des Unternehmens, darunter im Projekt- und Produktmanagement sowie in der Markt- und Produktstrategie. Davor war Verhaeghe mehrere Jahre als IT-Manager bei Vincotte, einem auf Sicherheit, Qualität und Umweltdienstleistungen spezialisierten Unternehmen, tätig. Verhaeghe hat mehrere Abschlüsse in angewandter Informatik und einen Management-Abschluss von der Vlerick Management School Gent / Leuven (Belgien).

www.vasco.com
 

GRID LIST
Tb W190 H80 Crop Int 547461fef9c006206fc7a53efe55f5d3

ZooPark: Android Cyberspionage verbreitet sich

Kaspersky Lab hat eine hochkomplexe Cyberspionage-Kampagne entdeckt, die seit mindestens…
Tb W190 H80 Crop Int 9545f4619b643c50d0bb0d4b57c05b77

Neue WAF von F5 schützt auch Multi-Cloud-App

F5 Networks (NASDAQ: FFIV) bietet ab sofort die neue Advanced Web Application Firewall…
mobile Security

Sicherheitsrisiken von Apps und Daten auf mobilen Endgeräten minimieren

Mit dem herkömmlichen Schutz der mobilen Endgeräte von Mitarbeitern ist es nicht getan.…
Tb W190 H80 Crop Int 547461fef9c006206fc7a53efe55f5d3

Gefahren für Android-Nutzer: Überwachung, Hacking & Fake Apps

Android-Geräte wurden kürzlich wegen fehlender Sicherheit für ihre Benutzer unter…
Tb W190 H80 Crop Int B105883123d2264a138f7eac7750dea8

CenturyLink bringt Adaptive Network Security Mobility auf den Markt

Für Unternehmen, die die Vorteile zunehmend mobiler Mitarbeiter nutzen und gleichzeitig…
Tb W190 H80 Crop Int C728f5492bb57e70085ea1ceebaa7879

Skygofree – hochentwickelte Spyware seit 2014 aktiv

Kaspersky Lab hat mit der Spyware ‚Skygofree‘ ein sehr fortschrittliches mobiles…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security