Bankdaten gehören zu den sensibelsten Informationen, die überhaupt über das Internet verschickt werden. 15 Prozent der Internetnutzer lehnen laut einer aktuellen Umfrage Online-Banking aufgrund von Sicherheitsbedenken ab. 43 Prozent nutzen es, allerdings mit einem mulmigen Gefühl. Eine Arbeitsgruppe der Fakultät für Informatik der Universität Tübingen hat nun ein neues Verfahren zum Patent angemeldet, das sicheres Online-Banking ermöglichen soll. Es nutzt ein Fotohandy. Der Informatikstudent Thomas Flamm erklärt, wie die Anwendung funktioniert und zeigt am Computer eine Banking-Seite, auf der er sich einwählen will. Die unterscheidet sich von einer normalen Bankenhomepage
"Im Browser wird ein 2-D-Barcode dargestellt und ein leeres Eingabefeld."
Dieser Barcode besteht nicht wie der Strichcode auf vielen Alltagsprodukten aus dicken und dünnen Linien. Es ist vielmehr ein Feld von zirka drei auf drei Zentimetern mit vielen winzigen Punkten. Er verwendet eine Fläche, ist also zweidimensional. Neben diesem Code ist auf dem Bildschirm ein Tastenfeld. Dort gibt Flamm seine Geheimnummer, die Pin ein.
"Mit Hilfe des leeren Eingabefelds muss man seine Pin eingeben. Die Pin kann man aber erst eingeben, wenn man mit einem Fotohandy den 2-D-Barcode abfotografiert hat. Einen Moment , ich öffne das kurz, also dann muss man hier den Barcode abfotografieren."
Auf dem Fotohandy, das Flamm benutzt, ist eine Software der Bank. Die sorgt dafür, dass anschließend auf dem Display des Handys eine Tastatur angezeigt wird. Die sieht aus die eines Telefons, aber die Ziffern sind vertauscht. Flamm:
"Dann bekomme ich eine Zehnertastatur auf dem Handy angezeigt, auf der sind die Ziffern vertauscht, also nicht von 1 bis 0 durchnummeriert, sondern in irgendeiner Reihenfolge abhängig vom Inhalt des Barcodes."
Der Barcode entspricht also einer bestimmten Anordnung der Ziffern auf demjenigen Eingabefeld, das der Benutzer auf dem Display des Handys sieht. Während auf einer normalen Telefontastatur die 6 immer rechts in der Mitte ist, ordnet die Anwendung die 10 Ziffern willkürlich an. Der Benutzer muss die Ziffern dann auf dem Tastenfeld eingeben, dass er auf dem Computerbildschirm sieht, und zwar genau an den Positionen, an denen die Ziffern auf der Anzeige im Handy-Display positioniert sind. Der Computer des Diensteanbieters, also zum Beispiel einer Bank, kennt den dazugehörigen Barcode und weiß, welche Stelle auf der Tastatur welcher Ziffer entsprechen muss. Ausgedacht haben sich das Verfahren Bernd Borchert und Klaus Reinhardt. Beide sind Forscher am Institut für Informatik der Uni Tübingen. Sie haben sich überlegt, wie man Verfahren der visuellen Kryptographie in der Praxis anwenden kann. Das hat sich als kompliziert erwiesen, einige Prinzipien lassen sich aber verwenden, so Borchert:
"Was wir abgeguckt haben ist, dass wenn man dem Benutzer vertauschte Schaltflächen zeigt, deren Vertauschung er kennt oder deren Beschriftung er kennt und er dass dann am Rechner eingibt, dann kann der mögliche Trojaner auf dem Rechner zwar diese Mausklicks erkennen aber nicht die Bedeutung der Mausklicks."
Das Verfahren könnte durchaus Chancen haben und ist bereits zum Patent angemeldet. Sicherheitsexperten wie Sven Türpe vom Fraunhofer-Institut für sichere Informationstechnologie in Darmstadt gefällt die Idee, das Handy zu benutzen. Es ermöglicht eine Trennung: Wenn ein Trojaner auf dem PC ist, kann er nur einen Teil der für eine Überweisung notwendigen Informationen abfangen. Das gleiche gilt beim Handy. Auch dort sind nicht alle Informationen zu finden. Ähnlich arbeiten Tan-Generatoren. Das sind kleine Apparate, die Transaktionsnummern auf Anfrage erzeugen. Die müssen sich die Benutzer allerdings extra anschaffen. Ein bereits vorhandenes Gerät wie ein Fotohandy könnte einen Komfortgewinn bedeuten, so Türpe. Das Verfahren sei aus technischer Sicht interessant, urteilt auch Lutz Bleyer, Leiter zentrale Security der Fiducia IT AG. Sein Unternehmen entwickelt IT-Lösungen für Genossenschaftsbanken. Mit einigen Banken haben die Tübinger Tüftler schon gesprochen. Mittlerweile sind sie mit ihrer Idee nicht mehr alleine. Auch die Commerzbank probiert derzeit aus, ob sich das Abfotografieren eines farbigen Barcodes mit dem Mobiltelefon als Ersatz für die Eingabe einer Transaktionsnummer eignet. Sie verwendet dazu ein ähnliches Verfahren des britischen Sicherheitsspezialisten Cronto. Für die Tübinger kann das ein Vorteil sein: Das Patent ist angemeldet, und ein erfolgreicher Versuch könnte die Akzeptanz für ihre Idee erhöhen.
"Im Browser wird ein 2-D-Barcode dargestellt und ein leeres Eingabefeld."
Dieser Barcode besteht nicht wie der Strichcode auf vielen Alltagsprodukten aus dicken und dünnen Linien. Es ist vielmehr ein Feld von zirka drei auf drei Zentimetern mit vielen winzigen Punkten. Er verwendet eine Fläche, ist also zweidimensional. Neben diesem Code ist auf dem Bildschirm ein Tastenfeld. Dort gibt Flamm seine Geheimnummer, die Pin ein.
"Mit Hilfe des leeren Eingabefelds muss man seine Pin eingeben. Die Pin kann man aber erst eingeben, wenn man mit einem Fotohandy den 2-D-Barcode abfotografiert hat. Einen Moment , ich öffne das kurz, also dann muss man hier den Barcode abfotografieren."
Auf dem Fotohandy, das Flamm benutzt, ist eine Software der Bank. Die sorgt dafür, dass anschließend auf dem Display des Handys eine Tastatur angezeigt wird. Die sieht aus die eines Telefons, aber die Ziffern sind vertauscht. Flamm:
"Dann bekomme ich eine Zehnertastatur auf dem Handy angezeigt, auf der sind die Ziffern vertauscht, also nicht von 1 bis 0 durchnummeriert, sondern in irgendeiner Reihenfolge abhängig vom Inhalt des Barcodes."
Der Barcode entspricht also einer bestimmten Anordnung der Ziffern auf demjenigen Eingabefeld, das der Benutzer auf dem Display des Handys sieht. Während auf einer normalen Telefontastatur die 6 immer rechts in der Mitte ist, ordnet die Anwendung die 10 Ziffern willkürlich an. Der Benutzer muss die Ziffern dann auf dem Tastenfeld eingeben, dass er auf dem Computerbildschirm sieht, und zwar genau an den Positionen, an denen die Ziffern auf der Anzeige im Handy-Display positioniert sind. Der Computer des Diensteanbieters, also zum Beispiel einer Bank, kennt den dazugehörigen Barcode und weiß, welche Stelle auf der Tastatur welcher Ziffer entsprechen muss. Ausgedacht haben sich das Verfahren Bernd Borchert und Klaus Reinhardt. Beide sind Forscher am Institut für Informatik der Uni Tübingen. Sie haben sich überlegt, wie man Verfahren der visuellen Kryptographie in der Praxis anwenden kann. Das hat sich als kompliziert erwiesen, einige Prinzipien lassen sich aber verwenden, so Borchert:
"Was wir abgeguckt haben ist, dass wenn man dem Benutzer vertauschte Schaltflächen zeigt, deren Vertauschung er kennt oder deren Beschriftung er kennt und er dass dann am Rechner eingibt, dann kann der mögliche Trojaner auf dem Rechner zwar diese Mausklicks erkennen aber nicht die Bedeutung der Mausklicks."
Das Verfahren könnte durchaus Chancen haben und ist bereits zum Patent angemeldet. Sicherheitsexperten wie Sven Türpe vom Fraunhofer-Institut für sichere Informationstechnologie in Darmstadt gefällt die Idee, das Handy zu benutzen. Es ermöglicht eine Trennung: Wenn ein Trojaner auf dem PC ist, kann er nur einen Teil der für eine Überweisung notwendigen Informationen abfangen. Das gleiche gilt beim Handy. Auch dort sind nicht alle Informationen zu finden. Ähnlich arbeiten Tan-Generatoren. Das sind kleine Apparate, die Transaktionsnummern auf Anfrage erzeugen. Die müssen sich die Benutzer allerdings extra anschaffen. Ein bereits vorhandenes Gerät wie ein Fotohandy könnte einen Komfortgewinn bedeuten, so Türpe. Das Verfahren sei aus technischer Sicht interessant, urteilt auch Lutz Bleyer, Leiter zentrale Security der Fiducia IT AG. Sein Unternehmen entwickelt IT-Lösungen für Genossenschaftsbanken. Mit einigen Banken haben die Tübinger Tüftler schon gesprochen. Mittlerweile sind sie mit ihrer Idee nicht mehr alleine. Auch die Commerzbank probiert derzeit aus, ob sich das Abfotografieren eines farbigen Barcodes mit dem Mobiltelefon als Ersatz für die Eingabe einer Transaktionsnummer eignet. Sie verwendet dazu ein ähnliches Verfahren des britischen Sicherheitsspezialisten Cronto. Für die Tübinger kann das ein Vorteil sein: Das Patent ist angemeldet, und ein erfolgreicher Versuch könnte die Akzeptanz für ihre Idee erhöhen.