Sicheres Onlinebanking mit dem Mobiltelefon

Tübinger Wissenschaftler melden Patent auf sicheres Banking per Fotomobiltelefon

Zwei Informatiker der Universität Tübingen haben ein Verfahren entwickelt, das sicheres Onlinebanking unter Einbeziehung eines Mobiltelefons mit Kamera erlaubt. Über den Umweg eines grafischen Codes, der mit dem Handy fotografiert und in eine virtuelle Tastatur umgesetzt wird, wird ein möglicherweise auf dem Computer lauernder Trojaner ausgetrickst.

Zweck ihres Fotohandy-PIN/TAN-Verfahrens sei es, Trojaner daran zu hindern, Zugangsdaten zum Onlinebanking, dem E-Mail-Postfach oder zu Nutzerkonten bei E-Commerce-Anbietern auszulesen, schreiben die Tübinger Informatiker Bernd Borchert und Klaus Reinhardt auf der Website ihre Projektes.

Video: So funktioniert das Fotohandy-PIN-Verfahren

Für den sicheren Zugang zu einem Onlinekonto braucht der Nutzer ein Mobiltelefon mit einer Kamera. Auf dem Gerät muss das Programm "Fotohandy-PIN" installiert sein, das die Tübinger kostenlos im Internet zur Verfügung stellen. Es basiert auf Googles Barcode-Leseprogramm Zxing und läuft nach Angaben der Entwickler auf verschiedenen Geräten von Sony Ericsson und Nokia. Als drittes Element für das Verfahren braucht es einen kryptographischen Schlüssel. Diesen bekommen Nutzer in Form eines grafischen 2D-Codes von der Bank auf Papier zugeschickt. Den liest der Nutzer in die Software auf dem Telefon ein, indem er ihn fotografiert.

Will sich der Nutzer mit seiner persönlichen Kennnummer (Persönliche Identifikationsnummer, PIN-Code) in sein Bankkonto einloggen, erscheinen auf seinem PC-Bildschirm ein weiterer 2D-Code, ein Eingabefeld für die PIN sowie eine zehnstellige Zifferntastatur, deren Tasten nicht beschriftet sind.

Die Software auf dem Mobiltelefon verrät, welche dieser nicht beschrifteten Tasten der Nutzer drücken muss. Dazu fotografiert dieser zunächst den Code. Anhand des zuvor eingelesenen Schlüssels generiert die Software auf dem Mobiltelefon eine Matrix, auf deren Feldern die zehn verschiedenen Ziffern in einer beliebigen Reihenfolge angeordnet sind. Entsprechend den Vorgaben der Matrix auf dem Handydisplay gibt der Nutzer nun über die leere Tastatur auf dem PC-Bildschirm seine PIN ein und bekommt Zugang zu seinem Bankkonto. Ein auf dem Computer installierter Trojaner kann die Eingabe zwar registrieren, durch das leere Eingabefeld bleibt jedoch unklar, wofür die Eingaben stehen.

Hat der Nutzer seinen Überweisungsauftrag ausgefüllt, gibt er auf die gleiche Weise die Transaktionsnummer (TAN) ein. So kann ein Trojaner den Überweisungsauftrag nicht fälschen und den Betrag auf ein anderes Konto umleiten.

Die Universität von Tübingen hat ein Patent auf das von Borchert und Reinhard entwickelte System angemeldet.

Kürzlich haben Entwickler von IBM einen USB-Stick vorgestellt, der ebenfalls sicheres Onlinebanking von einem unsicheren Computer aus ermöglichen soll. Das Gerät fungiert als Proxy, der eine sichere Verbindung zum Bankingserver herstellt.