Postfinance Sicherheitsfrühstück 27.3.2013 Unterwegs sicher vernetzt

Ähnliche Dokumente
Kobil Sicherheitstag 2013 Authentisierung im e-banking

SIGS Security Interest Group Switzerland Trends in Mobile Authentication

E-Banking-Authentisierung. cnlab security ag, obere bahnhofstr. 32b, CH-8640 rapperswil-jona

IG Avaloq Revision und Sicherheit (IGARS) Trends in Mobile Authentication

E-Banking-Authentisierung. cnlab security ag, obere bahnhofstr. 32b, CH-8640 rapperswil-jona

E-Banking so richten Sie Ihren Zugriff ein

Installations- und Bedienungsanleitung CrontoSign Swiss

Anforderungen und Umsetzung einer BYOD Strategie

E-Banking-Authentisierung

Anleitung vom 4. Mai BSU Mobile Banking App

Authentication Token gesucht- Nutzen Sie doch Ihr Handy. T-TeleSec OneTimePass Überblick / Version

Möglichkeiten und Grenzen der modernen Schutzmechanismen

Weil Ihre Sicherheit für uns an erster Stelle steht.

TeleSec OneTimePass. Stand

Installation und Aktivierung von Norton Mobile Security ios

Onlineaccess. Kartenverwaltung und mehr Sicherheit per Mausklick.

Das Roaming Cockpit. Inhalt. 1 Das Roaming Cockpit Aufrufen des Roaming Cockpit über den Browser... 3

Verfahrensanleitung mobile TAN (mtan)

> Lokal, persönlich und traditionell. Ihre Bank. Seit Sparkasse Mobile Banking App > Anleitung zur Aktivierung.

E-Banking. Gemeinsam jederzeit und überall Bankgeschäfte erledigen.

Dokumentation PuSCH App. android phone

ROFIN App Benutzerhandbuch. Version 1.0

Mobile Banking App Bedienungsanleitung

Kurzanleitung OLB-App Mobiles OnlineBanking für Smartphones und Tablets.

Produkt: Rheinische Post epaper + Rheinische Post App

S Sparkasse Hohenlohekreis. Leitfaden zu Secure

Was ist das Budget für Arbeit?

Zugang mit sonstigen Betriebssystemen (wie: Android, ios (ipad, iphone, ipad),...)

ANLEITUNG GERÄTEREGISTRATION KRZ.SMK IOS MIT IBM VERSE APP

Vorarlberger Standardschulinstallation Anbindung von Android Mobile Devices

paydirekt-registrierung während des Einkaufs

Benutzerhandbuch Ersatzgerät (M-IDentity Air+)

» Smartphones im Unternehmen: Must-have oder Donʼt-use?

Wie kann ich Bitcoins ausgeben?

Bedienungsanleitung. Umstellung von Sicherheitscodeliste auf SMS Code (mtan) Gemeinsam wachsen.

Pelletofen mit WLAN Modul für einfaches Heizen von zuhause aus oder von unterwegs!

Anleitung mtan (SMS-Authentisierung) mit SSLVPN.TG.CH

SaniVision WebApps Allgemeine Informationen

E-Finance Java de PF

Alltag mit dem Android Smartphone

NEU! Für alle, die es wissen wollen. Die GrenzEcho-App bringt Ihre Tageszeitung aufs ipad und auf Android-Tablets: Zu Hause in der digitalen Welt

Sparkasse. pushtan-einrichtung. Nutzungsanleitung pushtan. Leitfaden zur Einrichtung in OutBank für ios. Vorbereitung pushtan aktivieren Banking-App

Webfauna Android. Erhältliche Versionen Android Version und neuer. Herunterladen Erhältlich im Play Sotre für Android.

DER WEG IST DAS SPIEL.

Kombinierte Attacke auf Mobile Geräte

15 Arten von QR-Code-Inhalten!

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

1. Februar 2013 Dr. Raoul- Thomas Herborg virtual solu)on AG

Mainova daheim. Mainova daheim. Das neue Smart Home System für Ihren persönlichen Wohnkomfort. Jetzt Starterpaket sichern!

Von Perimeter-Security zu robusten Systemen

IT-Sicherheit / Smartcards und Verschlüsselung Kobil midentity Light ohne Sim Karte

Mobility: Hoher Nutzen

pushtan Online-Banking mit pushtan Der Leitaden für Online-Banking-Kunden

Verarbeitung von ZV-Dateien im Internetbanking. Inhalt. 1. Datei einlesen Datei anzeigen, ändern, löschen Auftrag ausführen...

Bedienungsanleitung: Onlineverifizierung von qualifiziert signierten PDF-Dateien

Version smarter mobile(zu finden unter Einstellungen, Siehe Bild) : Gerät/Typ(z.B. Panasonic Toughbook, Ipad Air, Handy Samsung S1):

inviu routes Installation und Erstellung einer ENAiKOON id

zwanzignull8 DIE MODULARE VERTRIEBS SOFTWARE im Einsatz für die Sto SE & Co KGaA info@1a-p.com (0)

Machen Sie sich das Leben einfacher

Smartphone mit Nahfunk (NFC)

Rotary SH. Paul Schöbi, Cnlab AG

Der Empfänger, der das Verschlüsselungsverfahren noch nicht nutzen kann, erhält folgende

PING e.v. Heimvernetzung und Sicherheit im Internet. HobbyTronic Nächster Vortrag: 12:15 Uhr. PING e.v. Weiterbildung -

Verein zur Förderung der privaten Internet Nutzung e.v. Sicher bewegen im Internet

SharePoint 2013 Mobile Access

Freischaltung eines neuen VR-NetKeys mit SecureGo

Häufig gestellte Fragen und die entsprechenden Antworten

PHP - Projekt Personalverwaltung. Erstellt von James Schüpbach

Xesar. Die vielfältige Sicherheitslösung

Kartenleser für Ihre UBS Online Services Anleitung

Verwaltung von Geräten, die nicht im Besitz des Unternehmens sind Ermöglich mobiles Arbeiten für Mitarbeiter von verschiedenen Standorten

Enterprise Mobility, Live! Pascal Kaufmann, Swisscom IT Services AG 12. Juni 2013

Der schnelle Weg zu Ihrer eigenen App

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

pushtan-einrichtung Leitfaden zur Einrichtung in Sparkasse+ für ios

Mobilgeräte an der WWU

Resourcen/Geräte Online Ticket Mobile Ticket

Nach der App-Entwicklung - der Apple App Store: Chancen, Erfahrungen und Probleme. Oliver Schweissgut, os-cillation GmbH

Matrix42. Matrix42 Cloud Trial Erste Schritte. Version

MOBILE BANKING. BL Mobile Banking für Ihre mobilen Bankgeschäfte

ANLEITUNG GERÄTEREGISTRATION AN KRZ.SMK IOS

Wann verkaufen Sie mobil? Shopping Apps & mobile Webseiten für OXID Webshops

Professionelle Seminare im Bereich MS-Office

1.3. Installation und Konfiguration von Filr Desktop

Kurzanleitung BKB-E-Banking-Stick

Statuten in leichter Sprache

FIRST INTERACTIVE CITYPORTAL

Leitartikel Weltnachrichten 2 / 2016

Kurzanleitung IP-Kamera AMGO IP 80 für Livebilder auf Smartphone/Iphone und PC

ANTWORTEN AUF HÄUFIGE FRAGEN TKB E-BANKING

Anleitung für die Hausverwaltung

64% 9% 27% INFORMATIONSSTATUS INTERNET. CHART 1 Ergebnisse in Prozent. Es fühlen sich über das Internet - gut informiert. weniger gut informiert

Studie Internet-Sicherheit

Glaube an die Existenz von Regeln für Vergleiche und Kenntnis der Regeln

Überall kassieren mit dem iphone

Alice & More Anleitung. GigaMail.

S Sparkasse. pushtan-einrichtung. Nutzungsanleitung pushtan. Leitfaden zur Einrichtung in Firma und Verein für Windows

Transkript:

Postfinance Sicherheitsfrühstück 27.3.2013 Unterwegs sicher vernetzt Bedrohungen Herausforderungen Schutzmöglichkeiten für mobiles E-Banking

Cnlab AG Engineering-Firma, Sitz Rapperswil (SG) Schwerpunkte IT-Sicherheit Netzwerk-Performance Software-Entwicklung www.cnlab.ch 27.3.2013 2

TA online vom 1.3. 2013 27.3.2013 3

Verkauf Smart Phones weltweit (Quelle http://de.statista.com/) 27.3.2013 4

Woher kommen die neuen Bedrohungen Quelle: The Open Web Application Security Project https://www.owasp.org/index.php/file:topten.png 27.3.2013 5

Und weitere mobile-spezifische Bedrohungen Unberechtigter Zugang zu Geräten 27.3.2013 6

Und weitere mobile-spezifische Bedrohungen (2) Geräte ohne PIN: - Rooting bzw. JaliBreaking in einigen Minuten iphone bis Vsn 4, ipad1 mit PIN - Zusätzlich einige Minuten zur Bestimmung des PIN Daten im Gerät Neuere ios-geräte mit PIN - Aufwand für PIN-Bestimmung unbekannt Android-Geräte mit PIN - Aufwand für PIN-Bestimmung unbekannt 27.3.2013 7

Und weitere mobile-spezifische Bedrohungen (3) Big Brother schaut über die Schulter 27.3.2013 8

Und weitere mobile-spezifische Bedrohungen (4) Ein Beispiel sehen Sie im Anschluss. Zugang über unsichere WLANs Die ideale Voraussetzung für Man-in-the-middle-Angriffe 27.3.2013 9

Wie steht s mit Viren und Trojanern? ios Ein bekanntes Virus für Jailbreaked Geräte Android Diverse Malware meist über unsichere Stores Prognose: zunehmend. 27.3.2013 10

Technik im mobilen Gerät 27.3.2013 11

Transaktion Login + Lesezugang Streichliste / Matrixkarte mtan (SMS) Challenge-Response Token PhotoTAN / Flicker Dynamisches Passwort Zertifikat (auf Smartcard) + gehärteter Browser Zertifikat (auf Smartcard) + C/R Token Zertifikat (auf Smartcard) + C/R Token + gehärteter Browser Was können die bekannten Produkte Diebstahl Credentials Phishing passiv Man-in-the-middle Trojaner Session hijack Session riding Man-in-the-middle Trojaner Wenn Mit Swisscom das SMS Mobile auf ID dasselbe Telefon kommt 27.3.2013 12

Transaktion Login + Lesezugang Streichliste / Matrixkarte mtan (SMS) Challenge-Response Token PhotoTAN / Flicker Dynamisches Passwort Zertifikat (auf Smartcard) + gehärteter Browser Zertifikat (auf Smartcard) + C/R Token Zertifikat (auf Smartcard) + C/R Token + gehärteter Browser Was können Systeme der PF Diebstahl Credentials Phishing passiv Man-in-the-middle Trojaner Session hijack Session riding Man-in-the-middle Trojaner 27.3.2013 13

Sicherheits- Anforderungen Use Cases im ebanking Man stellt sich heute die Frage, ob sich eine teure Sicherheitslösung lohnt für die seltenen Extremfälle. 1. Reduzierte Funktionalität auf dem Smart-Phone a. Read-Only-Zugang einige Buchungen, b. Ditto alle Buchungen c. Zahlungen erfassen (nicht auslösen) d. Konto-Überträge e. Börsentransaktionen, Konto-Überträge f. Zahlungsvorlagen und Yellowbill/EBPP g. White-Listing-Zahlungen h. Zahlung auf Fremdkonten mit Limiten (Prepaid) 2. Volles ebanking Wo ist die Passwort- Grenze? 3. Smart-Phone als Zusatzgerät zum PC-basierten Banking Photo-Scan von ES 27.3.2013 14

2. Stufe 1. Stufe Die neue Idee: Nur einfaches Login, dafür Transaktionssignatur Bankkunde Bank Authentisierung des Kunden z.b. durch Login Kontoübersicht + plausible Transaktionen Login Kontodaten plausible Transaktionen Zusätzliche Autorisierung z.b. durch Code per SMS Transaktion alle Transaktionen + wichtige Änderungen Transaktionsautorisierung Mögliche Probleme: - Schutz der Vertraulichkeit - Verwendung der Konto-Infos zur Benutzer- Identifikation 27.3.2013 15

Zusammenfassung Behörden und Organisationen für Rettung und Sicherheit Buy your own device - Mobilität ist ein Fakt und nimmt weiter zu (Smart-Phone, Tablet, BYOD, Banken, Industrie, BORS). - Moderne mobile Geräte sind weniger sicher als traditionelle Notebooks (Integration ist schwieriger, Zugriff ist leichter, Plattformen haben Mängel). - Smart-Phone- und Tablet-eBanking ist weniger sicher als PC-basiertes ebanking (Token fehlen noch). - ebanking wird vermehrt zweistufig gebaut (im Mobile-Bereich notgedrungen, im traditionellen Bereich aus Kostengründen). - Mobilgeräte als Zusatzgerät erhöhen die Sicherheit der traditionellen Kanäle (Informationskanal) und den Komfort (Scanner). 27.3.2013 16

Danke Präsentation im Internet unter: http://www.cnlab.ch/en/company/publications.html Paul Schöbi paul.schoebi@cnlab.ch +41 55 214 33 33 27.3.2013

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback