Formale Sicherheitsanalyse und Angriffe auf die OpenID Financial-grade API (Stuttgart)

Datum
14.11.2018
Uhrzeit
17:30 - 19:30 Uhr
Stuttgart (Regierungsbezirk)
Universität Stuttgart
Informatikgebäude
Hörsaal 38.02
Universitätsstraße 38
70569 Stuttgart
Teilnahmegebühr
kostenfrei

Durch die Payment Service Directive 2 wurde auf europäischer Ebene festgelegt, dass es ab Sep­tember 2019 Drittanbietern ermöglicht werden soll, Dienstleistungen von Kreditinstituten zu nutzen. Dadurch können FinTech Unternehmen mithilfe von APIs auf Da­ten eines Bankkunden zugreifen und diesem etwa per App komfortable neue Dienste anbieten. Die OpenID Financial-grade API (FAPI) bietet ein Verfahren für den Zugriff auf Daten und Ressourcen für u.a. derar­tige Finanzanwendungen. Basierend auf dem OAuth 2.0 Authoriza­tion Framework zielt die FAPI darauf ab, Sicherheit trotz bestimmter erfolgreicher Angriffe auf die Infrastruktur, von denen in solch einem Kontext auszugehen ist, zu gewährleisten.

Als Teil der Forschungsarbeit im Bereich der Websicherheit wurde die FAPI auf Basis eines am Institut für Informationssicherheit entwickelten Modells der Webinfrastruktur analysiert. Durch diese formale Analyse wurden mehrere Angriffe entdeckt, die trotz der komplexen Sicherheitsmaßnahmen einem Angreifer Zugriff auf Ressourcen eines Bankkunden geben können, etwa um unerlaubt Überweisungen im Namen des Bankkunden zu tätigen. Zur Verhinderung dieser Angriffe hat Herr Prof. Dr. Ralf Küsters zusammen mit seinem Team Gegenmaßnahmen vorgeschlagen und gezeigt, dass die modifizierten Verfahren sicher im Sinne unserer Sicherheitsdefinitionen sind. Sie stehen im engen Kontakt mit der OpenID Foundation, die für die Standardisierung der FAPI zuständig ist.

Im Rahmen des Vortrags werden die Grundlagen der Financial-grade API zusammen mit ausgewählten Aspekten der formalen Analyse vorgestellt. Des Weiteren werden die gefundenen Angriffsszenarien sowie die entwickelten Gegenmaßnahmen erläutert.

Über den Referent
Prof. Dr. Ralf Küsters ist Leiter des Instituts für Informationssicherheit der Universität Stuttgart. Vor seiner Zeit in Stuttgart hat er vor allem an der Uni Kiel, der Stanford University, der ETH Zürich sowie der Uni Trier gelehrt und geforscht.

 

Sie möchten teilnehmen? Bitte melden Sie sich hier an: Anmeldung

Die Veranstaltung findet in Kooperation mit dem Informatik Forum Stuttgart statt und ist kostenfrei.
Für Getränke und Snacks ist gesorgt.

 

 

Routenplanung
zu Google Maps



*Pflichtfelder