Gängige Schutzsysteme werden unsicher
Nicht nur Identitäten, auch Transaktionen müssen gesichert werden
Endre Bangerter und Markus Christen
Das Wettrüsten zwischen Security-Experten und Internet-Kriminellen hat eine neue Phase erreicht. Vermehrt versuchen letztere, als „man in the middle“ in an sich gesicherte Internet-Verbindungen einzudringen und dort Transaktionen umzuleiten. Somit müssen heute nicht nur Personen, sondern auch alle von ihr vorgenommenen Transaktionen einfach und sicher authentifiziert werden können. Eine Bieler Firma hat für dieses Problem eine Lösung entwickelt.
Internet-Transaktionen wie beispielsweise E-Banking sind für viele Menschen Alltag geworden: Man authentifiziert sich mittels Passwort und einem für jede Sitzung zusätzlich generiertem Code gegenüber der Bank und nimmt seine Zahlungen vor. Die so genannte Zwei-Faktor-Authentisierung bildet derzeit den Sicherheitsstandard im eBanking – kommt aber zunehmend unter Druck. So kann auf dem Computer des Kunden ein Programm (Malware) installiert sein, der nach dem erfolgreichen Aufbau der gesicherten Verbindung dem Kunden nur vorspiegelt, er würde beispielsweise gerade seine Krankenkasse bezahlen – de fakto überträgt das Programm eine beträchtliche Summe auf ein ganz anderes Konto. Das OK des Kunden zu jeder einzelnen Transaktion löst damit Geldüberweisungen aus, von der die Bank in diesem Szenario nicht weiss, dass sie gar nicht dem Kundenwunsch entspricht. Die Melde- und Analysestelle Informationssicherung (MELANI) des Bundes hat in ihrem vergangenen Donnerstag veröffentlichten Halbjahresbericht klar gemacht, dass Zwei-Faktor-Authentisierungssysteme (z.B. Streichlisten, SecurID, usw) keinen Schutz gegen solche Angriffe bieten und als unsicher betrachtet werden müssen, sobald der PC des Kunden mit Malware verseucht worden ist.
Das Grundproblem ist, dass alle derzeit gängigen Systeme zur Authentifizierung lediglich sicherstellen, dass zum Zeitpunkt des Einloggens die autorisierte Person (der Bankkunde) den Computer bedient – nicht aber, dass sie den Computer auch kontrolliert. Ist letzteres nicht der Fall, kann nicht gesichert werden, ob die Transaktionen, welche die an sich korrekt authentifizierte Person ausgelöst hat, auch tatsächlich ihrem Willen entspringen.
Die Malware spielt im obigen Szenario die Rolle eines „man in the middle“, der unbemerkt in die gesicherte Verbindung zwischen Kunde und Bank eingedrungen ist. Solche Angriffe gehören zur Klasse des Identitätsdiebstahls (ID Theft), unterscheiden sich aber vom Phishing (umleiten des Kunden auf eine gefälschte Website zwecks Entlockung von Zugangsdaten), das gemäss MELANI in der Schweiz stark an Bedeutung verloren hat. Auch Zertifikate – welche primär verwendet werden, damit der Rechner des Kunden die Bank korrekt authentifiziert – bleiben im Fall eines mit Malware verseuchten Computers wirkungslos, da der Kunde ja tatsächlich mit seiner Bank verbunden ist, aber seinen PC nicht kontrolliert.
Internetkriminalität: Lukrativ und sicher
Dieses Angriffsmodell ist lukrativ: Fachleute haben abgeschätzt, dass der durchschnittliche Ertrag der Angreifer um den Faktor 5 höher ist als deren Kosten, während die Entdeckungswahrscheinlichkeit bei lediglich etwa 1:700 liegt. Verglichen mit anderen kriminellen Aktivitäten – etwa Drogenhandel mit seinen zahlreichen Zwischenhändlern – sind dies Traumrenditen zu minimalem Risiko. Der Schaden, den solche und andere Angriffe verursachen können, ist schwer zu beziffern. Schätzungen basierend auf Zahlen der Information Systems Audit and Control Association (ISACA) erreichen allein für die USA und Grossbritannien die Grössenordnung von etwa 3.5 Milliarden Dollar pro Jahr, die durch online ID Theft verursacht werden – oft bei Banken, welche solche Schäden derzeit aus Gründen der Kulanz und Bewahrung des Images als sichere Institution bezahlen. Diese für den Kunden komfortable Usanz kann aber jederzeit gestoppt werden, falls die Schäden für die Banken zu stark ansteigen. Rechtlich haben sich die Banken bereits frühzeitig durch entsprechende Nutzerverträge abgesichert.
Noch erscheint diese Deliktsumme insgesamt gering – zumal man sie mit den schätzungsweise weit über 50 Milliarden Dollar vergleichen muss, welche das kalifornische Unternehmen Javelin Strategy & Research als Deliktsumme von allen Formen von Identitätsdiebstahl allein in den USA nennt. Klassischer Fall ist hier beispielsweise das Stehlen einer Geldbörse, in der Kreditkarte wie Code gemeinsam aufbewahrt werden. Haupthindernis für den oben beschriebenen Man-in-the-Middle-Angriff ist, dass die Angreifer ein unverdächtiges Konto für die Überweisung der zu stehlenden Gelder zur Verfügung stellen müssen. Solche Konten können meist nur einmal benutzt werden. Auch darf nicht zu viel Geld auf diese Konten überwiesen werden, da Banken verdächtig hohe Zahlungen auf sonst nicht beanspruchte Konten mittels Plausibilitäts-Algorithmen erkennen können. Da immer mehr zahlungspflichtige Dienste im Internet vorhanden sind (z.B. adult services, Online-Casinos etc.) ist absehbar, dass der Geldübertag via solche Dienste viel einfacher abgewickelt werden kann und damit die Deliktsummen rasch steigen könnten.
Das oben beschriebene Angriffskonzept macht deutlich, dass der Fokus auf die Authentifizierung der Person unzureichend ist, um Informationssicherheit im Internet zu gewährleisten. Bei allen Internet-gestützen Transaktionen – sei dies nun E-Banking, der Kauf von Büchern auf Amazon oder logistische Kommunikation im Rahmen einer Supply Chain – muss nicht nur gesichert werden, wer eine Transaktion durchführt, sondern auch, welche Transaktion diese Person umsetzen will. Dabei macht es Sinn, die relevante Entscheidung für eine Transaktion an ein Gerät zu knüpfen, welches kein herkömmlicher und damit über das Netz angreifbarer Computer ist. Zudem ist ein Klick auf ein „OK“, das auf dem Bildschirm erscheint, in der heutigen Computerwelt derart weit verbreitet und taucht in derart unterschiedlichen Kontexten auf, dass verantwortungs-relevante Entscheide nicht ausschliesslich mittels Maus und Tastatur umgesetzt werden sollten. Der Nutzer muss durch einen physisch ausgezeichneten Vorgang wissen, dass er einen Entscheid trifft, für den er auch die Verantwortung zu tragen hat.
Lösung einer Schweizer Firma
Eine Schweizer Firma – ein Spin-Off der Berner Fachhochschule in Biel – hat für dieses Problem eine Lösung präsentiert, welche in den vergangenen Wochen einiges Aufsehen erregt hat. Das Bieler Unternehmen AXSionics entwickelte eine Karte, welche in der Lage ist, wie oben gefordert, Transaktionen zu authentisieren. Die Karte ist ein geschlossenes System in Kreditkartenform, auf dem sich nur bereits vorinstallierte Software ausführen lässt, die sich wegen ihrer geringen Komplexität sehr sicher machen lässt und mit der Aussenwelt nur über simple und wohl definierte Protokolle in Kontakt tritt. Die Karte besteht aus einem Fingerabdrucksensor für die Authentifizierung des Kartenbesitzers, einem optischen Sensor, einem Display und einem Mikroprozessor.
Die Funktionsweise der Karte kann am bereits erwähnten Beispiel des E-Banking illustriert werden. Der Nutzer ist mit einer solchen Karte und die Bank ist mit einer entsprechenden Software (ohne auf die Details einzugehen) ausgerüstet. Der Nutzer tritt mit der Bank in Kontakt und tätigt seine Transaktionen. Diese werden nun von der Bank in ein optisches Muster kodiert und auf dem Bildschirm des Rechners des Bankkunden angezeigt. Der Nutzer authentifiziert sich gegenüber der Karte mit seinem Fingerabdruck und hält die Karte an den Bildschirm. Deren optischen Sensor liest das übertragene Muster, welche die Transaktion verschlüsselt enthält. Auf dem Display der Karte, die über den richtigen Schlüssel zur Dekodierung der Nachricht verfügt, kann der Nutzer nun alle vorgenommenen Transaktionen, so, wie diese von der Bank registriert wurden, im Klartext lesen. Auf diese Weise prüft er, ob die Informationen der Bank über seine Transaktion tatsächlich seinen Absichten entsprechen und er kann dies dann bestätigen.
Beim diesem Vorgang spielt die Sicherheit des Computers des Nutzers keine Rolle mehr, da der Computer nur noch zum Übertragen des Musters benutzt wird. Der man in the middle kann zwar aktiv werden, sein Wirken (das Umleiten der Transaktion) wird aber sofort erkannt. Die Sicherheit des Vorgangs wird alleine durch die Karte gewährleist. Dieses Verfahren sichert also die Authentizität der Person wie der Transaktion und macht dies mit einem Gerät, das einfach zu bedienen ist, dessen Gebrauch dem Nutzer klar macht, dass er nun einen verantwortungs-relevanten Entscheid trifft und das in keinerlei Gefahr ist, durch irgendwelche Trojaner oder andere Malware verseucht zu werden.
Dass solche Systeme wie die Lösung von AXSionics entwickelt und nun zur Anwendung kommen, weist auf einen fundamentalen Wandel in der Informationssicherheits-Landschaft hin. Solche abgeschotteten und einfach zu bedienenden Systeme sind nicht nur lediglich verbesserte Strichcode-Listen, sondern bilden ihrerseits eine Plattform für zahlreiche sicherheitsrelevante Anwendungen. Diese Systeme können von unterschiedlichen Unternehmen (Banken, Versicherungen, E-Commerce-Unternehmen etc.) parallel genutzt werden und bieten gar Raum für neue Dienstleistungen, die kritisch auf Informationssicherheit angewiesen sind – beispielsweise ein Internet-Kreditsystem. Der Computer mag in diesem Spiel kein vertrauenswürdiger Partner sein – doch nötig ist das nicht mehr.