Workshop
23.11.2018, 13:58 Uhr
Das Smartphone als ID fürs E-Banking oder die Steuererklärung nutzen
Tschüss, gelbes Kästchen! Die Mobile ID macht das einloggen bei PostFinance, Swisscom oder manchen Ämtern bequemer. Aber wie funktionierts?
Besonders PostFinance-Kunden sollten die Ohren spitzen: Werden Sie das unsägliche gelbe Kästchen fürs E-Banking-Login los! Wenn Sie eine Mobile-ID-fähige SIM-Karte in Ihrem Smartphone haben, vereinfacht sich das Einloggen in Ihr Postkonto erheblich. Selbiges gilt auch für andere Institutionen, die Mobile ID bereits eingeführt haben. Das wären bisher nebst PostFinance auch der Kanton Zürich (zum Beispiel für die Online-Steuererklärung) sowie die Swisscom beim Login zum Kundenportal. Ferner sind auch grössere Schweizer Firmen an Bord, die selbst Unternehmens-Software entwickeln, etwa Abacus, Ergon und Zühlke. Das lässt hoffen, dass in nächster Zeit immer mehr Onlineportale mit dem neuen Einwahlverfahren ausgestattet werden.
Swisscom hat bei über einer Million Kunden die alten SIM-Karten bereits durch neue mit Mobile ID ersetzt. Sunrise und Salt unterstützen das von Swisscom entwickelte Verfahren inzwischen auch.
Doppelt genäht hält besser
Ein gewöhnliches Login (zum Beispiel in einem Shop) erfolgt anhand eines Benutzernamens in Kombination mit einem Passwort. Das ist relativ unsicher, denn Angreifer können durch Betrug oder Diebstahl an diese Login-Daten gelangen und diese missbrauchen.
Es ist leider auch immer noch so, dass viele Nutzer viel zu leichte Passwörter einsetzen. Noch schlimmer ist die Unsitte, für mehrere verschiedene Dienste dasselbe Passwort zu verwenden. Hat ein Angreifer solche Login-Daten beim einen Dienst geklaut, versucht er oftmals automatisch, ob dieselben Logins auch bei anderen Diensten funktionieren. Darum gilt: Wenn Sie bei einem Onlinedienst wichtige persönliche Daten verwalten, ist es wichtig, diese Konten gut abzusichern.
Das ist der Grund, wieso sehr viele Onlineportale wie beispielsweise Google, Facebook, Twitter, alle Banken, Versicherungen, Behörden etc. schon länger ein zusätzliches Login-Element eingeführt haben: eine Zwei-Faktor-Authentifizierung. Die Idee dahinter: Es wird über einen separaten Kanal abseits des PCs noch ein Login-Element ausgetauscht. Nur, wenn auch dieses zum Benutzernamen und Passwort passt, wird der Anwender auf der Webseite eingeloggt.
Eine solche Authentifizierung erfolgt derzeit noch am häufigsten über eine mTAN (mobile Transaktionsnummer). Das ist schlicht eine SMS mit einem Zahlen- oder Buchstaben-Code. Ein Angreifer müsste also auch das Smartphone oder die SMS in die Finger bekommen. Das macht ein Login durch Unbefugte schon viel schwieriger – aber leider noch nicht unmöglich.
Warum Mobile ID?
Auf der Mobile-ID-fähigen SIM-Karte ist eine kleine Anwendung integriert. Diese Anwendung kann verschlüsselte Nachrichten in Form so genannter stiller SMS empfangen, entschlüsseln, verschlüsseln und versenden. Das erlaubt beispielsweise dem Bankserver via Mobile ID auf einem separaten Kanal mit dem Smartphone des Kunden zu kommunizieren und sich dort das Login bestätigen zu lassen. Mit dem eigentlichen Betriebssystem Ihres Geräts kommt die Mobile ID kaum in Berührung. Wer sich in Ihrem Namen in Ihr PostFinance- oder Swisscom-Konto einloggen will, braucht bei aktivierter Mobile ID nicht einfach bloss einen SMS-Code abzufangen. Er muss physisch im Besitz genau Ihrer SIM-Karte sein und muss exakt Ihren persönlichen PIN zu dieser Mobile ID eingeben. Und genau das macht einen Missbrauch nach heutigem Kenntnisstand fast unmöglich. Ausserdem ist das Einloggen gerade für PostFinance-Kunden damit viel angenehmer, ohne Sicherheitseinbussen.