Neues von VR-Protect

Transcription

Neues … nicht nur von VR-Protect
… oder wie man Endkunden-Sicherheit als Instrument zur
Erlösoptimierung und Kostensenkung einsetzen kann
23 von 68 Folien sind
„neue Blaue Folien“
Dr. Frank Bock
CORONIC GmbH, Kiel
www.coronic.de
fb@coronic.de
Vortrag: http://www.coronic.de/info
CORONIC GmbH | www.coronic.de | info@coronic.de | Schauenburgerstrasse 116 | 24118 Kiel | Telefon: +49 431 530 237 0 | Fax +49 431 530 237 90
Seite 1
Agenda
Über die CORONIC GmbH (ganz kurz)
PROTECT Browser
Sicherheit als strategisches Ziel der Bank
Wie arbeiten Banking-Trojaner auf dem PC? (nur Bilder)
Was macht der gehärtete Browser PROTECT? (ein wenig Technik)
Kosten sparen und neue Erlöse im Web generieren mit PROTECT! (Beispiele aus der Praxis)
Umsetzung im Kontomodell bei der Volksbank Greven (Folien aus Greven)
Einsparpotenzial und Erlöse berechnen (Excel-Tool zum selber rechnen)
Neues von VR-Protect (was noch kommt)
Diskussion & Fragen
Seite 2
CORONIC GmbH
Unternehmen und Management
Gründung
- 28. März 2003
Standort
- Kiel, Schauenburgerstraße 116
Eigenkapital
- 250.000 €
Mitarbeiter
- 19 Mitarbeiter
Gesellschafter
- Dr. Frank Bock
- Dipl.-Inf. Andreas Harder
Geschäftsfelder
- Softwareentwicklung
- Sicherheitsprodukte für Banken
Lebenslauf Frank Bock
- Aufsichtsrat der Kieler Volksbank eG (seit 2013)
- Geschäftsführender Gesellschafter
CORONIC GmbH, Kiel (seit 2003)
- Vorsitzender Dt. Sicherheitsnetz e. V. (2008 - 2013)
- Schmidt-Römhild Technologiepreis 4. Platz (2008)
- Gewinn des GründerCups in der Sparte HighTech (2004)
- Abteilungsleiter für Virtuelle Produkte, Comcity AG, Kiel (2000-2002)
- Promotion an der Universität Kiel (1997-1999)
- Graduiertenstipendium der Christian-Albrechts-Universität in Kiel (1998)
- Cebit Silver Award of Electronic Commerce, Project "autocity" (1997)
- Wissenschaftlicher Angestellter am IEAP (1996 -1997)
- Physikstudium, Atom- und Plasmaphysik, Universität Kiel (1990-1995)
- Zeitsoldat für 2 Jahre bei der Bundesmarine (1988-1990)
Seite 3
CORONIC GmbH
Kunden
Offizieller Technologiepartner der
VR-NetWorld GmbH seit 2004
Technologiepartner der GAD eG seit 2011
Im Bereich Online-Sicherheit und
Softwareentwicklung tätig für über 850
Volksbanken und Raiffeisenbanken
Entwicklung und Betrieb VR-Extranet seit 2009
Seite 4
Agenda
PROTECT Browser
Diskussion & Fragen
Seite 5
Strategische Herausforderungen der Bank
Finanzinstitute sind heute zwei dominanten Kräften ausgesetzt
Beratungsqualität
Den Folgen der IT-Revolution und den damit einhergehenden Veränderungen im Markt
sowie den immer komplexeren Anforderung auf Kundenseite („Online-Produktabsatz“) webErfolg
Nicht zinsgebundene Erlöse
Den stetig zurückgehenden Provisions- und Zinserträgen
Kostendruck
sowie dem begleitenden Kostendruck („Niedrigzins-Klemme“)
Basel III
Dem kann mit einer neuartigen Sicherheitsstrategie begegnet werden
Sicherheit als Kostenbremse: Belegkosten sparen, SB-Automatenkosten sparen,
Online-Quote erhöhen, Phishing reduzieren
Sicherheit als neue Erlösquelle: Nicht zinsgebundene Erlöse durch
Sicherheitsprodukte erzielen
Sicherheit als Vertriebs- und Marketinginstrument: Neukunden gewinnen,
Image verbessern, vom Mitbewerber abheben
Seite 6
Sicherheit als strategisches Ziel für Banken
Outside-In
„Arbeitsumgebung
sauber halten“
Standard Lehrmeinung aller Sicherheitsfirmen
und offizieller Stellen
• Mit viel Aufwand umsetzbar in Firmen
• Umsetzbar von Menschen mit guten IT-Kenntnissen
Maßnahmen werden trotzdem von modernen
Banking-Trojanern regelmäßig unterlaufen
Inside-Out
„Trotz Kompromittierung
sicher arbeiten“
ENISA 2012: „Privater PC muss als
kompromittiert betrachtet werden“
Umsetzung
Schutzsoftware, Firewalls und Anti-Malware
Softwarekomponenten aktuell halten,
sicher und umsichtig arbeiten
• Sicherung des eigenen BankingProzesses, nicht des ganzen
PC/Mobilgeräts
• Gehärteter Browser mit stringenter
Whitelisting-Funktion
Umsetzung
Zweiter PC
Boot-DVD
Verzicht auf Online-Banking
Seite 7
Sicherheitstechnische Herausforderungen
„Arbeitsumgebung
sauber halten“
„Trotz Kompromittierung
sicher arbeiten“
VR-Protect
VR-ComputerCheck
Testen, Aktualisieren,
Informieren und Hilfe
Sicheres Banking trotz
Unachtsamkeit & Trojanern
protectSIGN
Signaturbasierte Transaktionen ("TAN über Internet")
Seite 8
Zwischenspiel: protectSIGN
TAN via push-Dienst auf das Smartphone
Einbindung in bank21 über eine
virtuelle Handynummer, daher …
• kaum Anpassungen der internen
SMS-basierten Prozesse nötig
• sehr transparent für EBLMitarbeiter und Kunden
Deutlicher Hinweis auf Zahlbetrag
(andere grafische Darstellungen sind
individuell einstellbar)
Timeline
•
GAD Feldversuch für den Ersatz der
SMS-TAN durch push-Dienste im
Online-Banking verlief 2014 erfolgreich
(Produktname: Sm@rtSIGN)
•
2015 Fusion der Rechenzentren
(keine weiteren Entscheidungen)
•
Seit 08/2015 Feldversuch der DZ- und
WGZ-Bank zur Autorisierung von
Kreditkartenzahlungen
•
Die Entscheidung, welcher push-Dienst
im „ex“-GAD-Gebiet eingeführt wird, ist
gerade in Klärung.
Verfügbar auf iOS und Android
Fotostrecke zum CORONIC Produkt protectSIGN: www.coronic.de/medien
Seite 9
Zwischenspiel: Computercheck
Technisches Versagen im Browser
Von den klassischen Drive-By-Angriffen
bis hin zu Facebook-Clickjacking gilt:
•
Trojaner verbreiten sich immer durch
Schwachstellen in Browsern,
Betriebssystem und Browser-Plugins.
•
Banking-relevante Trojaner nutzen
heute größtenteils Java oder Flash.
•
Über drei Viertel aller Browser haben
Schwachstellen, die für remote code
execution ausgenutzt werden können.
Untersucht wurden 250.000 private PCs von Bankkunden in Deutschland
Handbuch und praktische Tipps unter: www.coronic.de/webbank-bilder
Seite 10
Weniger Fehlerquote bedeutet weniger Phishing und weniger Support
Typischer Rückgang der
Fehlerquote nach
wenigen Wochen
100%
90%
Fehlerquote, d. h. Zahl der PCs
mit mindestens einem Fehler
80%
80%
70%
70%
Bis zu einer Vollzeitstelle EBL-Kosten
einsparen, indem man alle Kunden
mit "Darstellungsproblemen" zuerst
durch den Computercheck schickt
60%
60%
50%
50%
40%
30%
Fehlerquote eines Jahres,
kummuliert über mehrere Institute
Mai Juni Jul Aug Sep Okt Nov Dez Jan Feb
Typischer Rückgang der
Fehlerquote nach
einem Jahr
Halb so viele Fehler!
Halb so viel Phishing!
Seite 11
MaSI Anforderungen
„Unterstützung und Orientierung bei der
sicheren Nutzung der Internetzahlungsdienste“
Informiert den Kunden über persönliche Sicherheitslücken
Sensibilisiert für das Thema Sicherheit
Bietet individuelle Hilfe und Lösungen zur Verbesserung der
privaten Sicherheit im Internet
Unterstützt bei konkreten Fragen über die Kundenhotline
Verbessert Kundenvertrauen und Kundenbindung
Verbessert die gefühlte Sicherheit (Hilft, stützt und schützt)
Seite 12
Agenda
PROTECT Browser
Diskussion & Fragen
Seite 13
Wie arbeiten Banking-Trojaner auf dem PC?
Beispiel: Die gefälschte Freischalt-TAN
Dem Kunden wird suggeriert, er habe
sich 2x falsch angemeldet und solle jetzt
eine Freischalt-TAN generieren.
Dem Kunden wird aber eine konkrete
Zielkontonummer und ein hoher
Überweisungsbetrag am Monitor
angezeigt, den er abtippen muss.
Ohne zu lesen überträgt der Kunde die
TAN zurück und bestätigt damit die obige
Überweisung.
Er beklaut sich gewissermaßen selbst!
Quelle: CORONIC GmbH, 2007
Seite 14
Beispiel: Die TAN-Generator Synchronisierung
Dem Kunden wird suggeriert, er müsse seinen
„TAN-Generator synchronisieren“.
Überweisungsbetrag angezeigt.
Ohne zu lesen überträgt der Kunde die TAN und
bestätigt damit die obige Überweisung.
Quelle: Sparkasse Köln/Bonn 2010
Seite 15
Beispiel: Der Handy-Identitätscheck
Dem Kunden wird suggeriert, er
solle an einer wichtigen „HandyIdentitätsprüfung“ teilnehmen.
Überweisungsbetrag am Monitor
angezeigt.
TAN und bestätigt damit die obige
Überweisung.
Quelle: Postbank, 2011
Seite 16
Beispiel: Anmeldung eines zweiten Handys
Dem Kunden wird suggeriert, er solle ein
zweites Handy anmelden, um bei Verlust
handlungsfähig zu bleiben.
Überweisungsbetrag angezeigt.
TAN und bestätigt damit die obige
Überweisung.
Quelle: Kreissparkasse Böblingen, 2012
Seite 17
Alle so genannten Angriffe sind nur Tricks
Beispiel: Die vermeintliche Rücküberweisung
Dem Kunden wird suggeriert, er hätte
"aus Versehen" einen hohen Betrag
überwiesen bekommen und er
möchte diesen bitte
zurücküberweisen.
Ihm wird eine Zielkontonummer
und ein Rück-Überweisungsbetrag
angezeigt.
Wenn er dieser Überweisung
zustimmt, beklaut sich der Kunde
gewissermaßen selbst.
Quelle: Volksbank Kraichgau, 2012
Seite 18
Beispiel: Die vermeintliche Testüberweisung
Dem Kunden wird suggeriert, er wäre ein
Testkunde für das neue Online-Banking und er
wird gebeten eine Testüberweisung
durchzuführen.
Ihm wird eine „Test-“ Zielkontonummer und
ein „Test-“ Überweisungsbetrag angezeigt.
Wenn er dieser Überweisung zustimmt,
beklaut sich der Kunde gewissermaßen
selbst.
Quelle: Hamburger Volksbank, 2014
Seite 19
Agenda
PROTECT Browser
Diskussion & Fragen
Seite 20
Was macht der gehärtete Browser?
Verhindert menschliches Versagen vor dem PC
Aber wie wäre es mit einem spezialisierten
Browser, nur für Bank-Geschäfte?
Jeder Geschäftsprozess kann durch
manipulative Einblendungen am Monitor
unterlaufen werden. Der Kunde beklaut
sich am Ende selbst.
Die Aufgabe eines Browsers ist es, jede
Seite anzuzeigen, jedes Video abzuspielen. Er ist damit das Gegenteil einer
sicheren Software, denn er erlaubt alles!
Der Prozess ist daher
nur so sicher, wie der
Browser, mit dem er
durchlaufen wird.
Seite 21
Der gehärtete Browser
Das Konzept: Kenne deine Freunde!
Konventionelle Sicherheitssoftware
vs.
Gehärteter Protect-Browser
Der Browser darf alles
Er zeigt jede Seite, jedes Bild, spielt jeden
Klang und jedes Video.
Protect darf nur eine Sache
Er reduziert das Internet auf eine erlaubte
Seite, alles andere ist verboten.
Ich kenne jeden Feind
Stündliche Updates, riesige SignaturDateien, Fehlermeldungen der Heuristik.
Ich kenne meine Freunde
Nur gute Seiten sind erlaubt (Domain-, IP-,
Zertifikat-, Control-Überwachung).
Ich bin eine universelle Software
Stark verbreitete Software wird stark angegriffen, so werden
Millionen PCs gleichzeitig kompromittiert.
Jeder hat einen anderen Protect
Kein Protect gleicht dem anderen, wird einer gehackt, verliert
nur einer sein Geld Angriff ökonomisch unsinnig.
Ein Geschäftsprozess ist immer nur so sicher,
wie der Browser, mit dem er durchlaufen wird.
Seite 22
Der gehärtete Browser
Überblick
Sieht aus und
funktioniert wie ein
normaler Browser
Läuft ohne
Installation
(single Executable)
Startet auf
Knopfdruck
Erfordert keine
Admin-Rechte
Keine Konfiguration,
keine Fragen
Verändert nichts am
PC
Unterstützt alle
Banking-Verfahren
Integrierter Secoder
& Plugin-Support
(FirmenkundenPortal)
Seite 23
Technischer Hintergrund
Was sind die einzelnen Angriffspunkte?
Benutzer: Phishing, Täuschung,
mangelndes Vertrauen
Windows: Host-Datei,
IP-Stack, DNS, Proxy,
Firewall, Userland, WinDLLs (z.B. wininet,
winhhtp, winsock,
…"SSL-Einbruch"),
Windows-Hooks,
Rootkits, Keylogger, …
1
PROTECT
Update Server
PC-Hardware:
Hardware-Keylogger,
PC-HardwareLAN-Sniffing
3
Updateserver:
Manipulation IPStack und DNS,
Session
Session-Riding
8
2
Bankingserver: Cross-SiteScripting (XSS), FrameSpoofing
9
Windows
PROTECT: Cracking,
Speicher-Manipulation,
Fuzzing, SQL-Injections,
OpenSSL Exploits,
Programm-Austausch
PROTECT
Internet
Online-Banking
Server
HTML
Renderer
4
5
HTML/IE: Exploits,
Frame-Spoofing, XSS,
Plugins, BHOs, SessionRiding, COM-Angriffe,
Hook-Angriffe, Cracking
Internet: Man-in-theMiddle-Attack
DNS-Server: DNS
Spoofing, Cache
Poisoning
6
DNS Server
7
Seite 24
User
Phishing
Social Engineering
Mangelndes Vertrauen
HW
HW-Keylogger
LAN-Sniffing
OS
Manipulation Hosts-Datei
Manipulation DNS (DNS, IP-Stack, ...)
Manipulation Proxy
Manipulation Userland Basis-DLLs
Injizierung von DLLs in Userland-Prozesse
Manipulation über Windows-Hooks
Manipulation Treiber, Kernel-Hooks
Rootkits (ZEUS,SpyEye,Gauss,Flame,…)
SW-Keylogger
Client Manipulation Programmcode (Cracking)
Austausch des Programms
Speichermanipulationen
SQL-Injection
Open-SSL Exploits
HTML Angriffe mittels IE-Technologie
Exploits in veralteten Programmversion
Session-Riding
Angriff über COM-Schnittstelle
Hook-Angriffe
Server Manipulation DNS (DNS, IP-Stack, ...)
Session-Riding
Netz
Man in the middle attack
Manipulation DNS (DNS, IP-Stack, ...)
Seite 25
New Feature 3
New Feature 2
New Feature 1
Watchdogs
Eigene Netzwerkschicht
auf Vorrat
Ausführungskontrolle
Prozess-Starter
Laufzeit Prozess-Debugger
Hook Detection
COM Objekt Whitelist
Module Reloader
Secoder Plugin Einbindung
Clientschutz
Protect Identitätscheck
Anti-Session-Riding
Server Hacking-Schutz
Server-Client-Erkennung
Serversch.
4-Augen-Prinzip
Whitelisting
SSL only
Zertifiz.
Reduzierte Eingabe
Pflicht-Update
Single EXEcutable
Doppelte Authentifizierung
Individual CI
Mögliche
Angriffspunkte
Individual Build
SicherheitsFeatures
VR-Protect: Ein Netzwerk von
individuell konfigurierbaren
Sicherheits-Features!
VR-Protect verfügt über viele
verschiedene Sicherheits-Features, die unterschiedliche Angriffe von Trojanern verhindern
können. Wird ein Feature
geknackt, so rückt ein zweites
auf Knopfdruck nach. Dadurch
ist das Programm stets innerhalb weniger Stunden wieder in
der Lage den Angriff zu
parieren.
Bedienung
Individ.
Nicht Intrusives Programm
Große Sicherheit durch kleine Features
Einige typische Sicherheits-Features
Tastatur-Rauscher, Virtuelle Tastatur und Screenshot-Blocker
Mehrere Sicherheitsfeatures zum Verhindern des Ausspionierens von Kontonummer/Alias und PIN.
Netzwerkschicht
Eigene sichere Netzwerkschicht, um das Ausspähen und Manipulieren des Windows-basierten Netzwerkverkehrs zu verhindern (wininet.dll).
Druckfunktion
Eigene Druckfunktion, um das Nachladen von Schadsoftware durch Druckertreiber zu verhindern.
Watchdogs
Kontrollthreads zur Überwachung der Konsistenz der Browser-und Programmfunktionen.
Eigener Prozess-Starter
Prozess-Kaskade beim Programmstart zur Minimierung der Windows-Zugriffsrechte auf das laufende Programm.
Whitelisting (Netzwerkschicht)
Über URL-, IP/Port- und SSL-Zertifikat-Whitelists sind ausschließlich Internetverbindungen zu voreingestellten, sicheren Webservern und Websites
möglich. Das Herunterladen und Anzeigen anderer, möglicherweise schädlicher, Inhalte wird blockiert.
Module Reloader
Beim Programmstart werden alle vom Betriebssystem im Voraus geladenen Module (z. B. DLLs) direkt von der Festplatte erneut geladen und auf
ihre Signaturen hin überprüft. Schadprogramme, welche die Module manipuliert haben, können so nicht im Programm-Prozess aktiv werden.
Hook Detection
Alle relevanten Systemfunktionen im Prozess werden auf fremde Abfang-Routinen (Hooks) hin überprüft.
Laufzeit Prozess-Debugger
Blockieren des Debugging-Interfaces mit einem eigenen Debugger, damit keine fremden und potentiell schädlichen Debugger zur Analyse oder
Manipulation des laufenden Programms genutzt werden können.
Ausführungskontrolle
Abschottung aller relevanten Systemfunktionen durch Hooking, um ggf. eingedrungene, angreifende Software handlungsunfähig zu machen.
Seite 26
Überprüfte Sicherheit
Firma Recurity Labs in Berlin (Felix Lindner)
Überprüfung des Konzepts der dynamischen Sicherheitsfeatures
Umfassende Quellcodeanalyse im Auftrag der GAD
Test erfolgreich bestanden (eine vorerst nur hypothetische Angreifbarkeit eines speziellen Sicherheitsfeatures
unter Windows XP wurde 2012 gefixt)
Sparkassen Informatikzentrum
SIZ in Bonn (Herr Stoffel)
Penetrationstest des Produktes mit
verbreiteten Echtzeit Trojanern
Test erfolgreich bestanden
Wiederkehrende Tests mit ausgewählten Trojanern bei COR
Test erfolgreich bestanden
Seite 27
Agenda
PROTECT Browser
Diskussion & Fragen
Seite 28
Vorteil 1: Verhindert Phishing
Sichert den PC
- Schutz für schon verseuchte Systeme
Sichert den Kunden
- Auch Bedienfehler führen nicht
mehr zum Diebstahl
Spart Folgekosten
- Weniger Kulanz-Zahlungen
- Weniger Schadensfälle
- Weniger IT-Support
Seite 29
Vorteil 2: Spart Belegkosten
75% der Offline-Kunden nennen Sicherheitsbedenken als Grund für die Nicht-Nutzung des
Online-Bankings. (Onliner Atlas 2011, Initiative D21 e. V.)
Diesen "Offlinern wider Willen" bietet
PROTECT einen sicheren und einfachen
Weg ins Online-Banking
Das spart Kosten im Beleg-Banking …
- Service, Personal, Filialen, …
… und erhöht die Online-Quote
Seite 30
Vorteil 3: SB-Automaten abschalten
Viele SB-Terminals werden nur von
wenigen Kunden dauerhaft genutzt
- Einzelne Kunden direkt ansprechen
- Wechsel in sicheres Konto anbieten
- Garantie erleichtert den Wechsel
Einsparungen je Automat
bis zu 30.000 € pro Jahr
- Neuanschaffung
- Betrieb und Wartung
- ggf. Mietflächen in City-Lage
Seite 31
Vorteil 4: Neues Erlösmodell "Garantie Software"
Lösungsansätze aus der Praxis: Volksbank Greven
Für 9,90 € erwirbt der Kunde
eine 2-Jahres Garantie zum
bestehenden Kontomodell
- Der Kunde verpflichtet sich nur
noch PROTECT einzusetzen
- Die Bank überprüft die
Einhaltung des Versprechens
- Dafür gibt es eine Garantieleistung im theoretischen
Schadensfall
Seite 32
Vorteil 5: Neues Erlösmodell "Garantie Konto"
Für 1 € pro Monat erwirbt man
eine Garantie zum bestehenden
Kontomodell
- Der Kunde verpflichtet sich nur
noch PROTECT einzusetzen
- Die Bank überprüft die
Einhaltung des Versprechens
Für eine Bank mit 8.760 Online
Kunden und 20% Nutzungsquote
entspricht das 21.024 € pro Jahr!
(Lizenzkosten 3.367 € p. a.)
Seite 33
Vorteil 6: Kostensparen bei Limit-Änderungen
70-90 Limit-Änderungen pro Tag
- Aufwand bis 5 Minuten pro Limit
- 15-20 Arbeitstage pro Monat
Vertriebsweg 22 (via PROTECT) mit
hohem Limit versehen. Klassischen
Vertriebsweg (normaler Browser)
mit geringem Limit versehen.
- Spart eine Vollzeitstelle
- Reduziert Phishing
- Verbreitet PROTECT „automatisch“
Seite 34
Vorteil 7: Einsatz von VR-Protect als Stele im Foyer
Problemstellung
•
•
SB-Überweisungsautomaten
sind sehr teuer
Niemand wechselt vom Automaten
auf das Online-Banking (Funktionen
zu unterschiedlich)
Ansatz: VR-Protect „OnlineBanking Automat“ im Foyer
•
•
•
Protect-Stele günstiger und
vielseitiger als SB-Automat
Exakt der gleiche Ablauf wie
im Online-Banking
Erleichtert das Wechseln der Kunden
Seite 35
Vorteil 8: Verbessert Kundenbindung & Image
webbank+
Teaser
Seite 36
„Garantie
Pressemeldung“
Seite 37
VR-Protect CD Cover
Volksbank Lüneburger Heide
Seite 38
CDs für
Offline-Kunden
Seite 39
Zertifikat
Volksbank
Greven
Seite 40
Teaser auf
der Homepage
Seite 41
GarantieErklärung zur
NeukundenGewinnung
Seite 42
Werbung
direkt im
Kunden-Foyer
Seite 43
Presse-Artikel
Seite 44
Aktiv-Schutz für
das Banking
Seite 45
Fußball geht
immer
Seite 46
Banking-Schutz
Seite 47
Vorteil 8: Verbessert Kundenbindung & Image
Alleinstellungsmerkmal
für die Bank
- Technische Alleinstellung gegenüber
Direktbanken (Online-Mehrwerte)
Verbessert das Image der Bank
- Innovativ, sicher, modern
Stärkt die Kundenbindung
- Sicherheit und Vertrauen
Bietet echte Mehrwerte für Kunden
- Private Sicherheit im Internet
Seite 48
Tipp 1: Einen SB-Automaten abschalten
Einzelne SB-Überweisungsautomaten gezielt abschalten
SB-Automatenkosten senken
Im Controlling erfragen, wo kaum genutzte (von weniger als 200 Kunden) SB-Automaten stehen
Kunden einzeln ansprechen und PROTECT erklären/übergeben
Wechsel des Kunden in ein Garantie-Konto mit PROTECT und 1€ „Garantiekosten“ p. M.
Abschaltung eines Automaten: Bis zu 30.000 € Ersparnis p. a.
Neuanschaffung
Wartung, Betrieb, ggf. Reparatur
Mietkosten für Standfläche
Nebenkosten wie Strom, Reinigung, Überwachung
Seite 49
Tipp 2: Belegkosten einer Filiale reduzieren
Ausgewählte Belegkunden ins Online-Banking bringen
Belegkosten senken & Online Quote erhöhen
Personenkreis „Offliner wider Willen“ definieren
Selektive Kundeninformation/Kampagne für PROTECT starten
Variante A: Wechsel ins klassische Online-Konto mit PROTECT
Variante B: Wechsel ins „Garantiekonto“ mit zusätzlichen monatlichen Kosten für PROTECT
Senkung Belegkosten plus neue Erlösquelle im „Garantiekonto“
Ersparnis pro Belegkunde bis zu 100 € p. a. (4 Belege p. M. zu 2 € = 106 € p. a.)
Einnahmen pro Wechselkunde im „Garantiekonto“ bis zu 12 € p. a.
Erhöhung der Online-Quote, Chance auf mehr Online Produktabsatz
Seite 50
Tipp 3: Produktverbreitung via Limitanfrage
Phishing-Risiken bei ausgewählten Kunden senken
Bei Anfragen zur Erhöhung des Limits
Sicherheitsgespräch mit dem Kunden führen
PROTECT „für hohe Beträge“ empfehlen
Automatische Verbreitung und Reduzierung des Risikos
Produkt verbreitet sich automatisch unter Limit-Anfragern
Ausbleiben weiterer Limitanfragen
Mehr Sicherheit bei hohen Überweisungen
Seite 51
Weitere Mehrwerte von PROTECT
PROTECT unterstützt Multibank-fähige Online-Filialen (EBICS-Online)
Einzigartiges Bundle mit installationslosem Secoder, gehärtetem Browser und Plugins
PROTECT erhöht die Chancen zur Neukundengewinnung
Andere Banken können ihren Kunden derzeit kein vergleichbares Produkt anbieten
PROTECT erhöht die Online-Quote
Auch eingefleischte Offline-Kunden wechseln jetzt (Offline-Kunden kosten viel Geld)
PROTECT reduziert die Kosten für die GENO-Bankenpolice der R+V
Weniger Phishing = keine schadensbedingten Erhöhungen mehr (Kostensenkung im Folgejahr möglich)
PROTECT verdient Geld in neuen Privatkunden-Kontomodellen
"Garantie Konto" - Extra Kontomodell für Kunden/Mitglieder mit Sicherheitsbedenken
"Phishing-Versicherung"- Anti-Phishing Zusage bei Zahlung von 1€ Monat
"Weiterverkauf" - Direkter Weiterverkauf des Browsers als neue Sicherheitssoftware
Seite 52
Best of PROTECT
Wie setzen die meisten Banken PROTECT ein?
SB- und Belegkosten senken, indem man gezielt die "Offliner wider Willen"
anspricht (CD + Versprechen, Mitarbeiter einbinden!)
Online-Quote erhöhen, indem man Online-Affinität der Mitarbeiter und Kunden
gezielt verbessert und dadurch den Absatz von Produkten im Web stärkt
Mehr Erlöse, mit Kontomodell nach tatsächlichem Nutzungsverhalten
("Schalter"-, "Automaten"- und "Online"-Konto mit PROTECT)
Phishing verhindern, indem PROTECT breit an alle Kunden verteilt wird
(Mehrwerte kommunizieren, einfacher Download, evtl. Versprechen)
Seite 53
Was sagen andere Banken zum gehärteten Browser?
Sicheres Arbeiten trotz Kompromittierung
„Die GAD eG mit Sitz in Münster betreut als Spezialist für Banken-IT
Volks- und Raiffeisenbanken, Zentralinstitute und weitere Unternehmen
in der genossenschaftlichen FinanzGruppe. Seit 2012 kooperieren wir mit
der CORONIC GmbH aus Kiel bei Produktlösungen zum Thema OnlineBanking Sicherheit, wie z. B. dem gehärteten Browser PROTECT.
CORONIC hat sich dabei als verlässlicher und kompetenter Partner
erwiesen, ist immer professionell und schnell auf unsere Anforderung
eingegangen und hat dabei stets überzeugende und innovative
Lösungen für uns bereitgehalten.“
Detlev Mergemeier, Produktmanager Sicherheitssysteme im OnlineBanking der GAD eG, Münster
„CORONIC denkt mit! Wir schätzen in unserer langjährigen
Zusammenarbeit mit CORONIC die Zuverlässigkeit in der
Umsetzung von Lösungen einerseits und eine
vorausschauende Beratung unter Berücksichtigung neuester
Entwicklungen andererseits. So können wir unseren Kunden
einen interessanten Mehrwert bieten."
Ludger Woltering, Leiter Marketing, Darlehnskasse Münster
„Wir setzen den gehärteten PROTECT Browser der Firma
CORONIC seit eineinhalb Jahren bei unseren Mitarbeitern
und Kunden erfolgreich ein. Das Produkt hat zu äußerst
positiven Reaktionen bei allen unseren Kunden geführt
und ist inzwischen zu einem unverzichtbaren Bestandteil
unserer hausinternen Sicherheitsstrategie beim OnlineBanking geworden.“
Hans-Jürgen Koch, Abteilungsleiter
Betreuungsunterstützung, Volksbank Lüneburger Heide
eG, Winsen
„Als genossenschaftliches Institut liegt uns die Sicherheit unserer
Mitglieder sehr am Herzen. Wir haben uns daher schon 2013 für den
gehärteten Browser der Firma CORONIC entschieden. Ab April 2014
wird PROTECT in unserem Online-Kontomodell als feste Größe mit
Zertifikat verankert."
Andrew Termöllen, Teamleiter Zahlungssysteme, Volksbank Greven eG
Seite 54
Zusammenfassung
Sicheres Arbeiten trotz Kompromittierung
Von der vermeintlichen TANGeneratorSynchronisierung bis
zur gefälschten
Überweisung:
"Trojaner verleiten
die Nutzer sich
selber zu beklauen"
"Banking-Trojaner
setzen beim OnlineDiebstahl auf die
Manipulation der
Seiten im Browser"
"Softwarehärtung
für Browser und
Apps kann diesen
Zugriff der Trojaner
verhindern"
Die Kunden folgen
den BildschirmAnweisungen ohne
sich zu wundern.
Das erlaubt Kosten
zu sparen und neue
Erlösmodelle zu
erschließen.
Seite 55
Zusammenfassung Textversion
Die Ausgaben für Sicherheit im Online-Banking sind in den letzten Jahren auf Seiten
der Banken und der Privatanwender stark gestiegen. Trotzdem nimmt der Schaden
durch Online-Kriminalität weiter zu, denn viele Trojaner greifen nicht mehr das
Banking-Verfahren, sondern den Banking-Nutzer an. Durch gefälschte
Einblendungen im Browser und Social-Engineering wird der Nutzer manipuliert. Es
gilt daher eine komplett neue Form der Browserhärtung zu entwickeln, die sicher
gegen Manipulation ist und trotzdem so einfach und benutzerfreundlich, dass auch
technische Laien sie problemlos anwenden können. Wenn man die gefälschten
Einblendungen aller Trojaner effizient verhindern kann, scheitern automatisch alle
kriminellen Geschäftsmodelle, denn die Täuschung und Fehlinformation des
Kunden ist die Grundlage für jeden Online-Diebstahl.
Seite 56
Vorteil: Argumente für Vorstände
Im Niedrigzinsumfeld Kosten sparen mit PROTECT
Die aktuelle Zinsentwicklung verheißt nichts Gutes. Die Provisions- und Zinserträge sinken auf breiter Front. Am Ende heißt es
Kosten sparen und neue Erlösmodelle etablieren. Mit PROTECT kann man eine Vollzeitstelle in der Belegerfassung einsparen, viele
SB-Automaten abschaffen, die Online-Quote drastisch erhöhen und die Kosten für Phishing-Opfer halbieren.
Zugegebenermaßen, das klingt verwegen, aber wenn Sie sich ein paar Minuten Zeit für das neue Produkt PROTECT nehmen, kann
auch Ihr Haus mit Hilfe einer neuartigen Sicherheitslösung massiv Kosten einsparen und Neukunden gewinnen. Im Kern ist
PROTECT ein so genannter „gehärteter Browser“, also ein Instrument das Phishing im Internet verhindert, indem es die
Manipulation des Kunden durch Schadsoftware unterbricht. Aber Keine Sorge, Technik soll hier nicht das Thema sein.
Wie reduziert man nun den Personalaufwand in der Belegerfassung? Eine typische Bank hat etwa 50 % Online-Kunden. Rund die
Hälfte sind immer noch Offliner und verwenden Belege. Umfragen haben gezeigt, dass die meisten von ihnen aufgrund von
Sicherheitsbedenken offline sind. Sie würden das Online-Banking gerne benutzen (weil es privat Kosten- und Zeiteinsparung
bedeutet), haben aber Angst durch eigenes Fehlverhalten ein Opfer von Online-Betrügern zu werden. Für diese Kunden ist
PROTECT gedacht. Das Programm ist für Laien ausgelegt, wird nicht installiert, nicht konfiguriert und funktioniert einfach auf
Knopfdruck. Der klassische Online-Diebstahl ist ausgeschlossen, solange der Kunde das Produkt benutzt. So können „Offliner wider
Willen“ zum ersten Mal aktiv und sorgenfrei in das Online-Banking wechseln.
Als Folge sinken Die Kosten im Beleg- und SB-Bereich, die Phishing-Quote wird reduziert, die Online-Quote erhöht. Da hier aber
Kosten & Controlling sowie Markt & Vertrieb als auch Sicherheit & IT zusammen spielen müssen, ist die Umsetzung kein reines ITsondern ein Vorstands-Thema.
Seite 57
Agenda
PROTECT Browser
Diskussion & Fragen
Seite 58
VR-Protect im Kontomodell
Umsetzung bei der Volksbank Greven
Volksbank Greven
500 Mio. € Bilanzsumme
117 Mitarbeiter
7 Filialen
Projektteam
Dietmar Dertwinkel (Vorstand)
Andrew Termöllen (Zahlungssysteme)
Ingo Haut (Leiter Privatkunden)
Kontomodell eingeführt
Seit dem 1.4.2014
Seite 59
Umsetzung bei der Volksbank Greven
Das war wirklich wichtig
Nutzungsbezogen: „Schalter-Konto, Automaten-Konto, Online-Konto“
1:1 für alle Mitarbeiter: „Kontomodell war vorher nie ein Vertriebs-Produkt!“
Mehrwerte statt Geiz: „Konto hat jeder, wie abgrenzen?“
Analog: Bonuskartenprogramm „1,5 Cent auf jeden Liter Benzin“
Digital: Banking ohne jedes Risiko „PROTECT mit Zertifikat“
Seite 60
Umsetzung bei der Volksbank Greven nach einem Jahr (1.4.14 – 1.4.15)
Rückgang der monatlichen Belege von 12.000 auf 7.200
Kosten pro Beleg ca. 2,5 €, d. h. pro Jahr 120.000 € Kostenreduktion
Anstieg der Online-Banking-Kunden von 7.040 auf 7.680 (+9%) in 6 Monaten
Wachstum der Online-Quote +9% in einem Jahr
Verkauf von ca. 500 VR-Protect CDs zu 9,95 €
Zusätzliche Einnahmen für die Bank 4.975 €
„Durch die
Einsparungen planen wir
mit einem Mehrertrag im
sechsstelligen Bereich pro
Jahr“
Ingo Haut
Leiter Privatkunden
„Ein Konto mit einem
Zertifikat für garantierte
Sicherheit zu verkaufen
macht Spaß und ist sehr
einfach“
Andrew Termöllen
Leiter Online-Banking
Seite 61
Agenda
PROTECT Browser
Diskussion & Fragen
Seite 62
Einsparpotenzial und Erlöse berechnen
Die Norm-Bank (bzgl. Kunden, Konten, Belegen, Phishing, ….)
Diese Daten können individuell angepasst werden (z. B. Bilanzsumme)
700 Bilanzsumme (Millionen Euro)
45.924 Zahl der Kunden
31.267 Zahl der Kunden mit Kontoverbindung
13.798 Zahl der Online-Banking Kunden
2.660 Zahl der Beleg-Kunden
1.387 Zahl der SB-Überweisungs-Kunden
5.390 Zahl der Generator-Kunden (SmartTAN optic)
401 € Durchschnittliche Kosten pro Bank-Mitarbeiter und Tag
Beleg-Daten
89 € Kosten zur Betreuung eines Belegkunden p. a.
236.740 € Kosten zur Betreuung aller Beleg-Kunden p. a.
Beleghaftes Phishing
16,8 Zahl der gefälschten Belege pro Jahr
2.250 € Mittlerer Schaden
37.818 € Kosten für beleghaftes Phishing p. a.
SB-Daten
174 € Kosten zur Betreuung eines Automatenkunden p. a.
241.401 € Kosten zur Betreuung aller SB-Überweisungs-Kunden p. a.
Generator-Daten
7,41 € Kosten eines Generators für die Bank
9,96 € Verkaufspreis eines Generators an den Kunden
3,53 € Logistik-Pauschale zum Versand/Reparatur/Umtausch
10,94 € Kosten zur Betreuung eines Generator-Kunden p. a.
58.942 € Kosten zur Betreuung aller Generator-Kunden p. a.
Phishing-Daten
10,9 Zahl der gemeldeten Phishing-Fälle pro Jahr
3,0 Zahl der tatsächlich durchgeführten Phishing-Diebstähle
4.375 € Durchschnittlicher Phishing-Fall (Geklaute Summe)
301 € Aufwände bei einem Phishing-Fall (0,5-1 Arbeitstag)
16.246 € Kosten für Phishing-Fälle p. a.
Seite 63
Einsparpotenzial und Erlöse berechnen
Mittleres Einspar- und Erlöspotenzial von Online-Sicherheitsprodukten
Rechenergebnis - Erlöse und Einsparungen
Beleg-Kosten reduzieren
1. Jahr 2. Jahr
Wechselkunden im 1. Jahr 5% 11.837 €
Wechselkunden im 2. Jahr 15%
35.511 €
Reduktion beleghaftes Phishing
Rückgang Beleg-Phishing 1. Jahr 5% 1.891 €
Rückgang Beleg-Phishing 2. Jahr 15%
5.673 €
Rückgang Beleg-Phishing 3. Jahr 30%
SB-Kosten reduzieren
Wechselkunden im 1. Jahr 5% 12.070 €
24.140 €
3. Jahr
71.022 €
11.345 €
72.420 €
Erlöse im Protect-Kontomodell
Wechsler im 1. Jahr (0,5 € / Monat) 5% 4.139 €
8.279 €
24.836 €
Phishing reduzieren
Rückgang Phishing im 1. Jahr
1 4.375 €
2
8.750 €
3
13.125 €
Phishing Support-Kosten reduzieren
Rückgang Support im 1. Jahr 5%
812 €
1.625 €
3.249 €
SUMME 35.125 € 83.977 € 195.998 €
Zum Vergleich, die Kosten für PROTECT pro Jahr
Seite 64
4.284 €
Agenda
PROTECT Browser
Sicherheit als Strategisches Ziel der Bank
Diskussion & Fragen
Seite 65
1/2
VR-Protect ist derzeit bei 116 Banken im GAD Gebiet im Einsatz
VR-Protect
plus
smartTAN optic
mobileTAN
oder
In 3 Jahren kein einziger Schadensfall
Seite 66
2/2
Aus dem Rest der Welt
•
MaSI Regeln und BaFin FAQ könnten
Softwarehärtung (Kanäle) generell
wichtiger werden lassen
•
Sparkassengruppe hat im Oktober mit
der technischen Produktauswahl eines
gehärteten Browsers begonnen
(Einsatz 2018?)
•
Postbank in der Schweiz (PostFinance)
überlegt 2016 einen gehärteten Browser
für Geschäftskunden einsetzen
Seite 67
Diskussion & Fragen
Schauenburgerstraße 116
24118 Kiel
+49 431 530 237 0
www.coronic.de
frank.bock@coronic.de
Seite 68

Neues von VR-Protect

Transcription

Similar documents

Marktdaten 2006

FAQ zu VR-Protect

Ausgabe 1/2013 der Financial

Gemeindezeitung September 2015 - Marktgemeinde St. Ruprecht

Geschäftsbericht 2012

Das Haus gehört schon jetzt dir

Anleitung zum Computercheck - So installieren Sie Avira Free

Teamgeist. Fairness. Erfolg. Postbank Konzern Geschäftsbericht 2005

Anleitung zum Computercheck - Windows

Anleitung zum Computercheck - Ihr Firefox

INFO Halloween Party 2016

Freischaltung zum Online

Neuer VR-Computercheck schützt vor Drive-by