E-Banking 17.06.2019, 14:10 Uhr

PostFinance: Wie sicher ist das neue Biometrie-Login?

Neu erfolgt der Zugang zu E-Finance der PostFinance via Finger-ID oder Gesichtserkennung. Doch wie sicher sind eigentlich die beiden Login-Verfahren bei Banklösungen?
E-Finance der Post-Finance
(Quelle: Screenshot / ze)
Seit dem 11. Juni bietet die PostFinance nebst dem altgedienten gelben Kartenleser neue Möglichkeiten fürs E-Finance an – das neue Login via Post-Finance-App (Online PC berichtete). Kollege Zellweger hat hier beschrieben, wie man vom Kästchen darauf umsteigt.
Doch wie sicher ist das neue Verfahren? Dies ist ein grundsätzliches Sicherheitsthema, das wir am Beispiel der PostFinance anschauen. Deshalb hat der PCtipp bei der PostFinance nachgehakt und mit einem Sicherheits-Spezialisten von Eset gesprochen.
Hinweis: An dieser Stelle sei betont: Wer dieses Login-Verfahren nicht nutzen kann oder will, kann weiterhin das gelbe Kästchen oder die Mobile-ID der PostFinance nutzen.

Wie funktioniert das neue PostFinance-Login?

Für das softwarebasierte Login-, Signierungs- und Authentifizierungsverfahren via PostFinance-App ist lediglich ein Smartphone notwendig. PostFinance-Kunden können sich via Fingerprint oder Face-ID ins E-Finance einloggen. Dies ist sowohl auf dem Desktop als auch in der App möglich.

Gemäss PostFinance erfülle das neue Login durch Verschlüsselung und Zweifaktorauthentifizierung (2FA) «die höchsten Sicherheitsansprüche». Das App-Login greift auf die vom jeweiligen Smartphone-Betriebssystem unterstützten Verfahren – Fingerprint oder Face ID – zu. PostFinance versichert, man speichere keine biometrischen Kundendaten.
 
Die Bank schützt die Kommunikation und Interaktion mit E-Finance mit Transportverschlüsselung – «mindestens» mit 256-Bit-Schlüssel, sagt die PostFinance. Das erforderliche Zertifikat wird als digitale Identitätskarte von der schweizerischen Zertifizierungsstelle SwissSign AG bezogen. Die zugrundeliegende Technologie heisst Transport Layer Security (TLS).
Hinweis: Diese Verschlüsselungstechnologie (TLS) ist heute ein Mindeststandard, ebenso die Verschlüsselung mit 256-Bit. Die Sicherheit der Übertragung hilft nicht dabei, wenn an Enden des Datenwegs Daten – beispielsweise der Fingerabdruck – gestohlen werden.

Was ist von Face-ID und Fingerprint bei Banklösungen zu halten?

Update 17.06.19: Eset hat die Aussage zur Face-ID präzisiert.

Als «längst überfällig und zu begrüssen» bezeichnet Thomas Uhlemann, Security- Specialist bei Eset Deutschland, dass Lösungen wie die klassische TAN und der fehleranfällige Kartenleser mit weiteren Möglichkeiten ergänzt werden. Doch er findet auch, die Banken müssen ihre Hausaufgaben machen. Hier sollten die Banken zu sicheren Varianten greifen, wie beispielsweise Face-ID. Aktuell sind dem Experten keine Fälle bekannt, dass diese Technologie überlistet wurde. «Allerdings ist es schade, dass die Banken offensichtlich zu spät an entsprechende Ersatzmassnahmen gedacht zu haben scheinen», so Uhlemann. Gerade in einem so sensiblen Bereich ist es wichtig auf sichere Technologien zu setzen. Es gibt Beispiele andere Methoden der biometrischen Gesichtserkennung. «Diese wurde bereits mehrfach auf einfachste Art und Weise, wie etwa durch Fotos, ‹überlistet›».

Wie hoch ist die Gefahr, dass Kriminelle Fingerabdrücke auf dem Handy verwenden, Sind PostFinance-Kunden bei Diebstahl versichert und das sagt der Sicherheits-Experte zum PoFi-Verfahren

Wie hoch ist die Gefahr, dass Kriminelle die Fingerabdrücke auf dem Handy verwenden?

Unsere Fingerabdrücke sind überall auf unserem Smartphone zu finden. Kriminelle könnten diese verwenden, um sich damit in eine Banking-App einzuloggen. Doch wie hoch ist diese Gefahr tatsächlich?

Grundsätzlich ist es möglich, einen Fingerabdruck zu reproduzieren, um ein System zu täuschen. Allerdings ist es mit einem gewissen Aufwand verbunden. Damit man einen «lebendigen» Finger vortäuschen kann, muss nicht nur der Abdruck stimmen, sondern auch dessen elektrische Leitfähigkeit passen, die gemessen wird.

«Deswegen ist es umso wichtiger, dass Anwender ihre Mobilgeräte mit einer entsprechenden Anti-Diebstahlfunktion versehen, die ein gestohlenes Gerät nicht nur sperren, sondern im Notfall auch löschen können», rät Eset-Sicherheits-Experte Uhlemann.

Damit können Sie aus der Ferne alle Banking- und andere Daten löschen, während Diebe noch am «richtigen» Fingerabdruck arbeiten.

Sind PostFinance-Kunden bei Diebstahl versichert?

Machen wir ein kurzes Gedankenspiel. Wir gehen von zwei hypothetischen kriminellen Szenarien aus:
1. Eine PostFinance-Kundin wird auf der Strasse überfallen und gezwungen, mit dem Fingerabdruck oder Gesichtsscan das PoFi-Login freizuschalten.
2. Bei einem Kunden wird eingebrochen und der Anwesende wird zum selben wie bei Option 1 gezwungen. Bei beiden kommt es zu einer hohen Überweisung.
Natürlich ist das Risiko, dass es auf anderen Wegen zu einer erzwungenen Transaktion kommt, ebenfalls gegeben. Die Wahrscheinlichkeit ist bei Debit- und Kreditkarten heute wesentlich höher. Dennoch möchten wir von der PostFinance in Bezug auf das biometrische Login wissen:
● Würde die PostFinance auf diese Überweisung aufmerksam?
«Je schneller bei einem erzwungenen Zugang zu E-Finance die Polizei eingeschaltet und PostFinance informiert wird, desto grösser ist die Chance, dass betrügerische Transaktionen gestoppt werden können, bevor sie vom System verarbeitet und ausgeführt werden», antwortet uns PostFinance-Mediensprecher Richard Pfister. Zwar entwickle man die automatische Transaktionsüberwachung ständig weiter, aber garantieren könne man eine Erkennung nicht.
● Wären Kunden in so einem Fall versichert?
Die Versicherung gegen Risiken wie Diebstahl oder Raub sei grundsätzlich Sache des Kunden. Oftmals übernimmt die Privat- oder Hausratsversicherung Schäden, welche durch bestimmte Straftaten entstanden sind. «PostFinance würde den Einzelfall prüfen und Opfer einer solchen Straftat gegebenenfalls nach ihren Möglichkeiten unterstützen», sagt Pfister.

Das sagt der Security-Experte über das PostFinance-Verfahren

Sollen nun PostFinance-Kunden auf die beiden biometrischen Verfahren umsteigen? Wie eingangs erwähnt, Sie haben grundsätzlich eine Wahl. Sie können sowohl das gelbe Kästchen als auch die Mobile-ID weiterhin nutzen. Bankkunden, die kein Smartphone besitzen, haben letztlich sowieso keine Auswahl und müssen weiterhin den alten Kartenleser verwenden.

Wenn Sie den Fingerabdruck nutzen möchten, hat der Sicherheitsexperte einen Tipp: Verwenden Sie einen Finger, den Sie seltener verwenden, beispielsweise den kleinen Finger der «schwachen» Hand. Vermeiden Sie Daumen und Zeigefinger der «starken» Hand. PCtipp empfiehlt, nebst Fingerabdruck noch die Passwort-Abfrage aktiv zu lassen.

Update 17.06.19: Eset hat die Aussage zur Face-ID präzisiert.

Derzeit ist Face-ID bei der PostFinance lediglich mit iOS-Geräten ab iPhone X möglich. «Face ID ist in der Vergangenheit mit hohem technischen Aufwand bereits überlistet worden, aber wird ständig verbessert und gilt derzeit noch als sicher», sagt Eset-Sicherheits-Experte Uhlemann. Das Feature steht allerdings nur für Nutzer der iPhone-Generation X zur Verfügung. «Nicht einmal die Hälfte der Schweizer Smartphone-Nutzer besitzt überhaupt ein iPhone, davon nicht alle eines aus der X-Serie», gibt Uhlemann zu bedenken.




Das könnte Sie auch interessieren