(Wann) ist mTAN tot – und was kommt danach?

Wo wir heute stehen

Seit Anbeginn der Informatik identifizieren Anwendungen ihre Benutzer, indem sie von diesen die Preisgabe eines Geheimnisses verlangen. Ebenso lange stehen Sicherheitsbeauftragte im unermüdlichen Kampf gegen diese Passwörter. Über die Jahre haben sie damit erreicht, dass viele Anwendungen heute noch ein zweites Passwort verlangen, das jeweils nur einmal verwendet werden kann. Solche Einmalpasswörter werden entweder beim Benutzer generiert oder diesem per SMS zugestellt. Das letztere Verfahren, auch mTAN für „mobile Transaktionsnummer“ genannt, ist heute im B2C Umfeld dominant.

Das Grundproblem von Passwörtern ist, dass ein preisgegebenes Geheimnis kein Geheimnis mehr ist. Einmalpasswörter können zwar nicht ganz so einfach gestohlen werden wie statische Passwörter, raffiniertere Angriffe mittels Phishing oder trojanischen Pferden führen aber allzu oft doch zum Erfolg. Einiges spricht heute dafür, dass die Ära der Passwörter – und damit auch mTAN – zu Ende geht. Dies zeigt sich beispielsweise daran, dass sich kaum mehr eine Schweizer Bank darauf verlassen will.

Wohin die Reise geht

Sichere Alternativen zu Passwörtern basieren auf einem benutzerseitigen kryptographischen Schlüssel, der einen gesicherten Kontext niemals verlässt. Über die Jahre sind viele solche Lösungen entstanden, ausserhalb des E-Banking konnten sie sich aber nirgends etablieren. Neben den hohen Kosten und einer häufig umständlichen Bedienung liegt dies auch daran, dass eine Vielzahl und Vielfalt von Endgeräten unterstützt werden muss. Leider spricht nichts dafür, dass sich dies in absehbarer Zukunft ändert.

Es ist deshalb an der Zeit, das Thema „Benutzerauthentifizierung“ neu zu denken. Wie anderswo in der Informatik liegt die Lösung in einer Schichtenarchitektur, bei der sich spezialisierte Lösungskomponenten ergänzen:

• Sogenannte Authenticators in Hardware oder Software sorgen seitens des Benutzers dafür, dass die persönlichen kryptographischen Schlüssel sicher aufbewahrt werden. Diese Authenticators sind typischerweise gerätespezifisch und anwendungsneutral. Sie interagieren mit dem Benutzer (für die Aktivierung des Schlüssels beispielsweise mittels Fingerabdruck oder Gesichtserkennung) und dem Identity Provider (für die Prüfung des Schlüssels).
• Identity Provider (IdP) verifizieren über geeignete Protokolle, dass der Benutzer im Besitz des ihm zugeordneten privaten Schlüssels ist. Anschliessend geben sie die authentifizierte Identität des Benutzers über ein Federation Protokoll wie SAML oder OpenID Connect an die Anwendungen weiter.
• Die Anwendungen validieren die vom IdP ausgestellte Authentifizierungsbestätigung (Assertion) und gewähren dem Benutzer Zugriff auf seine Ressourcen. Es werden seitens der Anwendung keine Passwörter verwaltet oder geprüft.

In diesem Schichtenmodell hat die Anwendung keine direkte Kontrolle über die Authentisierung. Damit sie dennoch eine Gewähr dafür hat, dass ihre Sicherheitsbedürfnisse erfüllt werden, vereinbart sie mit dem Identity Provider einen von diesem mindestens einzuhaltenden Qualitätsstandard (sog. Level of Assurance LoA, z.B. nach eCH-170/171).Die Lösungsansätze und Protokolle dieser Schichtenlösung sind seit einigen Jahren verfügbar, haben sich aber erst punktuell durchgesetzt. Dies wird sich in den nächsten Jahren ändern (müssen).

Was ist zu tun?

Die Anbieter von Anwendungen (die Service Provider) sollten keine Gedanken mehr daran verschwenden, mit welchen Authentisierungsmitteln sie ihre Kunden zukünftig beglücken wollen. Sie sollten sich vielmehr darauf konzentrieren, eine Strategie für die Anbindung von Identity Providern zu definieren und die Zusammenarbeit mit geeigneten Anbietern zu suchen.

Die Identity Provider (IdP) ihrerseits sollten sich darauf konzentrieren, den Benutzern ein breites Portfolio von Authentisierungsverfahren anzubieten, das alle möglichen Endgeräte und Anwendungssituationen abdeckt. Der IdP sollte hierfür ohne proprietäre Client-Komponente auskommen und auf die FIDO Standardschnittstelle bauen.

Die Benutzer ihrerseits sollten Gerätehersteller und Serviceanbieter bevorzugen, die offene Schnittstellen unterstützen und nicht versuchen, ihre Kunden über technische Restriktionen an sich zu binden.

Ein Blick in die Kristallkugel

Technologiekonzerne wie Google, Apple, Facebook oder Amazon haben sich über die letzten Jahre eine starke Stellung als Identity Provider erarbeitet und investieren weiterhin in ihre Ökosysteme. Alternative Anbieter haben hier kaum Aussicht auf Erfolg und es ist zu erwarten, dass der Social Media Login für die meisten Benutzer das Tor zur alltäglichen Interaktion mit dem Internet sein wird.

Für den Zugriff auf höherwertige Dienste wie Finanztransaktionen oder die Verarbeitung vertraulicher Daten besteht noch Raum für ein passendes Angebot. Die beste Ausgangslage bietet sich den Banken, da sie bereits über langjährige Erfahrung und Expertise mit der starken Authentisierung verfügen. Würden die grossen Schweizer Banken das bestehende e-Banking Login für andere Service Provider öffnen, dann wäre eine starke Authentisierung für den grössten Teil der IT-affinen Bevölkerung per sofort verfügbar.

Entsprechende Gespräche, auch auf nationaler Ebene, werden heute geführt. Es ist zu hoffen, dass sich daraus zielführende Projekte ergeben; das Feld der Digitalen Identitäten ist zu wichtig, als dass es kampflos den Amerikanern überlassen werden darf!