Materialien zum Datenschutz
Homepage

Impressum
Berlin
Deutschland
Europa
International
Recht
Technisch-Organisatorische  Maßnahmen
Aktuelles
Kontrolle
Materialien
Service
Themen

Zur Inhaltsübersicht  3.4

  Bankautomation

Man könnte meinen, die Zeit, in der Waren und Dienstleistungen mit Bargeld bezahlt wurden, geht ihrem Ende entgegen. Begriffe wie Point of Sale, elektronische Geldbörse, Cybercash und Cybermoney, Homebanking und Electronic Commerce haben sich gerade im vergangenen Jahr immer nachhaltiger in den Medien verbreitet, sie spiegeln einen weltweiten Trend wieder, der unaufhaltsam zu sein scheint. Mit immer mannigfaltigeren Innovationen versuchen Geldinstitute und Handel dem Rationalisierungsdruck hinsichtlich der Abwicklung des Zahlungsverkehrs zu begegnen. Für den Bürger wird es zusehend schwieriger, den Fluß seiner persönlichen Daten nachzuvollziehen, wenn er sich darauf einläßt bzw. mangels anderer Alternativen sogar darauf einlassen muß, seine Geldgeschäfte mittels elektronischer Medien abzuwickeln.

Insbesondere die Anonymität, wie sie bei Barzahlungen noch weitestgehend gewahrt ist, wird bei der Nutzung des elektronischen Zahlungsverkehrs einer nicht zu vernachlässigenden Gefährdung ausgesetzt. Hier bedarf es schon eines erheblichen Vertrauensvorschusses des Bürgers hinsichtlich der Redlichkeit der mit der Automation des Zahlungsverkehrs befaßten Institutionen. Hinzu kommen noch die Risiken, die sich allein daraus ergeben, daß bei der Komplexität der Systeme wohl keine der beteiligten Stellen eine absolute Garantie dazu abgeben kann, gegen eine mißbräuchliche Nutzung ihrer Systeme gefeit zu sein (auch wenn dies immer wieder behauptet wird).

Da die Gewährleistung einer ordnungsgemäßen Verarbeitung personenbezogener Daten zu den Grundanliegen der Datenschutzgesetze (§ 19 Abs.1 BlnDSG, § 18 Abs.2 BDSG) gehört, sind auch Probleme, die dem ersten Anschein nach eher dem Verbraucherschutz zuzuordnen wären, datenschutzrechtlich relevant.

Bei kartengestützten Zahlungsverfahren sind entsprechend der Liquiditätswirkung auf den Kartennutzer drei Varianten zu unterscheiden: Während bei Kreditkarten eine Kontenbelastung erst nach einer längeren Zeitspanne wirksam wird, erfolgt die Abbuchung des Zahlbetrages bei Debitkarten sehr zeitnah. Die dritte Kartenart, die Wertkarte, belastet die Liquidität ihres Nutzers hingegen bereits vor deren Einsatz im Zahlungsverkehr, da der dort gespeicherte Geldbetrag entweder durch Barzahlung oder durch eine unmittelbare Kontenbelastung beim "Aufladen" realisiert wird. Bereits beim Beantragen bzw. Erwerb dieser Karten besteht ein sehr differenziertes Niveau bei der Offenbarung personenbezogener Daten. Während bei Kreditkarten (hochpreisige Güter, höheres Einkommen) eine ganze Reihe sensibler Daten beim Antragsteller selbst oder bei anderen Institutionen (z.B. bei der SCHUFA - Schutzgemeinschaft für allgemeine Kreditsicherung) erhoben werden, kann eine derartige Datenerhebung beim Erwerber von Wertkarten (z.B. Telefonkarten) ganz entfallen.

Kreditkarten

Bei der Nutzung von Kreditkarten sind immer noch folgende wesentliche Schwachstellen zu beobachten:

Gestohlene Karten sind bis zur Sperrung durch den Karteninhaber z.B. zur Bezahlung von Waren und Dienstleistungen weiterhin einsetzbar, da bei dieser Nutzungsart keine Authentifizierung des Karteninhabers durch die Eingabe der PIN (Persönliche Identifikations-Nummer / Geheimnummer) üblich ist. Arbeitet eine Akzeptanzstelle sogar noch nach dem "Ritsch-ratsch-Verfahren", d.h. ohne Online-Prüfung bei dem jeweiligen Rechenzentrum, verhindert selbst eine unmittelbar nach dem bemerkten Verlust eingeleitete Sperrung der Karte nicht deren Mißbrauch.

Mit vergleichsweise geringem technischem Aufwand sind die auf den Magnetstreifen gespeicherten Kartendaten kopierbar, wodurch kriminellen Tätern Totalfälschungen der Karten erleichtert werden. Da die Originalkarte weiterhin im Besitz des Inhabers bleibt, fällt ein Mißbrauch mit dem Duplikat möglicherweise erst bei der Abrechnung auf. Im Gegensatz zu ec-Karten weisen Kreditkarten keinen als schwer fälschbar geltenden "MM"-Code auf, der in Geldautomaten zur Echtheitsprüfung herangezogen wird.

Zur Reduzierung von Risiken wurden einige technische und organisatorische Maßnahmen durchgesetzt bzw. angekündigt:

  • Der Algorithmus zur Ermittlung neuer Kartennummern wurde dahingehend verändert, daß die sequentielle Vergabe dieser Nummern verhindert wird. (Dieser Umstand wurde zuvor ebenfalls zur Kartenfälschung genutzt.) Paßfotos auf der Karte scheinen sich allmählich durchzusetzen.
  • Auf die Zustellung der Kreditkarten per Post wird entweder ganz verzichtet - die Übergabe der Karte erfolgt persönlich am Bankschalter - oder die Karte wird erst nach Empfangsbestätigung sowohl der Karte als auch der getrennt versandten bzw. persönlich übergebenen zugehörigen PIN freigegeben.
  • Bei der Benutzung von Kreditkarten an POS-Terminals (Point of Sale - Verkaufsstelle), die zur Autorisierung der Zahlungstransaktionen online mit dem jeweiligen Rechenzentrum verbunden sind, werden Plausibilitätsprüfungen durchgeführt. So kann beispielsweise anhand der dort gespeicherten Informationen zum bisherigen Konsumverhalten - Kaufbeträge nie über 500 DM und monatlich weniger als insgesamt 5.000 DM - bei einem aktuell geforderten Betrag von 10.000 DM eine zusätzliche Identitätsprüfung des Kartennutzers veranlaßt werden, bevor der Zahlungsvorgang akzeptiert wird. Die gleiche Wirkung kann auch eine Prüfung hinsichtlich der räumlichen Entfernung der POS-Standorte innerhalb eines kurzen Zeitintervalls haben.
  • Seit einiger Zeit vermehren sich die Ankündigungen der Anbieter von Kreditkartensystemen zur schrittweisen Ablösung der unsicheren Magnetstreifen durch Chips, die eine wesentlich höhere Fälschungssicherheit aufweisen.

Debitkarten

Ein klassisches Beispiel für eine Debitkarte ist die "ec-Karte". Diente sie anfangs seit Einführung von Euroschecks 1968 lediglich als Schecksicherungskarte und später zur Bereitstellung von Bargeld an Geldausgabeautomaten, kamen im Laufe der Zeit weitere Funktionen hinsichtlich des bargeldlosen Zahlungsverkehrs hinzu. Eine wesentliche Etappe dieser Entwicklung stellte die Inbetriebnahme des "electronic-cash-Systems" (ec-Karte + PIN) im Jahre 1990 dar. Neben diesem Zahlsystem entstand 1992 auf Druck des Handels ein Online-Lastschrift-Verfahren, das als "POZ-System" (Point Of Sale ohne Zahlungsgarantie) bezeichnet wird, und bei dem auf die Eingabe der PIN verzichtet wird. Statt dessen gibt der Karteninhaber dem Händler per Unterschrift (Vergleich mit der Unterschrift auf der Karte) auf einem Beleg zum einen eine Lastschrifteinzugsermächtigung, zum anderen eine Einwilligung zur Adreßmitteilung durch sein Geldinstitut an den Händler bei Ablehnung einer Lastschrift.

Auch die PIN stellt ein risikobehaftetes Authentifikationsmittel dar. Die PIN-Berechnung aus einigen im Magnetstreifen der ec-Karte gespeicherten Daten (die PIN selbst ist dort nicht gespeichert!) zum Abgleich mit der eingegebenen PIN erfolgt - auch im Ausland - grundsätzlich online im mit dem jeweiligen Endgerät verbundenen Rechenzentrum. Sollte diese Verbindung unterbrochen sein, besteht lediglich die Möglichkeit einer limitierten Bargeldauszahlung (Offline-Prüfung). Der dem PIN-Verfahren zugrundeliegende Algorithmus basierte bisher auf einer Verschlüsselung von Kartendaten mit geheimen Schlüsseln von 56 Bit Länge.

Aus dem Ergebnis der Verschlüsselung werden die vierstelligen PINs in einer Weise berechnet, die dazu führt, daß die PINs zwar alle Werte zwischen 1000 und 9999 annehmen können, innerhalb dieses Zahlenbereichs jedoch keine Gleichverteilung auftritt. Vielmehr gibt es bestimmte PINs, die fast zehnmal häufiger auftreten, als es bei der Gleichverteilung der Fall wäre.

Dieser Umstand und die Warnung der Experten zur Sicherheit des Verschlüsselungsverfahrens haben erstmals zu einem rechtskräftigen Urteil [Oberlandesgericht Hamm vom 17.03.1997, 31 U 72/96] geführt, in dem u.a. festgestellt wird, daß "davon ausgegangen werden muß, daß ein Täter auch ohne Mitwirkung des Karteninhabers Kenntnis von der PIN entweder durch Ausprobieren oder durch Entschlüsselung anhand der auf der Karte abgespeicherten Daten erlangt hat". Diese von den Kreditinstituten nach wie vor heftig bestrittene Feststellung bedeutet, daß ein Kreditinstitut nicht mehr so selbstverständlich von einem Betrugsversuch oder von grober Fahrlässigkeit des Kunden ausgehen kann, wenn dieser angibt, daß mit einer ihm abhanden gekommenen Karte Geld von seinem Konto abgehoben wurde.

Die meisten Kreditinstitute - leider noch nicht die Berliner Sparkasse - haben inzwischen begonnen, ihren Kunden eine neue PIN zuzuweisen und die Berechnungs- und Verifizierungsverfahren so zu verändern, daß die beschriebenen Schwächen beseitigt wurden. Das bisherige Verschlüsselungsverfahren wurde durch eine andere Version ersetzt, die doppelt so lange Schlüssel verlangt und somit nach heutigem Kenntnisstand als absolut sicher gelten kann.

Es bleibt das Problem, daß die vierstellige PIN immer noch ausgeforscht werden kann, wenn sie an Geldautomaten oder an ec-cash-Terminals vor den Augen Dritter eingegeben wird. Den damit verbundenen Risiken könnte man dadurch entgegenwirken, daß man dem Kunden die Möglichkeit eröffnet, die PIN ohne weiteres ändern zu können, wenn er den Eindruck hat, sie könnte ausgespäht worden sein. Das neue Verfahren enthält die Option, daß dem Kunden jederzeit die Möglichkeit eröffnet wird, die PIN beliebig zu wählen. Hier bestünde jedoch die Gefahr, daß Kunden sich leicht zu merkende, damit aber auch leicht zu erratende PINs wählen. Ein wirklich manipulationssicheres Authentifizierungsverfahren dürfte erst mit biometrischen Verfahren (z.B. Fingerabdruckverfahren) möglich sein, die jedoch bisher noch keinen hinreichenden Entwicklungsstand erreicht haben.

Wertkarten

Seit einiger Zeit werden von einigen Geldinstituten (bei der Berliner Sparkasse generell, bei anderen nur auf ausdrücklichen Wunsch) ec-Karten ausgegeben, in deren Kartenkörper ein Chip implantiert ist. Die mit diesem Chip verbundene Funktionalität entspricht dem einer Wertkarte, die auch als "elektronische Geldbörse" bezeichnet wird. Im Gegensatz zum Magnetstreifen, bei dem die darauf gespeicherten Daten mit vergleichsweise einfachen technischen Mitteln ausgelesen und verändert werden können, ist der Chip als ein eigenständiger "intelligenter" Minicomputer anzusehen. Hier können sowohl Daten als auch Programme geschützt gespeichert werden. Bei der Berliner Sparkasse und anderen Anbietern firmiert diese elektronische Geldbörse unter dem Begriff "GeldKarte", während sie als Gemeinschaftsprodukt der Deutschen Bahn AG, der Deutschen Telekom AG und des Verbandes Deutscher Verkehrsunternehmen als "PayCard" zunächst in bestimmten Regionen (Berlin zählt derzeit noch nicht dazu) erprobt wird.

Allen gemeinsam ist die grundsätzliche Zweckbestimmung: der Einsatz zur Bezahlung von Waren und Dienstleistungen im Niedrigpreisbereich, ohne daß an den Erwerber dieser Karte Bonitätsansprüche gestellt werden müßten. Aus datenschutzrechtlicher Sicht gibt es zwei sich gravierend voneinander unterscheidende Modifikationen der elektronischen Geldbörse. Zum einen kann die Karte so beschaffen sein, daß ihr Gebrauch völlig unabhängig von personenbezogenen Daten - mithin anonym - erfolgen kann, zum anderen ist ihre Nutzung an ein Konto des Karteninhabers gebunden. Im ersten Fall spricht man von einer "Weißen Karte". Was diese Kartenart von einer vergleichbaren Telefonkarte (bei der nach dem Verbrauch des auf der Karte gespeicherten Guthabens allenfalls noch ein gewisser Sammlerwert zu verzeichnen ist) unterscheidet, ist die Mehrfachnutzung durch Wiederaufladen mit Bargeld. Während die PayCard in dieser Variante angeboten wird und konzeptionell auch bei der GeldKarte der Kreditinstitute vorgesehen ist, favorisiert die Berliner Sparkasse eindeutig die kontengebundene GeldKarte, bei der auf die Nutzung personenbezogener Daten nicht verzichtet werden kann.

Beim Ladevorgang (z.B. an einem mit dem GeldKarten-Logo gekennzeichneten Geldautomaten) wird zunächst die Echtheit der Karte geprüft. Die zur Authentifizierung des Kartenbesitzers notwendige Eingabe der PIN wird durch den Chip kontrolliert, ehe die durch ein Kryptogramm gesicherten Ladedaten (u.a. Betrag, Informationen zum kartenausgebenden Institut und verschlüsselte Daten zum Kartenkonto) zur jeweiligen Ladezentrale gesendet werden. Sind alle übermittelten Daten korrekt, werden die Kontodaten entschlüsselt und am zur GeldKarte gehörenden Konto geprüft, ob der Ladebetrag autorisiert, d.h. freigegeben werden kann. Bei positivem Prüfungsergebnis wird dieser Betrag vom Konto des Kartenbesitzers abgebucht und einem "Börsenverrechnungskonto" (BVK - reines Saldenkonto ohne Bezug auf die konkrete Geldkarte und das damit verknüpfte Kundenkonto) gutgeschrieben. Die wiederum durch ein Kryptogramm gesicherte Ladeantwort wird an das Terminal zurückgesendet; nach Prüfung der Integrität und Authenzität der Daten durch den GeldKarten-Chip wird der aktuelle Saldo der Börse um den Ladebetrag erhöht. Bei erfolgreichem Abschluß des Ladevorgangs werden die dabei relevanten Daten (u.a. Kartennummer und Ladebetrag, nicht aber die Kontonummer) an die "Kartenevidenzzentrale" (KEZ - registriert alle Lade- und Entlade- bzw. Bezahlvorgänge zu einer Geldkarte) übermittelt. Beim Laden der Geldkarte wird demzufolge der entsprechende "Schattensaldo" um den jeweiligen Ladebetrag erhöht.

Wird die so gefüllte Börse - es ist von einem Maximalbetrag von 400 DM auszugehen - anschließend zum Bezahlen (ohne Eingabe der PIN!) genutzt, ergibt sich in der Regel der folgende Ablauf: Am Display des Händlers wird der Kaufbetrag angezeigt, vom Kunden bestätigt und dessen GeldKarte in das Händlerterminal eingeführt. Da auf dem Chip u.U. verschiedene Zahlungsfunktionen ("Börsenapplikationen"), bezogen auf bestimmte Händler- oder Dienstleistungsanbietergruppen, vorgesehen sein können, wird durch das Händlerterminal die diesem konkreten Fall entsprechende Variante ausgewählt und die Kartenidentifikationsdaten einschließlich des aktuellen Börsensaldos übernommen. Nach Prüfung der übernommenen Daten hinsichtlich ihrer Plausibilität wird die Abbuchung des Kaufbetrags veranlaßt. Auf dem GeldKarten-Chip wird der aktuelle Betrag der Börse um den Kaufbetrag reduziert und der Kaufvorgang einschließlich der händlerspezifischen Daten gespeichert. Der Datensatz, der den Zahlvorgang widerspiegelt, wird im Händlerterminal abgespeichert, wobei er zum Schutz vor Manipulationen mit einem Zertifikat versehen wird. Dem Karteninhaber wird abschließend die ordnungsgemäße Beendigung der Kauftransaktion und der auf seiner Karte verbliebene Restsaldo angezeigt. Die im Händlerterminal gespeicherten Datensätze werden dann regelmäßig an die quot;Händlerevidenzzentrale" (HEZ) zur Verrechnung weitergeleitet. Die auf die GeldKarte bezogenen Transaktionsdaten werden von der HEZ an die KEZ übermittelt, um den dort geführten Schattensaldo der betroffenen GeldKarte zu aktualisieren. Die händlerbezogenen Transaktionsdaten werden von der HEZ über einen Datenträgeraustausch zum einen als Gutschrift der Händlerbank zugeleitet und zum anderen als summarische Sammellastschrift dem jeweiligen Börsenverrechnungskonto zur Aktualisierung dessen Saldos übermittelt.

Dem Karteninhaber soll zur persönlichen Kontrolle des Guthabens auf seiner GeldKarte ein einfaches und preiswertes Lesegerät zur Verfügung gestellt werden. Bei Reklamationen sind grundsätzlich zwei Bearbeitungsvarianten (Chip lesbar / Chip defekt) zu unterscheiden. Bei lesbarem Chip werden über ein Bankenleseterminal die auf der GeldKarte gespeicherten (maximal 3) letzten Ladevorgänge, die ebenfalls dort gespeicherten (maximal 15) letzten Zahlvorgänge (sie enthalten jeweils Angaben zum Zeitpunkt der Zahlung, zur Banken- bzw. Händlerterminal-Identifikation und den Betrag) sowie der Kartensaldo zur Klärung der vermuteten bzw. tatsächlichen Unstimmigkeiten angezeigt. Falls der Chip defekt ist, muß sich der Karteninhaber etwas gedulden, da dann auf den bei der KEZ gespeicherten Schattensaldo zurückgegriffen werden muß. Wegen der unterschiedlichen Händlereinreichungsfristen können diese Daten frühestens nach 15 Tagen unter Angabe der Kartennummer abgerufen werden. Nach Rückmeldung (sie beinhaltet den Kartensaldo und den Buchungstag) kann dann das noch vorhandene Guthaben bar ausgezahlt oder dem Konto des Karteninhabers gutgeschrieben werden. Die Möglichkeit zur Barauszahlung bzw. Kontengutschrift des Restguthabens besteht.

Da die GeldKarte ohne Eingabe der PIN zum Bezahlen genutzt werden kann und auch eine Unterschrift entbehrlich ist, kann jeder, der in den Besitz dieser Karte gelangt, das auf ihrem Chip noch gespeicherte Restguthaben verbrauchen. Insoweit wäre der Verlust einer kontounabhängigen GeldKarte mit dem Verlust eines Portemonnaies gleichzusetzen.

Die Risiken hinsichtlich der Erstellung von individualisierbaren Konsumprofilen bei der Nutzung einer kontogebundenen GeldKarte sind gering. Nur beim eigenen Kreditinstitut ist über Karten- und Kontonummer der Inhaber der GeldKarte ermittelbar. Nachvollziehbar sind dort jedoch nur die Ladevorgänge. Das Börsenverrechnungskonto wird nur als Saldenkonto ohne individuellen Karten- bzw. Händlerbezug geführt. Selbst anläßlich der Reklamationsbearbeitung bei defektem Chip erhält die Bank von der KEZ lediglich Informationen zum Kartensaldo und zum Buchungstag. Beim Händler werden sowohl die kartenbezogenen Einzeltransaktionen als auch die Summendatensätze durch ein Kryptogramm gesichert, um den Risiken hinsichtlich der Einreichung gefälschter bzw. verfälschter Umsätze sowie der Mehrfacheinreichung von Umsätzen zu begegnen. Auch ein automatisierter Zugriff auf die Kundendaten ist am Händlerterminal nicht möglich.

Als eine mögliche Schwachstelle könnten die Evidenzzentralen (KEZ und HEZ) angesehen werden, da dort sowohl händler- als auch kartenbezogene Informationen verfügbar sind. Jedoch ist auch hier der Kundenbezug nicht herstellbar, da die Kette Kartennummer-Kontonummer-Karteninhaber bereits bei der Kartennummer unterbrochen wird. Selbst die Reklamationsbearbeitung erfolgt bei den Kreditinstituten allein über ihre Bankleitzahl und die Nummer der GeldKarte.

Eine umfassende Nutzung der GeldKarte in Berlin ist derzeit noch nicht möglich, da es noch an der dazu notwendigen Infrastruktur fehlt. Zum einen gibt es erst eine geringe Anzahl von Akzeptanzstellen, bei denen die GeldKarte zum Bezahlen genutzt werden könnte, zum anderen fehlt es auch noch an Ladestationen in den Filialen der Kreditinstitute. So will die Berliner Sparkasse bis zum Februar 1998 ca. 50 % ihrer Filialen entsprechend ausgestattet haben. Inwieweit die GeldKarte auch an institutsfremden Terminals aufgeladen werden kann und welche Zusatzkosten dadurch entstehen können, muß abgewartet werden.

Homebanking

Die rasante technische Entwicklung und die damit verbundene weite Verbreitung von PCs - gerade auch im privaten Bereich - unterstützt eine andere Strategie der Geldinstitute, ihren Zahlungsverkehr noch umfassender zu rationalisieren: die direkte Abwicklung finanzieller Geschäfte aus dem unmittelbaren Umfeld ihrer Kunden heraus. Die sich aus der Nutzung von offenen Kommunikationsnetzen (Telefonnetz, Internet) ergebenden Vorteile für beide Seiten befördern diesen Trend nachhaltig. Einerseits erspart sich der Kunde den Gang zur nächstgelegenen Filiale seiner Bank und macht sich zudem unabhängig von deren Öffnungszeiten, andererseits können die Kreditinstitute ihr Personal reduzieren, ganze Filialen schließen oder sogar ganz auf den Aufbau eines Filialnetzes verzichten (Direktbanken) und somit erhebliche Kosteneinsparungen erzielen.

Als eine Variante dieser Transaktionsabwicklung hat sich das Homebanking über den Netzzugang T-Online der Deutschen Telekom AG durchgesetzt (ursprünglich Btx bzw. Datex-J). So hat sich die Zahl der Homebanker im zurückliegenden Jahr nahezu verdoppelt. Wer über einen PC und einen Telefonanschluß verfügt, benötigt lediglich noch ein Modem (bei analogem Telefonanschluß) bzw. eine ISDN-Karte sowie eine mehr oder weniger komfortable Zugangssoftware für seinen Computer, um sich bei seiner Bank als Online-Kunde anzumelden. Als Dankeschön für die Kooperationsbereitschaft werden die letztgenannten Hilfsmittel sogar häufig zum "Nulltarif" zur Verfügung gestellt. Über die mit dieser Art der Kontoführung verbundenen Risiken wird der potentielle "Homebanker" allerdings in den seltensten Fällen umfassend informiert. Die Hinweise beschränken sich in der Regel darauf, daß er für eine sichere Verwahrung der neben der Kontonummer für den Zahlungsverkehr notwendigen geheimzuhaltenden Daten zu sorgen hat. Dazu gehört zum einen das für den T-Online-Zugang benötigte persönliche Paßwort, das zunächst als Einstiegspaßwort vom Netzanbieter vorgegeben wird und nach der ersten Anmeldung zu ändern ist. Zum anderen sind die von der Bank auf dem Postweg zugestellte PIN (im allgemeinen fünfstellig) und die Liste mit den Transaktionsnummern (TAN, im allgemeinen sechsstellig) so zu hinterlegen, daß Unbefugten der Zugriff verwehrt wird. T-Online-Paßwort und Bank-PIN sollten möglichst nur im Gedächtnis des Nutzers hinterlegt sein, um das Mißbrauchsrisiko (z.B. für den Fall eines Wohnungseinbruchs) so gering wie möglich zu halten.

Kann man sich auf diese Weise vor einem direkten Zugang zum Konto über den eigenen PC noch recht gut schützen, erweist sich das zur Datenkommunikation genutzte Telefonnetz als ein weiteres bedeutsames Risiko. Mit verhältnismäßig geringem technischem Aufwand kann der Datenaustausch zwischen dem Kunden und seiner Bank gezielt "abgehört" und aufgezeichnet werden (z.B. an den oftmals leicht zugänglichen Telefonverteilerkästen von Wohnanlagen). Da nach dem bisherigen Homebanking-Verfahren auch die sicherheitsrelevanten Daten unverschlüsselt über das Netz transportiert werden, kann ein solcher Täter Kenntnis von den Zugangsdaten erhalten und diese anschließend am eigenen PC nutzen, um sich zunächst über die Bonität des jeweiligen Homebankers zu informieren. Mit der PIN allein ist der Online-Bankraub nämlich noch nicht zu bewerkstelligen. Der Zugriff auf das Konto nach der Eingabe der PIN beschränkt sich im wesentlichen auf "lesende" Funktionen. Zum Veranlassen (Autorisieren) von Überweisungen, Einrichten von Daueraufträgen und zur Anforderung von ec-Scheck-Vordrucken werden zudem die TANs benötigt. Da diese unmittelbar nach einmaliger Verwendung verfallen, nützt die Aufzeichnung einer solchen Transaktion dem Angreifer zunächst nicht viel, es sei denn, er ist auf irgendeine Weise an die TAN-Liste gelangt und kann so die nächstgültige TAN ermitteln und für illegale Aktivitäten einsetzen.

Mit größerem technischem Aufwand und entsprechendem Know-how kann der "Online-Räuber" beim Anzapfen der Telefonleitung mittels eines speziellen Programms (Watchdog) die interessanten Transaktionen herausfiltern und in seinem Sinne modifizieren (sog. "Man in the Middle Attack"), bevor sie weitergeleitet werden. Eine weitere Bedrohung kann sich dann ergeben, wenn im Netz angebotene Software ungeprüft auf den eigenen PC geladen wird und sich dadurch unbemerkt ein Virus einschleicht, der nach gezieltem Ausforschen der PC-Speicher bei der nächsten Online-Verbindung die für einen erfolgreichen Zugriff auf das Konto notwendigen Daten über das Netz dem potentiellen Angreifer zustellt.

Der Homebanker sollte also tunlichst darauf verzichten, seine geheimen Daten auf seinem PC zu speichern. Das bedeutet insbesondere auch, auf die von einigen Homebanking-Softwareprodukten angebotenen, den automatisierten Zugang zum Konto ermöglichenden Anmeldeprozeduren zu verzichten und Paßwort, PIN und TAN bei jeder Online-Sitzung über die Tastatur einzugeben. Hier sollte zur eigenen Sicherheit die Bequemlichkeit nachrangig sein. Wenn sich auch der T-Online-Geschäftsführer dafür verbürgt, daß es seit den Btx-Anfängen keinen echten Kriminalfall gegeben hat, scheint das Risikobewußtsein bei den Kreditinstituten doch so gewachsen zu sein (s. FAZ v. 16.12.97, S. T6:"17 Jahre Homebanking ohne Panne"), daß ernsthaft nach Möglichkeiten gesucht wurde, das Homebanking sicherer zu gestalten. Die wichtigsten Verbände der deutschen Kreditwirtschaft haben sich 1997 darauf verständigt, ihren Kunden die Abwicklung von Bankgeschäften via Homebanking multibankfähig und gesichert zu ermöglichen. Dazu hat man sich auf die Bereitstellung eines offenen Standards zur Datenübertragung und Dialogabsicherung geeinigt: das Homebanking Computer Interface (HBCI). Diese Schnittstelle bei der Datenübertragung sieht vor, alle Nachrichten vom Kunden zur Bank mit einer digitalen Signatur (elektronische Unterschrift) zu versehen und diese Nachrichten standardisiert mit dem Triple-DES-Verfahren zu verschlüsseln. Dabei wird angestrebt, an den PC ein Chipkarten-Lesegerät anzuschließen und mit Hilfe einer speziellen Chipkarte, deren intelligenter Chip die Realisierung aller Sicherheitsfunktionen übernimmt, den Datenaustausch auf eine gesicherte Basis zu stellen. Allerdings werden bei dieser Methode die geheimzuhaltenden Daten zumindest noch auf dem Weg von der Tastatur zum PC ungeschützt transferiert. Um die Übertragung der Finanztransaktionen für heimliche Lauscher uninteressant zu machen, nutzt beispielsweise die Sparda-Bank Hamburg bereits seit Juli 1996 eine Hardwarekomponente, den MeCHIP, um den Datentransfer durch Verschlüsselung und elektronische Unterschrift zu sichern. Ein nicht zu unterschätzender Vorteil dieser Technologie besteht darin, daß dieses Sicherheitsmodul direkt an die Tastatur angeschlossen wird und demzufolge unverschlüsselte Daten noch nicht einmal in den Arbeitsspeicher des PCs gelangen können.

Nicht alle Kreditinstitute sind jedoch in der Lage, die Sicherheit ihrer Online-Banking-Produkte mit der notwendigen Souveränität plausibel zu machen: Als die Berliner Verwaltungsakademie uns um Hinweise bat, ob die Durchführung ihrer Haushaltsgeschäfte mit Hilfe der Software ModernCash der Deutschen Postbank AG über T-Online datenschutzrechtlich zulässig und sicher sei, baten wir das Kreditinstitut routinemäßig um die Überlassung von Informationen, die uns eine datenschutzrechtliche Beurteilung erlauben würden.

Der Rest war eine Farce: Eine erste E-Mail-Anfrage wurde höflich bestätigt und an den ModernCash-Experten weitergeleitet. Dieser bot über das gleiche Medium ein Gespräch an und benannte seine Kontaktadresse und Telefonnummer. Nachdem zwei Monate später diverse telefonische Kontaktversuche gescheitert waren, wandten wir uns schriftlich an den Experten. Da dies ohne Antwort blieb, versuchten wir es zwei Monate später per Telefax. Ein weiterer Versuch per E-Mail blieb ebenfalls ohne Antwort. Fünf Monate nach einer vertröstenden Zwischennachricht an die Verwaltungsakademie erfolgte dann ein erneuter schriftlicher Versuch, die Blockade der Postbank zu durchbrechen. Endlich kam dann ein telefonischer Kontakt mit dem Experten zustande, der zwar abwehrend reagierte, dennoch die Übersendung des Materials binnen zwei Wochen versprach.

Über die Sicherheit des Postbank-Verfahrens darf man also weiter spekulieren. Wir haben der Verwaltungsakademie deshalb mitgeteilt, daß wir unter diesen Umständen empfehlen, von der Nutzung der Postbank-Software abzusehen.

Digitales Geld

Im als "Netz der Netze" bezeichneten Internet setzt sich immer mehr eine Form der unmittelbaren Bezahlung von Waren und Dienstleistungen durch, die am ehesten noch mit der Wertkartentechnologie (siehe GeldKarte) vergleichbar ist: elektronisches/digitales Geld. Ein derartiges Zahlungssystem basiert auf virtuellen Geldmünzen/Banknoten, die durch kryptographische Verfahren gegen Fälschungen gesichert im PC gespeichert und auf elektronischem Weg übertragen werden können. Um sich vor einem Betrug durch mehrfach eingereichte, identische Banknoten zu schützen, versieht das ausgebende Kreditinstitut ihre "Geldscheine" mit einer Seriennummer, die bei Einlösung von der Empfängerbank gespeichert wird und so durch Abgleich mit den zuvor eingegangenen Banknoten unzulässige Duplikate erkennbar macht. Die emittierten Geldscheine werden zudem mit einer digitalen Signatur der Ausgabebank versehen, wobei ein spezielles Verfahren, die "blinde Signatur", den Käufer der Geldscheine unkenntlich macht. Beim Bezahlen mit einer solchen Banknote kann wiederum der Empfänger (z.B. ein Händler) des Geldes diese Signatur auf Echtheit überprüfen, ohne die ausgebende Bank konsultieren zu müssen. Der Versuch, die Banknote mehrfach zum Bezahlen zu benutzen bzw. vom Händler mehrfach einlösen zu wollen, führt durch ein ausgeklügeltes Verschlüsselungssystem zur Überführung des Betrügers, obwohl weder der Händler noch die Bank die auf dem Geldschein verschlüsselt vorhandenen, jedoch "zerbrochenen" personenbezogenen Daten des Kunden entziffern kann (sog. "secret splitting"). So ist gewährleistet, daß die Anonymität des Nutzers von digitalem Geld lediglich im Falle eines Mißbrauchs aufgehoben werden kann. Auf Grund dessen kann auch das datenschutzrechtlich bedeutsame Risiko der Erstellung von Nutzungsprofilen, das bei den zuvor beschriebenen elektronischen Zahlungsverfahren mehr oder minder vorhanden ist, weitestgehend ausgeschlossen werden. Ob dieses Verfahren auch gegen kriminelle Mißbrauchsattacken gefeit ist, mag bei der Struktur des Internets allerdings bezweifelt werden.

Seitenanfang
Nächste Seite

Zur Inhaltsübersicht Zur Inhaltsübersicht
 Letzte Änderung:
 am 27.11.1998
mail to webmaster