Banken in Singapur und Passkeys: Der Ersatz für SMS-OTP

Die Monetary Authority of Singapore (MAS) hat angekündigt, dass alle großen Privatkundenbanken des Landes in den nächsten drei Monaten OTPs auslaufen lassen und durch „digitale Token“ ersetzen müssen. Dieser Schritt, in Zusammenarbeit mit der Association of Banks in Singapore (ABS), soll Verbraucher vor Phishing und anderen Betrugsmaschen schützen, die im Jahr 2023 Kosten von über 14 Millionen US-Dollar verursacht haben. In diesem Blogbeitrag möchten wir Folgendes besprechen:

• OTP abschaffen: Warum priorisiert die MAS die Abschaffung von OTPs?
• Digitale Token: Was sind digitale Token und warum sind sie sicherer?
• Passkeys: Könnten Passkeys dabei helfen, die neuen Anforderungen zu erfüllen?

Beginnen wir mit einem genaueren Blick auf die Ankündigung der Monetary Authority of Singapore (MAS) „Banks in Singapore to Strengthen Resilience Against Phishing Scams“.

Am 9. Juli 2024 kündigten die Monetary Authority of Singapore (MAS) und die Association of Banks in Singapore (ABS) einen wichtigen Schritt zur Erhöhung der Sicherheit im digitalen Banking an, indem die Verwendung von Einmalpasswörtern (OTPs) schrittweise eingestellt wird. Dieser Übergang soll in den nächsten drei Monaten erfolgen und zielt darauf ab, Verbraucher besser vor Phishing-Betrug zu schützen, der zur Hauptbedrohung im digitalen Banking geworden ist. Obwohl sich die Ankündigung nur auf „Einmalpasswörter“ und OTPs bezieht, zielt sie speziell auf SMS-OTPs ab.

Kunden, die ihre digitalen Token auf ihren mobilen Geräten aktiviert haben, müssen diese Token nun für die Anmeldung bei ihren Bankkonten über Browser oder mobile Banking-Apps verwenden. Der digitale Token authentifiziert die Anmeldungen der Kunden, ohne dass OTPs benötigt werden, die von Betrügern gestohlen oder durch Täuschung von Kunden erlangt werden können. Im nächsten Kapitel werden wir genauer erläutern, was digitale Token sind.

Technologische Fortschritte und ausgefeilte Phishing-Techniken haben die Sicherheit, die SMS-OTPs einst boten, überholt. Betrüger erstellen mittlerweile gefälschte Bank-Websites, die echten Seiten sehr ähnlich sehen, um Kunden zur Eingabe ihrer OTPs und anderer Anmeldedaten zu verleiten. Der Wechsel zu Phishing-resistenten Authentifizierungsfaktoren stärkt die Sicherheit und macht es für Betrüger erheblich schwieriger, unbefugten Zugriff auf das Konto eines Kunden zu erlangen.

Phishing-Betrug bleibt in Singapur ein anhaltendes Problem. Die Banken arbeiten weiterhin eng mit der MAS und der Polizei von Singapur zusammen, um Maßnahmen zu entwickeln und einzuführen, die die kollektive Widerstandsfähigkeit gegen die sich ständig weiterentwickelnde Betrugslandschaft stärken. Frau Ong-Ang Ai Boon, Direktorin der ABS, betonte, dass die neue Maßnahme zwar einige Unannehmlichkeiten mit sich bringen mag, aber ein notwendiger Schritt sei, um Betrug zu verhindern und Kunden zu schützen.

Frau Loo Siew Yee, Assistant Managing Director (Policy, Payments & Financial Crime) bei der MAS, hob hervor, dass die MAS sich verpflichtet fühlt, eng mit den Banken zusammenzuarbeiten, um Verbraucher vor Betrug im digitalen Banking zu schützen. Sie merkte an, dass diese neueste Maßnahme gute Cyber-Hygienepraktiken ergänzen wird, die Kunden weiterhin befolgen sollten, wie zum Beispiel den Schutz ihrer Bankdaten.

Diese Maßnahme von MAS und ABS zeigt ihr Engagement für die Verbesserung der Sicherheit im digitalen Banking durch die Vorschrift zur Verwendung digitaler Token. Was in der Ankündigung fehlt, ist eine klare Beschreibung der Anforderungen an digitale Token im Sinne der Authentifizierung. Schauen wir uns das im nächsten Abschnitt genauer an.

Digitale Token stellen einen Fortschritt in der Online-Sicherheit dar und bieten eine stärkere Alternative zu herkömmlichen SMS-Einmalpasswörtern (OTPs). Im Gegensatz zu SMS-OTPs, die per SMS (oder E-Mail) übertragen und abgefangen oder durch Phishing erbeutet werden können, sind digitale Token an ein bestimmtes Gerät gebunden, typischerweise ein Mobiltelefon. Dies stellt sicher, dass nur der Gerätebesitzer die erforderlichen Authentifizierungscodes generieren kann.

Digitale Token können unterschiedlich funktionieren:

• Zeitbasierter digitaler Token (weniger sicher): Diese Token sind zeitbasierte, dynamische Codes, die zur Authentifizierung der Identität eines Nutzers verwendet werden. Sie werden von einer nativen App auf dem Mobilgerät des Nutzers erzeugt, wie zum Beispiel einer proprietären App der Bank. In den meisten Implementierungen wird der eigentliche Code nicht mehr angezeigt, sondern nur noch eine Push-Benachrichtigung, die den Nutzer um Zustimmung zu den Transaktionsdetails bittet und dann an den Bankserver zurückgesendet wird.
• Kryptografischer digitaler Token (sicherer): Ein kryptografischer digitaler Token stellt eine noch sicherere Authentifizierungsmethode im Vergleich zu zeitbasierten Token dar. Er nutzt ein Public-Private-Key-Paar, das in der App oder in der Secure Enclave des Mobiltelefons gespeichert ist. Während des Authentifizierungsprozesses sendet der Bankserver eine „Challenge“ (Herausforderung) an das Gerät des Nutzers. Das Gerät verwendet dann seinen privaten Schlüssel, um diese Challenge zu signieren, und die signierte Antwort wird an den Server zurückgesendet. Der Server überprüft die Signatur mit dem entsprechenden öffentlichen Schlüssel. Diese Methode stellt sicher, dass selbst wenn ein Angreifer die Kommunikation abfängt, er den Authentifizierungsprozess ohne Zugriff auf den privaten Schlüssel des Nutzers, der sicher auf dem Gerät gespeichert bleibt, nicht nachbilden kann.

Die Sicherheit digitaler Token wird durch mehrere Schlüsselmerkmale gestärkt:

1. Gerätebindung: Der Token ist an ein bestimmtes Gerät gebunden, was bedeutet, dass die Authentifizierungscodes nur von diesem Gerät generiert werden können. Diese Gerätebindung macht es für Angreifer extrem schwierig, den Token zu replizieren oder auf ein anderes Gerät zu übertragen.
2. Multi-Faktor-Einrichtung: Die erstmalige Einrichtung des digitalen Tokens erfordert oft die Verwendung von OTPs, die per SMS und E-Mail gesendet werden, um die Identität des Nutzers zusätzlich zur Banking-PIN zu überprüfen (einige Banken ersetzen mit diesem Ansatz auch physische Token. Dann kann der physische OTP-Token verwendet werden). Sobald der Token aktiviert ist, wird er zur primären Authentifizierungsmethode, wodurch die Notwendigkeit zukünftiger OTPs und ihrer damit verbundenen Schwachstellen entfällt. Zum Beispiel verwendet die DBS Bank eine Kombination aus SMS- und E-Mail-OTPs bei der Ersteinrichtung des digitalen Tokens, danach basiert die laufende Authentifizierung ausschließlich auf dem Token.
3. Zeitbasierter oder kryptografischer Schutz: Digitale Token verwenden starke kryptografische Algorithmen oder zeitbasierte Algorithmen (TOTP), um die Authentifizierungscodes zu generieren. Dies stellt sicher, dass die Codes selbst bei einem Abfangen der Kommunikation zwischen dem Gerät und dem Authentifizierungsserver nicht einfach entschlüsselt oder gefälscht werden können.

Die DBS Bank, ein großes Finanzinstitut in Singapur, hat erfolgreich digitale Token implementiert, um die Sicherheit für ihre Kunden zu erhöhen. Die Bank verlangt:

• Etwas, das der Nutzer weiß: PIN
• Etwas, das der Nutzer hat: SMS-OTP (Zugriff auf das der Telefonnummer zugewiesene Telefon)
• Etwas, das der Nutzer hat: E-Mail-OTP (Zugriff auf die dem Konto zugewiesene E-Mail)

um den digitalen Token auf dem Mobilgerät eines Kunden einzurichten. Einmal eingerichtet, wird der digitale Token zur alleinigen Methode zur Authentifizierung von Anmeldungen und Transaktionen, was das Risiko von Phishing-Angriffen, die auf OTPs abzielen, wirksam mindert.

Falls die verknüpfte E-Mail-Adresse nicht aktuell ist und kein physischer Token verfügbar ist, kann der Nutzer den digitalen Token mit Fallback-Optionen einrichten:

Die Fallback-Optionen umfassen die digitale Identität mit Singpass, die Nutzung eines Video-Teller-Automaten (VTM) in einer Filiale in der Nähe des Kunden oder die Anforderung eines Registrierungscodes, der innerhalb von 3-5 Tagen per Post zugesandt wird.

Der Wechsel von OTPs zu digitalen Token behebt mehrere Schwachstellen, die mit traditionellen Authentifizierungsmethoden verbunden sind:

• Teilweise Phishing-Resistenz: Da digitale Token direkt auf dem Gerät des Nutzers generiert und verwendet werden, besteht kein Risiko des Abfangens durch Phishing. Selbst wenn ein Betrüger einen Nutzer dazu verleitet, seine Anmeldedaten preiszugeben, kann er ohne physischen Zugriff auf das Gerät nicht den erforderlichen Authentifizierungscode generieren.
• Reduzierte Angriffsfläche: Durch den Wegfall von SMS und E-Mail als Übertragungskanäle für Authentifizierungscodes reduzieren digitale Token die Angriffsfläche, die Betrüger ausnutzen können.
• Benutzerfreundlichkeit: Obwohl die Ersteinrichtung zusätzliche Schritte erfordern kann, ist die laufende Nutzung digitaler Token für die Nutzer nahtlos und bequem. Sie müssen nicht mehr auf das Eintreffen eines OTPs per SMS oder E-Mail warten, was manchmal verzögert oder blockiert werden kann.

Obwohl der Schutz vor Phishing teilweise verbessert wird, besteht das neue Risiko darin, dass Kunden Opfer von MFA-Fatigue-Angriffen werden. Da sie ständig an Authentifizierungsanfragen für digitale Token gewöhnt sind, könnte ein Angreifer dies ausnutzen und eine solche Anfrage von einer Phishing-Seite aus senden.

Aus diesem Grund haben größere Tech-Unternehmen (z. B. Google und Microsoft), die viele Sicherheitsverletzungen erlebt haben, begonnen, „Challenges“ (Herausforderungen) in diese Push-Benachrichtigungen einzubauen, zum Beispiel durch die Auswahl der richtigen Zahl, um Kunden zu schützen.

Digitale Token bieten eine sicherere Methode zur Authentifizierung in der digitalen Bankenlandschaft, eliminieren das Phishing-Risiko jedoch nicht vollständig. Ein Angreifer könnte ein Opfer immer noch dazu verleiten, seinen Zugriff zu authentifizieren, indem er es überzeugt, Anfragen für digitale Token zu bestätigen. Die Implementierung der DBS Bank hat gezeigt, dass es möglich ist, Kunden einfach in eine andere Form der Authentifizierung zu überführen, indem man bestehende Faktoren kombiniert. An diesem Punkt stellt sich die Frage: Warum führen die MAS und die DBS Bank keine Passkeys ein? Schauen wir uns das an.

Wie wir gesehen haben, stellen digitale Token im Vergleich zu herkömmlichen SMS-OTPs einen Fortschritt bei der Absicherung von digitalen Bankgeschäften dar. Obwohl digitale Token verbesserte Sicherheitsfunktionen bieten, sind sie nicht vollständig Phishing-resistent. Ein Angreifer könnte ein Opfer immer noch dazu verleiten, eine betrügerische Anfrage zu authentifizieren, indem er es überzeugt, Aufforderungen für digitale Token zu bestätigen. Diese anhaltende Schwachstelle deutet darauf hin, dass digitale Token zwar eine Verbesserung darstellen, aber keinen ausreichend mutigen Schritt zur Absicherung des Online-Bankings bedeuten.

Passkeys bieten eine wirklich Phishing-resistente Authentifizierungsmethode. Im Gegensatz zu digitalen Token sind Passkeys von Natur aus resistent gegen Phishing-Angriffe, da sie nur auf der korrekten Website oder Anwendung verwendet werden können. Dies stellt sicher, dass Nutzer nicht dazu verleitet werden können, ihre Anmeldedaten auf einer betrügerischen Seite einzugeben. Passkeys basieren auf der Public-Private-Key-Kryptografie, bei der der private Schlüssel sicher auf dem Gerät des Nutzers gespeichert und in der Cloud des zugehörigen Betriebssystems sicher verschlüsselt wird. Der öffentliche Schlüssel wird mit dem authentifizierenden Dienst geteilt.

So erhöhen Passkeys die Sicherheit:

1. Phishing-Resistenz: Passkeys eliminieren das Risiko, Authentifizierungsdetails auf gefälschten Websites einzugeben. Da der Authentifizierungsprozess nur auf der legitimen Seite fortgesetzt werden kann, die die Challenge ausgestellt hat, werden Phishing-Versuche wirkungslos. Es ist technisch unmöglich, einen Passkey auf der falschen Seite zu verwenden, und es ist für einen durchschnittlichen Verbraucher auch unmöglich, einen Passkey an eine fremde Partei zu exportieren.
2. Unterstützung für mehrere Geräte: Im Gegensatz zu digitalen Token, die oft an ein einziges Gerät gebunden sind, können Passkeys auf sichere Weise über authentifizierte Geräte innerhalb derselben Cloud oder desselben Passwort-Managers synchronisiert werden. Dies bietet Flexibilität und Komfort für Nutzer, die von verschiedenen Geräten auf ihre Bankdienstleistungen zugreifen.
3. Starke Gerätesicherheit: Passkeys erfordern, dass 2FA innerhalb der mobilen Betriebssystem-Ökosysteme (wie iOS oder Android) aktiviert ist. Diese zusätzliche Sicherheitsebene stellt sicher, dass selbst bei einem kompromittierten Gerät der Angreifer die 2FA des Geräts umgehen müsste, um auf die Passkeys zuzugreifen. Wir haben die Details bereits bei der Erläuterung der SCA/PSD2-Details zu Passkeys erläutert und erklärt, warum synchronisierte Passkeys für das Banking verwendet werden können.

Australien hat die Bedeutung der Phishing-resistenten Authentifizierung in seinem Essential Eight Standard anerkannt, der Best Practices für die Cybersicherheit umreißt. Der Standard erwähnt ausdrücklich die Notwendigkeit technischer Anforderungen, die Phishing-Risiken mindern, und positioniert Australien als führend in der Cybersicherheit im asiatisch-pazifischen Raum. Singapur sollte mit seiner fortschrittlichen digitalen Infrastruktur dem Beispiel Australiens folgen, indem es Passkeys in seine Standards und Empfehlungen für Unternehmen integriert. Dies würde nicht nur die Sicherheit stärken, sondern Singapur auch an globale Best Practices in der digitalen Sicherheit anpassen.

Die Bankenbranche wartet auf klare regulatorische Leitlinien, die die Verwendung von synchronisierten Passkeys im Bankwesen ausdrücklich erlauben würden. Ein solcher Schritt würde den Banken das Vertrauen geben, diese fortschrittliche Technologie zu übernehmen und ihren Kunden eine wirklich sichere und bequeme Authentifizierungsmethode anzubieten. Die Monetary Authority of Singapore (MAS) hat die Möglichkeit, einen neuen Standard in der digitalen Banksicherheit zu setzen, indem sie die Verwendung von Passkeys befürwortet. Damit würde die MAS ihr Engagement für wegweisende Sicherheitsmaßnahmen signalisieren und sicherstellen, dass Singapur an der Spitze der Innovation im digitalen Banking bleibt.

Die Umstellung der Nutzer auf sicherere digitale Token ist ein bedeutender Schritt zur Verbesserung der Online-Banking-Sicherheit in Singapur. Mit Blick auf die Zukunft ist es jedoch für Banken unerlässlich, mit der Einführung von Passkeys zu beginnen, die zum De-facto-Standard für die Web-Authentifizierung werden. Hier sind einige wichtige Empfehlungen für Banken in Singapur, um ihre Sicherheits-Infrastruktur zukunftssicher zu machen:

1. Frühzeitig mit dem Sammeln von Passkeys beginnen: Während der Umstellung auf digitale Token sollten Banken auch damit beginnen, Passkeys von Nutzern zu sammeln. Dieser proaktive Ansatz bereitet die Banken auf einen nahtlosen Übergang vor, sobald Passkeys weithin akzeptiert und angenommen werden. Durch die Integration der Passkey-Sammlung in die aktuellen Onboarding- und Authentifizierungsprozesse können Banken schrittweise eine sichere Datenbank von Passkeys aufbauen.
2. PINs durch Passkeys ersetzen: Ein praktischer und sofortiger Schritt zur Einführung von Passkeys ist der Ersatz traditioneller PINs durch Passkeys. Passkeys bieten eine sicherere und bequemere Alternative zu PINs und nutzen die Public-Private-Key-Kryptografie. Durch die Implementierung von Passkeys als primäre Authentifizierungsmethode können Banken die Sicherheit erhöhen und gleichzeitig ein reibungsloseres Nutzererlebnis bieten.
3. Passkeys als ersten Faktor oder zusätzliche Risikomaßnahme einsetzen: Passkeys können als erster Authentifizierungsfaktor oder als zusätzliche Risikomaßnahme in Multi-Faktor-Authentifizierungs-Setups (MFA) verwendet werden. Die Einbindung von Passkeys in den Authentifizierungsprozess bietet eine zusätzliche Sicherheitsebene und macht es für Angreifer erheblich schwieriger, Nutzerkonten zu kompromittieren. Banken können damit beginnen, Passkeys als optionale Sicherheitsfunktion anzubieten und sie schrittweise zu einem Standardbestandteil des Authentifizierungsprozesses zu machen.
4. Kunden über Passkeys aufklären: Eine erfolgreiche Implementierung von Passkeys erfordert das Bewusstsein und die Akzeptanz der Kunden. Banken sollten in Aufklärungskampagnen investieren, um Kunden über die Vorteile und Sicherheitsmerkmale von Passkeys zu informieren. Eine klare Kommunikation darüber, wie Passkeys funktionieren und welche Rolle sie beim Schutz vor Phishing-Angriffen spielen, wird mehr Kunden ermutigen, diese Technologie zu übernehmen.
5. Mit Regulierungsbehörden und Branchenkollegen zusammenarbeiten: Banken sollten aktiv mit Regulierungsbehörden wie der Monetary Authority of Singapore (MAS) und Branchenkollegen zusammenarbeiten, um standardisierte Richtlinien für die Implementierung von Passkeys zu etablieren. Gemeinsame Anstrengungen gewährleisten einen konsistenten und sicheren Ansatz im gesamten Bankensektor und verbessern die allgemeine Sicherheit des digitalen Bankings in Singapur.
6. In Infrastruktur und Support-Systeme investieren: Die Implementierung von Passkeys erfordert eine robuste Infrastruktur und Support-Systeme. Banken sollten in die notwendige Technologie und Ressourcen investieren, um die Passkey-Authentifizierung zu unterstützen, einschließlich sicherer Schlüsselverwaltungssysteme und der Integration in bestehende Authentifizierungs-Frameworks. Ein reibungsloses und sicheres Nutzererlebnis ist für eine breite Akzeptanz entscheidend.
7. Aufkommende Bedrohungen überwachen und sich anpassen: Die regelmäßige Überwachung der Bedrohungslandschaft und die entsprechende Aktualisierung der Sicherheitsmaßnahmen helfen den Banken, potenziellen Risiken einen Schritt voraus zu sein. Passkeys, kombiniert mit laufenden Sicherheitsverbesserungen, bieten eine widerstandsfähige Verteidigung gegen aufkommende Phishing- und Betrugstaktiken.

Durch die Befolgung dieser Empfehlungen kann die Sicherheit der Authentifizierung im singapurischen Bankensektor weiter erhöht werden und auch ihre Integration in Compliance-Frameworks und Standards wie den Safe App Standard finden, der derzeit die Erwähnung von Passkeys als Authentifizierungstechnologie vermissen lässt.

Zusammenfassend lässt sich sagen, dass die Ankündigung der Monetary Authority of Singapore (MAS), SMS-OTPs auslaufen zu lassen und auf digitale Token umzusteigen, einen entscheidenden Schritt zur Stärkung der Sicherheit im digitalen Banking darstellt. Dieser Schritt begegnet der eskalierenden Bedrohung durch Phishing-Betrug, der Verbraucher und den Bankensektor erheblich beeinträchtigt hat.

• Warum OTPs abschaffen: Die MAS priorisiert die Abschaffung von OTPs aufgrund ihrer Anfälligkeit für Phishing und Abfangen. Betrüger haben die Schwachstellen von SMS-OTPs ausgenutzt, was die Notwendigkeit sichererer Authentifizierungsmethoden erforderlich macht.
• Was sind digitale Token: Digitale Token bieten erhöhte Sicherheit, da sie an ein Gerät gebunden sind und starke kryptografische Algorithmen verwenden. Dies macht sie widerstandsfähiger gegen Phishing-Angriffe im Vergleich zu herkömmlichen OTPs. Sie bieten auch Komfort und reduzieren die Angriffsfläche, indem sie die Notwendigkeit von SMS- oder E-Mail-basierten Authentifizierungscodes eliminieren.
• Können Passkeys dem singapurischen Bankwesen helfen: Passkeys erweisen sich als überlegene Alternative und bieten eine robuste, Phishing-resistente Authentifizierung. Durch die Nutzung der Public-Private-Key-Kryptografie stellen Passkeys sicher, dass die Authentifizierung nur auf legitimen Seiten erfolgen kann, was die Phishing-Risiken erheblich mindert. Ihre Unterstützung für mehrere Geräte und die starke Gerätesicherheit erhöhen ihre Attraktivität zusätzlich.

Bei der Untersuchung der Vorteile digitaler Token haben wir ihre Grenzen bei der vollständigen Beseitigung von Phishing-Risiken festgestellt. Passkeys hingegen bieten eine umfassende Lösung, die mit internationalen Best Practices in der digitalen Sicherheit übereinstimmt. Während der Übergang zu digitalen Token ein Schritt nach vorne ist, sollte das oberste Ziel die Einführung von Passkeys als zukünftiger Standard für die Authentifizierung im digitalen Banking sein.