Spezialbank Investec: Authen­tifizierungs­technologie für eine fort­geschrittene mobile App

Als Spezialbank und Asset Manager mit einer ausgewählten Klientel legt Investec großen Wert auf individuelle Kundenbeziehungen. Investec Kunden sind anspruchsvoll, bringen sich aktiv ein und nutzen mobile Lösungen. Sie erwarten von ihrer Bank eine einfache und einheitliche Authentifizierungs-Lösung für die sichere Abwicklung aller Bankgeschäfte – in jedem Land, für jeden Self-Service-Kanal und alle Abteilungen ihrer Bank. Anbieter Entersekt erzählt, wie es dazu kam und was das Unternehmen anbieten konnte.

von Gerhard Oosthuizen, CIO, Entersekt

Investec machte sich bereits 2013 auf die Suche nach einer Lösung, die einerseits die Sicherheit des Online-Bankings erhöhen und gleichzeitig diese Kundenerwartungen übertreffen sollte. Die Lösung sollte weltweit alle Beteiligten schützen: Kunden der verschiedenen Abteilungen, Privatbankiers und Intermediäre sowie Mitarbeiter. Darüber hinaus sollte sie alle Self-Service-Kanäle über eine einzige Plattform abdecken.

Es gab allerdings eine Herausforderung: Die Entwicklung der mobilen App von Investec war bereits weit fortgeschritten. Das Entwicklungsteam hatte für die Mobile Security Lösung die gleichen Fingerabdruck- und Virenschutz-Technologien genutzt wie für das Online-Banking.

Technologien zum Schutz von PCs sind jedoch auf mobilen Geräten längst nicht so effektiv. Fingerabdruck- und Viren­schutzlösun­gen benötigen ei­ne Vielzahl an In­formationen, die auf dem Mobilgerät nur rudimentär vorhan­den sind. Alle mobilen Betriebssysteme iso­lie­ren aus Si­cherheits­grün­den die Ap­plikationen vonein­an­der. Damit können Apps jedoch nur sehr we­nige In­formationen aus ih­rer System­umgebung nut­zen, die für al­le Apps auf dem Mobilgerät offen zugänglich sind. Das wieder­um birgt die Gefahr, dass die­se In­formationen in ei­nen Simu­la­tor ko­piert und so z.B. auch der Fingerabdruck dupliziert wer­den könnte. Außerdem wird bei jeder Verände­rung auf dem Mobilgerät auch der Fingerabdruck geändert. Für den Nutzer bedeu­tet das meist, dass er sich bei sei­ner mobilen App nach ei­ner Verände­rung neu regis­trie­ren muss.

Die Lösung: Eine unverwechselbare Geräte-ID mithilfe von digitalen Zertifikaten.

Mit dem Online-Banking beginnt der schrittweise Rollout des neuen Systems

Investec nutzte die Entersekt Technologie Anfang 2014 zunächst, um ihren südafrikanischen Kunden einen nutzerfreundlichen Schutz für das Online Banking zur Verfügung zu stellen. Diese mobile, Zwei-Faktoren-Authentifizierungs-Lösung basierte auf „Transakt“. Die Authentifizierung nutzt Push-USSD für einen sitzungsbasierten Datenaustausch in Echtzeit zwischen der Bank und einem beliebigen GSM-Endgerät.

Nutzer mussten nicht länger Einmalpasswörter (OTP = One Time Password) per SMS erhalten und dann in ihren Browser eintippen. Stattdessen konnten sie nun Transaktionen mit einem einfachen Tippen auf „Annehmen“ oder „Ablehnen“ auf ihrem Mobilgerät autorisieren. Der Authentifizierungsprozess war nun zudem komplett „out-of-band“, d.h. er erfolgte über einen zweiten, separaten Kanal. Es wird dabei eine zertifikatsbasierte Ende-zu-Ende-Verschlüsselung der Kommunikationskanäle zwischen Mobilgerät des Kunden und Bankserver hergestellt.

Da die Kommunikation nicht mehr über den Browser stattfindet, sondern über einen komplett separaten Kommunikationskanal, sind jetzt auch Phishing-Angriffe oder andere Betrugsversuche wie Man-in-the-Middle-Angriffe oder Tastatur-Logging-Attacken nicht mehr möglich.

Zweiter Schritt: Ablösung von Hardware-Token für den Zugriff auf interne Netzwerke

Als nächster Schritt wurde der Zugriff der Mitarbeiter auf interne Netzwerke mit der Lösung abgesichert. Für den Zugriff auf sensible Netzwerkbereiche müssen sie sich einloggen und legitimieren. Der Pilotversuch sprach sich im Haus schnell herum und immer mehr Mitarbeiter wollten in der Testphase mit dabei sein. Zuvor nutzen sie Hardware-Token zur Generierung von Eimalpasswörtern, um sich einzuloggen. Zu oft wurden diese kleinen Geräte allerdings einfach zu Hause vergessen.

Das passierte mit dem Mobiltelefon, über das sich die Mitarbeiter mit der neuen App einloggen konnten, nun nicht mehr, denn dieses Gerät hat man stets zur Hand. Heute autorisieren sich alle Investec-Mitarbeiter über Transakt mit einer einfachen Bestätigung auf ihrem Mobiltelefon und Hardware-Token gehören der Vergangenheit an. Die Umsetzung und die Einbindung in das interne Log-in-System konnte deshalb so schnell und reibungslos umgesetzt werden, weil das Unternehmen darauf achtet, bestehende Industrie-Standards zu nutzen und seine Produkte so zu konzipieren, dass sie problemlos in bestehende Systeme integriert werden können. So konnte auch im Falle Investec die Transakt-Sicherheits-App zügig mit einer standardisierten RADIUS Integration an das bestehende interne Log-in System angebunden werden.

Schritt drei: Ausbau der Transakt-Plattform zu einem einheitlichen digitalen Sicherheitskanal für alle Nutzer

Ein Jahr später, in 2015, integrierte Investec dann Transakt mithilfe eines Software Development Kits in seine Mobile-Banking-App. Für die südafrikanischen Kunden wurde einfach die vorhandene USSD-basierte Push-Lösung ersetzt. Die Kunden in Großbritannien erhielten jedoch zu ersten Mal Zugang zu der neuen Authentifikationslösung. Heute nutzen alle Investec-Kunden weltweit diese Lösung und müssen sich nicht länger mit den Einschränkungen von SMS-Einmalpasswörtern abfinden. Ein weiterer Vorteil für Investec-Kunden: Sie müssen ihr Mobilgerät nicht bei jedem System-Update neu registrieren oder legitimieren. Die Bank kann jederzeit neue Produkte und Angebote einbauen, ohne dass Kunden in irgendeiner Weise aktiv werden müssen. Dank der zuverlässigen und geschützten Verbindung zu seinen Kunden kann Investec jederzeit mit neuen Produkte seine digitalen Angebote ausbauen.

Mit der Entersekt-Technologie hatten wir die Möglichkeit, die Nutzerfreundlichkeit signifikant zu verbessern und gleichzeitig die Sicherheit im Mobile-Banking zu erhöhen. Mit dem Transakt-SDK können wir unseren Mobile-Banking-Kunden die gleiche Funktionalität bieten, die sie gewohnt sind, und diese auch unseren Kunden in Großbritannien anbieten, die gleichzeitig von einer verbesserten Sicherheit profitieren. Entersekt hat eine sehr überzeugende Sicherheits-Roadmap, deshalb sind wir zuversichtlich, dass wir durch die Zusammenarbeit Betrügern immer einen Schritt voraus sein werden.“

Lyndon Subroyen, Global Head of Digital, Investec

Zertifikatsbasierte Technologie

Die Lösung basiert auf einer mobilen Zertifikatstechnologie. So setzt das Unternehmen auf jedem mobilen Endgerät zur individuellen Identifizierung das digitale Zertifikat X509 ein. Damit wird das Gerät zu einem sicheren „zweiten“ Faktor (Faktor „Besitz“). Die Kommunikation zwischen der Bank und dem mobilen Endgerät zur Authentifizierung einer Transaktion erfolgt mittels einer unabhängigen, vollständig verschlüsselten (FIPS 140-2 Level 3) Verbindung. Keine Drittpartei kann auf diese Kommunikation zugreifen. Der vom kryptografischen Stack aufgebaute Kommunikationskanal ist vollkommen getrennt vom konventionellen TLS-Kanal, der vom Betriebssystem des mobilen Gerätes initiiert wird. Dadurch können sogar Transaktionen, die vom selben Mobilgerät ausgehen, Out-of-Band authentifiziert werden.

Statt auf limitierten Möglichkeiten von Fingerabdruck- und Antivirus-Technologie zur Absicherung zurückzugreifen, generiert die Technologie einen öffentlichen und einen privaten Schlüssel auf jedem registrierten Endgerät. Damit wird das Gerät eindeutig identifiziert und so zu einem vertrauenswürdigen zweiten Faktor für die Authentifizierung. Authentifizierungsaufforderungen, die auf dem Mobiltelefon eingehen, werden auf dem Gerät verifiziert, so dass Investec-Kunden den Absender sicher erkennen.

Die Antwort der Kunden mit einem Tipp auf „Annehmen“ oder „Ablehnen“ wird mit dem privaten Schlüssel des Endgeräts signiert und ist damit ein verlässlicher Nachweis. Die gesamte Kommunikation zwischen dem Endgerät und der Bank ist Ende-zu-Ende verschlüsselt. Damit sie während der Übertragung weder abgefangen, noch manipuliert werden kann.aj