CRD Meldung 19.12.1996 Firmenbuchhaltung ins Internet gestellt Wer nicht weiss, was in seinem Computer passiert, sollte ihn manchmal besser abschalten. Diese Empfehlung musste der Chaos Computer Club diese Woche dem erstaunten Geschäftsführer der Firma PULSAR in München, Peter Keller empfehlen. Hacker hatten sich anonym an den Club gewandt und von der völlig ungesicherten Buchhaltung des Unternehmens berichtet: wer die Netzwerkadresse im WWW kannte, hatte ohne jegliche Kennwortabfrage Zugriff auf alle Kundendaten. Dafür musste man nicht einmal ein Kennwort eingeben. Zugänglich waren u.a. auch die vollständigen Kreditkarten-Abrechnungsdaten der letzten 12 Monate aller Kunden von PULSAR. Als Geschäftsführer Keller vom CCC informiert wurde, dass sein System jedermann zugänglich die Firmenbuchhaltung anbiete und empfahl, das System abzuschalten zeigte dieser sich erstaunt. Obwohl das System weder durch ein Kennwort, noch mit Hilfe kryptografischer oder sonstiger Verfahren gesichert war wähnte der Firmeninhaber seine Daten in Sicherheit. Die im World-Wide-Web verfügbare Buchhaltung von Pulsar erlaubte auch für ungeübte Computerbenutzer die Einsicht in alle Kundendaten. Geschäftsführer Keller vertrat gegenüber dem CCC allen ernstes die Auffassung, die Daten seien doch sicher, weil niemand wüsste wo Sie liegen. Durch die Geheimhaltung der Adresse im Netz glaubte man sich in Sicherheit. "Das System der Firma Pulsar kann man nur als dummdreist bezeichnen" kommentierte Club-Sprecher Andy Müller-Maguhn den Vorfall, "Vergleichbar mit einer Bank, die neben den Toiletten eine unverschlossene Tür zum offenen Tresor bietet, und sich dann wundert, wenn etwas fehlt. " Der feine Unterschied: nicht Bargeld lieferte die PULSAR-Buchhaltung sondern die Kreditkarten-Informationen ihrer Kunden. Ein "Diebstahl" dieser elektronischer Daten fällt gar nicht auf, weil sie nicht fehlen. Der "Diebstahl" besteht aus einfachem kopieren oder aufschreiben. Mit etwas krimineller Energie lassen sich dann mit diesen Daten Bestellungen, Einkäufe und Telefonate tätigen - und das zunächst auf Kosten der Kreditkartenkunden. Inwieweit dann die Kreditkartenunternehmen kulant die Haftung übernimmt, oder PULSAR für die fahrlässige Verbreitung der Kundendaten im Internet haftbar gemacht wird steht zum jetzigen Zeitpunkt noch nicht fest. Solche und ähnliche Vorfälle werden nächste Woche auch Thema auf dem Chaos Communication Congress in Hamburg sein, der alljährlich vom Chaos Computer Club veranstaltet wird. Unter dem diesjährige Motto "der futurologische Congress" werden sich die Congressbesucher auch der Frage nach dem Umgang mit diesen und ähnlichen Abgleitungen des menschlichen Verstandes widmen.