Die türkische Koç-Bank bietet ihren Privatkunden sicheres Online-Banking mit der Einmalpasswortlösung SecOVID des Wormser Anbieters Kobil Systems an. Seit letztem Jahr hat die Bank zahlreiche Kunden mit SecOVID Token ausgestattet. Nun wird auch eine Variante mit Soft-Token angeboten. Für Firmenkunden bietet die Koç-Bank bereits seit 2001 ein Smart-Banking-Paket an, das aus der Software Kobil Smart Key, einem Kobil Smart Card Terminal und Chipkarte besteht. Außerdem hat die Koç-Bank den Kobil mIDmanager als zentrale Verwaltungslösung für die zertifikatsbasierte PKI (Publlic Key Infrastrusture) und OTP (One Time Password) installiert, die zusammen mit einer Windows CA läuft.
Die 1981 gegründete Koç-Bank mit Hauptsitz in Istanbul ist mit knapp 150 Niederlassungen die fünftgrößte Privatbank in der Türkei. Um ihren Kunden ein sicheres Online-Banking zu ermöglichen, bietet die Bank zwei Verfahren an: Seit letztem Jahr können Privatkunden das Einmalpasswortsystem SecOVID als Zugangsschutz nutzen. Die Koç-Bank hat schon über 20.000 Kunden mit SecOVID Token ausgestattet, die sie ihren Kunden unentgeltlich zur Verfügung stellt. Mit diesen mobilen Endgeräten generieren die Kunden Einmalpasswörter, um sich damit auf dem Bankserver einzuloggen. Solche nur einmal gültigen Passwörter sind wesentlich sicherer als statische Passwörter, die leicht ausspioniert und dann missbräuchlich eingesetzt werden können. Ab sofort können die Kunden die Einmalpasswörter auch mittels Soft-Token erzeugen. Dieses wird in Form einer Software zur Verfügung gestellt und kann vom Anwender auf verschiedene Endgeräte (zum Beispiel PDAs oder Mobiltelefone) gespielt werden. Damit ist die Koç-Bank die erste Bank in der Türkei, die ihren Kunden eine sichere Online-Banking-Lösung mit Soft-Token ermöglicht, die Standardalgorithmen wie 3DES mit 168-Bit-Schlüssellänge unterstützt.
Für ihre Firmenkunden bietet die Koç-Bank bereits seit 2001 ein zertifikatbasiertes Verfahren an. Die Kunden erhalten ein Smart-Banking-Paket bestehend aus einem Smart Card Terminal, einer PIN-geschützten Smart Card und der Software Kobil Smart Key. Die Bank hat bereits 13.000 Kunden mit Smart-Banking-Paketen ausgestattet. Bislang erhielten die Kunden als Lesegeräte SecOVID Reader Plus, seit neustem wird jedoch das Nachfolgemodell Kaan Advanced ausgegeben. Auf der Smart Card ist ein digitales Zertifikat, das die Kunden als digitale Identität für eine sichere Anmeldung an der Bankapplikation benutzen. Dazu müssen sie nur ihre Karte ins Lesegerät stecken und ihre PIN eingeben. Nur derjenige erhält Zugang zum Bankserver, der beide Faktoren erfüllt, also im Besitz der Karte ist und die PIN kennt (Zwei-Faktor-Authentifikation: Besitz und Wissen). Dadurch ist ein Missbrauch durch Phishing oder andere Passwortspionage ausgeschlossen.
„Kobil ist ein kompetenter Partner in beiden Technologien: bei Einmalpasswort- und zertifikatsbasierten Lösungen“, erklärt Hishem Md. Laroussi, IT-Leiter der Koç-Bank. „Wir haben uns für Kobil als Partner entschieden, weil wir dort alles aus einer Hand bekommen. Mit den innovativen Lösungen von Kobil ermöglichen wir unseren Kunden ein sicheres und bequemes Online-Banking. So kommt auch die Möglichkeit, Soft-Token auf mobile Endgeräte der Kunden zu spielen, den Wünschen unserer Kunden sehr entgegen.“
Über die Authentifikation mit Einmalpasswörtern:
Die Absicherung mit Einmalpasswörtern besteht aus zwei Hauptkomponenten: Auf der Benutzerseite benötigt der Zugangsberechtigte ein Authentifikationsgerät in Verbindung mit einer PIN, zum Beispiel ein Token, eine Smart Card und Kartenterminal, ein PDA oder ein Handy. Die zweite Komponente ist der Server – bestehend aus Software und Administrationstool zur Verwaltung der Benutzer. Der Benutzer erhält von seinem Authentifikationsgerät einen numerischen Code, der auf Basis des 3DES-Algorithmus berechnet wird. Dieser Code ist nur einmal gültig. Sollte jemand versuchen, dieses Einmalpasswort ein zweites Mal zu verwenden, wird der Zugriff verweigert. Ein Angreifer kann ein abgehörtes oder ausgespähtes Passwort also nicht selbst benutzen. Wenn der Benutzer sein Einmalpasswort in die Bildschirmeingabemaske eingibt, wird es über das Netzwerkgerät (zum Beispiel VPN oder Webserver) verschlüsselt an den Server weitergeleitet und dort überprüft. Ist das Einmalpasswort korrekt, erhält der Benutzer den Zugang ins Netzwerk. Damit der Server das Passwort verifizieren kann, verwenden Token und Smart Card einen Algorithmus und Ausgangswerte, die mit dem Einmalpasswort-Server synchronisiert sind. Der Server übernimmt die Überprüfung der Einmalpasswörter (Authentifikation), die Verwaltung der Benutzerrechte (Autorisierung) und die Protokollierung der Zugriffsversuche (Accounting).
Über die zertifikatsbasierte Authentifikation:
Die zertifikatsbasierte Benutzeranmeldung basiert auf einem asymmetrischen Verschlüsselungsverfahren mit zwei komplementären Schlüsseln, einem geheimen (private key) und einem öffentlichen Schlüssel (public key). Der private Schlüssel liegt hoch sicher auf der (PIN-geschützten) Smart Card und dient zur Entschlüsselung von mit dem öffentlichen Schlüssel verschlüsselten Daten. An den öffentlichen Schlüssel gebunden dient das digitale Zertifikat als digitale Identität des Benutzers. Für die Authentifikation erfolgt der Zugriff per Smart Card mit privatem Schlüssel und Zertifikat über ein Kartenlesegerät. Das Zertifikat fungiert quasi wie ein digitaler Ausweis und bindet seinen Inhaber an den öffentlichen Schlüssel. Die Handhabung ist für den Benutzer sehr einfach: Er muss bei der Anmeldung nur seine Smart Card ins Lesegerät stecken und seine PIN eingeben.
Über die Koç-Bank:
Die 1981 gegründete Koç-Bank mit Hauptsitz in Istanbul ist die fünftgrößte Privatbank in der Türkei. Als ein Zweigunternehmen der Koç Financial Services (KFS) gehört sie zu je 50 Prozent der Koç-Holding und der UniCredito Italiano. Sie hat 143 Filialen, rund 940.000 Kunden und beschäftigt über 3.500 Mitarbeiter. Ihr oberstes Ziel ist die Zufriedenheit der Kunden. Außerdem zeichnet sich die Koç-Bank durch ein exzellentes Risiko-Management aus und setzt auf Innovationen, die ihren Kunden die Bankgeschäfte erleichtern. Die Koç-Bank ist auf dem Weg, eine führende Institution zu werden. Geplant ist eine Fusion mit der Yapi ve Kredi Bankasi, der drittgrößten Bank in der Türkei.
Die 1981 gegründete Koç-Bank mit Hauptsitz in Istanbul ist mit knapp 150 Niederlassungen die fünftgrößte Privatbank in der Türkei. Um ihren Kunden ein sicheres Online-Banking zu ermöglichen, bietet die Bank zwei Verfahren an: Seit letztem Jahr können Privatkunden das Einmalpasswortsystem SecOVID als Zugangsschutz nutzen. Die Koç-Bank hat schon über 20.000 Kunden mit SecOVID Token ausgestattet, die sie ihren Kunden unentgeltlich zur Verfügung stellt. Mit diesen mobilen Endgeräten generieren die Kunden Einmalpasswörter, um sich damit auf dem Bankserver einzuloggen. Solche nur einmal gültigen Passwörter sind wesentlich sicherer als statische Passwörter, die leicht ausspioniert und dann missbräuchlich eingesetzt werden können. Ab sofort können die Kunden die Einmalpasswörter auch mittels Soft-Token erzeugen. Dieses wird in Form einer Software zur Verfügung gestellt und kann vom Anwender auf verschiedene Endgeräte (zum Beispiel PDAs oder Mobiltelefone) gespielt werden. Damit ist die Koç-Bank die erste Bank in der Türkei, die ihren Kunden eine sichere Online-Banking-Lösung mit Soft-Token ermöglicht, die Standardalgorithmen wie 3DES mit 168-Bit-Schlüssellänge unterstützt.
Für ihre Firmenkunden bietet die Koç-Bank bereits seit 2001 ein zertifikatbasiertes Verfahren an. Die Kunden erhalten ein Smart-Banking-Paket bestehend aus einem Smart Card Terminal, einer PIN-geschützten Smart Card und der Software Kobil Smart Key. Die Bank hat bereits 13.000 Kunden mit Smart-Banking-Paketen ausgestattet. Bislang erhielten die Kunden als Lesegeräte SecOVID Reader Plus, seit neustem wird jedoch das Nachfolgemodell Kaan Advanced ausgegeben. Auf der Smart Card ist ein digitales Zertifikat, das die Kunden als digitale Identität für eine sichere Anmeldung an der Bankapplikation benutzen. Dazu müssen sie nur ihre Karte ins Lesegerät stecken und ihre PIN eingeben. Nur derjenige erhält Zugang zum Bankserver, der beide Faktoren erfüllt, also im Besitz der Karte ist und die PIN kennt (Zwei-Faktor-Authentifikation: Besitz und Wissen). Dadurch ist ein Missbrauch durch Phishing oder andere Passwortspionage ausgeschlossen.
„Kobil ist ein kompetenter Partner in beiden Technologien: bei Einmalpasswort- und zertifikatsbasierten Lösungen“, erklärt Hishem Md. Laroussi, IT-Leiter der Koç-Bank. „Wir haben uns für Kobil als Partner entschieden, weil wir dort alles aus einer Hand bekommen. Mit den innovativen Lösungen von Kobil ermöglichen wir unseren Kunden ein sicheres und bequemes Online-Banking. So kommt auch die Möglichkeit, Soft-Token auf mobile Endgeräte der Kunden zu spielen, den Wünschen unserer Kunden sehr entgegen.“
Über die Authentifikation mit Einmalpasswörtern:
Die Absicherung mit Einmalpasswörtern besteht aus zwei Hauptkomponenten: Auf der Benutzerseite benötigt der Zugangsberechtigte ein Authentifikationsgerät in Verbindung mit einer PIN, zum Beispiel ein Token, eine Smart Card und Kartenterminal, ein PDA oder ein Handy. Die zweite Komponente ist der Server – bestehend aus Software und Administrationstool zur Verwaltung der Benutzer. Der Benutzer erhält von seinem Authentifikationsgerät einen numerischen Code, der auf Basis des 3DES-Algorithmus berechnet wird. Dieser Code ist nur einmal gültig. Sollte jemand versuchen, dieses Einmalpasswort ein zweites Mal zu verwenden, wird der Zugriff verweigert. Ein Angreifer kann ein abgehörtes oder ausgespähtes Passwort also nicht selbst benutzen. Wenn der Benutzer sein Einmalpasswort in die Bildschirmeingabemaske eingibt, wird es über das Netzwerkgerät (zum Beispiel VPN oder Webserver) verschlüsselt an den Server weitergeleitet und dort überprüft. Ist das Einmalpasswort korrekt, erhält der Benutzer den Zugang ins Netzwerk. Damit der Server das Passwort verifizieren kann, verwenden Token und Smart Card einen Algorithmus und Ausgangswerte, die mit dem Einmalpasswort-Server synchronisiert sind. Der Server übernimmt die Überprüfung der Einmalpasswörter (Authentifikation), die Verwaltung der Benutzerrechte (Autorisierung) und die Protokollierung der Zugriffsversuche (Accounting).
Über die zertifikatsbasierte Authentifikation:
Die zertifikatsbasierte Benutzeranmeldung basiert auf einem asymmetrischen Verschlüsselungsverfahren mit zwei komplementären Schlüsseln, einem geheimen (private key) und einem öffentlichen Schlüssel (public key). Der private Schlüssel liegt hoch sicher auf der (PIN-geschützten) Smart Card und dient zur Entschlüsselung von mit dem öffentlichen Schlüssel verschlüsselten Daten. An den öffentlichen Schlüssel gebunden dient das digitale Zertifikat als digitale Identität des Benutzers. Für die Authentifikation erfolgt der Zugriff per Smart Card mit privatem Schlüssel und Zertifikat über ein Kartenlesegerät. Das Zertifikat fungiert quasi wie ein digitaler Ausweis und bindet seinen Inhaber an den öffentlichen Schlüssel. Die Handhabung ist für den Benutzer sehr einfach: Er muss bei der Anmeldung nur seine Smart Card ins Lesegerät stecken und seine PIN eingeben.
Über die Koç-Bank:
Die 1981 gegründete Koç-Bank mit Hauptsitz in Istanbul ist die fünftgrößte Privatbank in der Türkei. Als ein Zweigunternehmen der Koç Financial Services (KFS) gehört sie zu je 50 Prozent der Koç-Holding und der UniCredito Italiano. Sie hat 143 Filialen, rund 940.000 Kunden und beschäftigt über 3.500 Mitarbeiter. Ihr oberstes Ziel ist die Zufriedenheit der Kunden. Außerdem zeichnet sich die Koç-Bank durch ein exzellentes Risiko-Management aus und setzt auf Innovationen, die ihren Kunden die Bankgeschäfte erleichtern. Die Koç-Bank ist auf dem Weg, eine führende Institution zu werden. Geplant ist eine Fusion mit der Yapi ve Kredi Bankasi, der drittgrößten Bank in der Türkei.
