USB-Stick für sicheres Online-Banking

Dieses Thema im Forum "Netzwelt" wurde erstellt von zwa3hnn, 29. Oktober 2008 .

Schlagworte:
  1. 29. Oktober 2008
    Von IBM entwickelter Dongle schützt vor Malware und Man-in-the-Middle-Attacken
    Der Hersteller IBM hat einen Dongle entwickelt, der sicheres Online-Banking auch von einem Computer ermöglicht, der mit Malware oder Viren infiziert ist. Das Gerät erlaubt sicheres Einloggen auf dem Bankingserver sowie Überprüfung und Bestätigung einer Transaktion.

    Das Gerät, das die Bezeichnung "Zone Trusted Information Channel" (ZTIC) trägt, wird wie ein Speicherstick an die USB-Schnittstelle des Computers angeschlossen und baut eine direkte Verbindung zum Server der Bank auf. Das soll sicheres Onlinebanking auch dann ermöglichen, wenn der Computer mit Malware infiziert oder die Verbindung zum Bankingserver gekapert sein sollte.

    Die Idee der IBM-Entwickler war, alle sicherheitsrelevanten Anwendungen, wie die Eingabe eines PIN-Codes während des Einloggens, oder die Bestätigung einer Transaktion vom Computer des Nutzers, auf den ZTIC auszulagern. Der ZTIC fungiert als Proxy, der eine SSL-Session zum Bankingserver aufbaut. Dann startet der Nutzer den Browser und ruft die Homebankingseite auf. Die Daten werden vom Browser über die sichere Verbindung ausgetauscht. Da die SSL-Session mit einem Schlüssel geschützt wird, der auf dem Stick gespeichert ist, soll die Verbindung besser gegen Angriffe geschützt sein. "Angesichts einer immer professioneller operierenden Hackerszene wurde uns klar, dass Authentisierungsverfahren, die ausschließlich auf PC-Software basieren, potenziell gefährdet sind und es neue, innovative Ansätze braucht, um die Nase vorn zu haben. Das gab den Startschuss für die Entwicklung des ZTICs", erklärt Peter Buhler, Manager Computer Science beim IBM-Forschungslabor in Zürich, wo der ZTIC entwickelt wurde.

    Bild
    ZTIC​

    ZTIC verfügt über einen eigenen Bildschirm und über zwei Tasten, über die der Nutzer eine Transaktion bestätigen oder ablehnen kann. Der Nutzer muss also eine Transaktion nicht mehr nur wie bisher im Browser, sondern auch zusätzlich an dem Stick bestätigen. Auf dem Display sieht er, welche Informationen übertragen werden, also welcher Betrag auf welches Konto überweisen werden soll. Sind die Angaben im Browser und auf dem ZTIC-Display nicht identisch, weil die Überweisung über eine Man-In-The-Middle-Attacke umgeleitet worden ist, kann der Nutzer die Transaktion abbrechen. "Aufgrund seiner geschützten Verbindung zum Bankserver, ist der ZTIC ein 'sicheres Fenster' zum Server", so Buhler.

    ZTIC ist nach Angaben von IBM mit allen Betriebssystemen kompatibel und läuft mit entsprechender Konfiguration durch eine Bank auf dem heimischen Computer, ohne dass der Nutzer weitere Software installieren muss. IBM stellt interessierten Banken Prototypen für Pilotanwendungen zur Verfügung.


    quelle: Golem.de
     
    + Multi-Zitat Zitieren
  3. 29. Oktober 2008
    AW: USB-Stick für sicheres Online-Banking

    Denke wird sich als schwer erweisen, genauso wie mit Dongles... ;D
    Ausserdem ist das ja keine Software im eigentlichen Sinne, sondern sowas wie ein OS ;D
     
    + Multi-Zitat Zitieren
  4. 29. Oktober 2008
    AW: USB-Stick für sicheres Online-Banking

    nja das is mal ne Aussage ^^ Ein OS ist natürlich keine SOftware oder wie? Was denn dann Hardware mh ne gibst da noch was drittes XD.

    Aber b2t
    sowas finde ich echt gut, da könnte man sich mal überlegen evt. doch mit onlinebanking anzufangen. Super idee aber wie schon gesagt wurde irgendwie kann man die teile aus umgehen. Geht sicher, aber es ist ja doch um einiges schwerer also hne.
     
    + Multi-Zitat Zitieren
  5. 29. Oktober 2008
    AW: USB-Stick für sicheres Online-Banking

    Ich denke du weisst genau wie ich das meinte... Dass ihr Leute immer so provokant sein müsst, was war an der Aussage jetzt nicht zu verstehen? Da steht "keine Software im eigentlichen Sinne", was ja wohl darauf schließen lässt dass es jetz zB keine WINDOWS oder LINUX oder MACOSX Anwendung ist... -.- Klug r, Mann-.-
     
    + Multi-Zitat Zitieren
  6. 30. Oktober 2008
    AW: USB-Stick für sicheres Online-Banking

    Naja die frage ist wie sicher ist das ding wirklich?

    was ist z.b. mit einem keylogger auf dem pc? man muss sich ja mit dem dongle auch normal im browser auf der website einloggen, und da es kein bootbares os auf dem stick gibt is ja sowas nit auszuschließen.
    natürlich gäbe es die möglichkeit transaktionen nur über den dongle verfügbar zu machen, so dass man ohne dongle keine verbindung aufbauen kann, bzw keine transaktion zugelassen wird. jedoch klingt das so, als wenn der "key" oder wasauchimmer den stick unverwechselbar macht softwaremäßig auf dem stick wäre [glaube kaum, dass ibm die sticks nur auf nachfrage baut] - somit ließen sich diese keys sicher dublizieren und somit wäre der sicherheitsgewinn nicht mehr vorhanden. wobei man auch da erst an den stick kommen muss, was zugegebener maßen schwerer ist, außer der key lässt sich mit entsprechender software vllt direkt am pc der opfer auslesen und übers internet übertragen.

    fragen über fragen, gibt bei sowas sicher vieles zu beachten, aber die werden sich schon gedanken gemacht haben *gg*. aber wie alles vom menschen erschaffene ist nichts 100% sicher. es dauert nur immer unterschiedlich lang bis etwas schiefgeht

    mal sehen wie erfolgreich dieser stick nach der prototypenphase wird. bin gespannt
     
    + Multi-Zitat Zitieren
  7. 30. Oktober 2008
    AW: USB-Stick für sicheres Online-Banking

    Ich finde das hört sich auch logisch an. Sicher wird der umgebar sein, aber ich denke nur sehr schwer.
    Wenn der nicht zu teuer ist, hol ich mir vllt auch einen.
    Aber was ist wenn der stick in falsche hände gerät? Kann man von dem stick pers. Daten lesen?
     
    + Multi-Zitat Zitieren
  8. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.

Auf dieses Thema antworten