Bank of America will besser vor Phishing und Account-Diebstahl schützen
Die Bank of America führt eine zusätzlich abgesicherte User-Anmeldung und eine Authentifizierung der Bank-Server gegenüber den Anwendern ein. Auch andere Banken versuchen, Phishern mit erweiterten Sicherheitsfunktionen entgegenzuarbeiten.
Kurz nachdem der Bank of America Daten von rund 60.000 Kunden gestohlen wurden, führt die Bank nunmehr ein neues Sicherheitssystem ein. Der SiteKey genannte Service soll sicherstellen, dass geklaute Account-Daten nicht zur Anmeldung genutzt werden können; ebenso will die Bank damit gewährleisten, dass Usern nicht über Phishing-Mails ein falscher Server, der gar nicht zur Bank of America gehört, für die Eingabe von Account-Daten untergejubelt werden kann. Für SiteKey kooperiert die Bank of America mit der Firma Passmark Security, die bereits seit längerem Sicherheitslösungen etwa für Zweiwege-Authentifizierung anbietet.
Bei SiteKey erfolgt die Anmeldung über einen mehrstufigen Prozess. Zum einen versucht der Dienst, den PC des Anwenders eindeutig zu identifizieren -- dafür wird ein Cookie genutzt, das nur ein Server mit einen dazu passenden Sicherheitszertifikat lesen kann. Benutzt der Anwender einen PC, auf dem dieses Cookie nicht vorhanden ist, wird er mit einer von drei beim Anlegen des Banking-Accounts von ihm zu bestimmenden Fragen konfrontiert. Diese Frage muss er beantworten, bevor die eigentlichen Account-Daten für das Online-Banking abgefragt werden. Um zudem gegenüber dem User zu gewährleisten, dass er sich an einem zuständigen Server der Bank of America anmeldet, muss der Anwender beim Anlegen des Accounts eine Floskel eingeben und ein beliebiges Bild aus einer Auswahl von hunderttausenden Bildern festlegen. Ist der User auf dem Server der Bank of America angemeldet, werden ihm die festgelegte Floskel und das ausgewählte Bild auf Anforderung angezeigt, um die Identität des Servers zu beweisen.
Die Bank of America hat rund 13,2 Millionen Kunden, die Online-Banking nutzen. SiteKey soll nach und nach für alle Kunden eingeführt werden, der Dienst ist kostenlos. Mitte Juni soll es im US-Bundesstaat Tennessee losgehen; anschließend sollen bis zum Ende des Jahres auch die Kunden aus anderen US-Bundesstaaten nach und nach SiteKey nutzen können. Auch andere Banken versuchen mit erweiterten Sicherheitsabfagen, das Problem des Identitäsklaus und des Phishings in den Griff zu bekommen -- meist wird dabei aber auf ein Hardware-Token oder änliche Methoden gesetzt. So nutzt die GE Money Bank etwa so genannte eTAN-Geräte, die anhand von für eine einzelne Transaktion erzeugten Kontrollnummern beim Anwender eine Antwortnummer zur Bestätigung des Vorgangs ausgeben. Die Postbank wiederum schränkt beispielsweise den Höchstbetrag für Überweisungen ein und will etwas mehr Sicherheit durch Abfrage von bestimmten TANs nach dem Zufallsprinzip gewährleisten. Alternativ bietet die Postbank auch so genannte mTANs, kurzzeitig gültige Transaktionsnummern, die pro Vorgang per SMS verschickt werden. (jk)
