Am 19.11.1984 wurde in den Räumen des Hamburgischen Datenschutzbeauftragten eine Möglichkeit des BTX-Bankraubes auf Knopfdruck gezeigt.

Die betroffene >Hamburger Sparkasse< fand eine Abrechnung über Bildschirmtextteilnehmergebühr in Höhe von rund 135 000 DM vor.
Der Begünstigte - Der Chaos Computer Club - erhebt jedoch keinen Anspruch auf das Geld; die Aktion sollte lediglich die bei BTX vorhandenen Mängel öffentlich darstellen.
Es istt kein Kundenkonto davon betroffen, sondern nur die Fernmelderechnung der >Hamburger Sparkasse< als einfacher Btx -Teilnehmer.
Durch einen Sytemfehler in Bilidschirmtext (überlauf bei Decoder-Seiten wurde deren geheime Btx-Zugangskennungauf einer neu erstellten Seite angezeigt. Mit dieser Kennung wurde anwesenden Vertretern verschiedener Medien praktisch gezeigt, wie auf Knopfdruck jeweils 9,97 DM durch Aufruf einer gebührenpflichtigen Seite von der Sparkasse zum Chaos Computer Club transferiert wurden.
Der Aufruf der gebührenpflichtigen Seite wurde durch einen Kleinrechner mit. maximaler Geschwindigkeit gesteuert, damit nur der gebührenpflichtige Aufruf erfolgte und eine Anzeige der Seite nicht möglich war.
Nach der gegenwärtigen Rechtslage trägt der gewöhnliche Btx-Teilnehmer als Verbraucher das Haftungsrisiko in derartigen Fällen; daß es sich beim Btx-Teilnehmer gerade um eine Sparkasse handelt, spielt keine Rolle. Sie müßte zahlen, wenn nicht auf das Entgelt verzichtet worden wäre. Grundsätzlich wurden diese Probleme in der >datenschieuder 3< und am 15.11.84 auf der 8. DAFTA (Datenschutzfachtagung) erläutert.
Daraufhin gab es Einwände aus Postkreisen, das sei praktisch unmöglich. Um darzustellen, welche Probleme im Btx-System stecken, hätte es genügt, einen Pfennig umzubuchen. Aber wie groß die Gefahr für jeden einzelnen Btx -Teilnehmer wirklich ist, konnte nur so praktisch gezeigt werden. Zudem zeigte sich die Post uns gegenüber erst dann kooperationsbereit, wenn wir ihr Fehler nachwiesen; Fehlermeldungen und Anfragen zeigten wenig Reaktion.
Auf der 8. DAFTA erklärte Wau Holland, daß das Btx-System unter bestimmten praktischen Bedingungen interne informationen ausspuckt. In der Regel wird von Anbietern beim Btx-System der Platz auf den einzelnen Informationsseiten nur zum Teil genutzt. Wenn aber eine Decoderinformation mit exakt soviel Zeichen gefüllt wird, wie die Post erlaubt, schickt das Btx-Sgstem aufgrund eines Fehlers dem Teilnehmer irgendwelche Daten zusätzlich.
In einem Fall war es die Kennung der Hamburger Sparkasse.
In einem anderen Fall war es nur Name und. Systemnummer eines Teilnehmers aus Hessen. Dieser Effekt kann auf Seite 6665552222 angeschaut werden. Da es bislang nicht vorhersehbar ist, welche Daten das Btx-Sgstem bei dieser Überlaufbedingung offenbart und somit jeder Teilnehmer davon betroffen sein kann, stellt der Fehler Btx grundsätzlich in Frage. Man könnte der Post wegen dieses Systemverhaltens Fahrlässigkeit vorwerfen. Wer trägt dann das Risiko?
Zu diesen verblüffenden Mängeln beim Bildschirmtextsgstem kommt noch die Unkenntnis vieler Menschen hier zum Thema Datensicherheit hinzu.
Die Post verlangt von allen Teilnehmern des Bildschirmtextdienstes, daß sie die Risiken kennen und macht den Einzelnen für alle Vorgänge, die unter einer Anschlußkennung geschehen, verantwortlich.
Das ist nicht realistisch.
Für die meisten Btx-Teilnehmer sind die Sicherheitsfragen einfach unklar. Soweit uns bekannt führen gerade die Datenschutzbeauftragen Buch über die Anschlußzeiten, um Zugriff Dritter festzustellen. Selbst die Datenverarbeitungsfachleute der Post tun das selten; in den Telefonläden geschieht das in der Regel nicht. Die >fachkundige Beratung< dort ist in erster Linie aufs Verkaufen ausgerichteti die Mißbrauchsgerfahren sind in der Regel unbekannt oder werden verschwiegen.
Angesichts der jetzt bekannten Fehler gibt es bei Btx nur zwei Möglichkeiten: ganz abschalten oder Verbot aller Finanztransaktionen.

Presseerklärung des Chaos Computer Club, Schwarzmarkt, Hamburg, 19.11.84

.

.

e n

in Höhe von rund 133 000 DM vor.

schirmtextte
Der Begünstigt::: A p u t e r •Club - erhebt jedoch keinen An-• -r-uch auf das A k t i o n sollte lediglich die bel Btx vorhandenen

öffentl
Es ,,,t kein n t o b e t r o f f e n , sondern nur die Fernmelderech- nung der S p a r , < als einfacher Btx -Teilnehmer.

einen Sytemfehler 'idschirmtext (überlauf bei Decoder -Seit wurde deren geheime Btx-2:.ü iskennung auf einer neu erstellten anoezeigt. M i t dieser Kenrü w u r d e anwesenden Vertretern verschiede::..

ledien praktisch gezeigt, wie auf Knopfdruck. jeweils 9,97 DM dur:.. Aufruf einer gebührenpflichtigen Seitc von der Sparkasse zum Cha., Computer Club transferiert wurden.
Der Aufruf der gebührenpflichtigen Seite wurde durch einen KieLnrechner mit. maximaler Geschwindigkeit gesteuert, damit nur der gebührenpflichti

1Aufruf erfolgte und eine AnZeLge der Seite nicht möglich war.
Nach d e r gegenwärtigen Rechtslage trägt der gewöhnliche B t x -Teilnehmer als Verbraucher das Haftungsrisiko in derartigen Fällen:', daß es sich beim. Btx -Teilnehmer gerade um eine Sparkasse handelt, spielt keine Rolle. Sie müßte zahlen, wenn nicht auf das Entgelt verzichtet worden wäre. Grundsätzlich wurden diese Probleme in. der >datenschieuder 3< und am15.11.84 auf der 8. DAFTA fAatenschutzfachtagung) erläutert.
Daraufhin gab es Einwände aus Postkreisen, das sei praktisch unmö Umdarzustellen, welche Probleme im Btx -System stecken, hätte es genügt, einen Pfennig umzubuchen. Aber wie groß die Gefahr für jeden einzelnen Btx -Teilnehmer wirklich i s t , konnte nur so praktisch gezeigt werden. Zudem zeigte sich die Post uns gegenüber erst dann kooperationsbereit, wenn w i r ihr Fehler nachwiesen; Fehlermeldungen und Anfragen zeigten wenig Reaktion.
Auf der 8. DAFTA erklärte Wau Holland> daß das B t x - t e m unter bestimm- ten praktischen Bedingungen interne informationen ausspuckt. I n der Regel wird von Anbietern beim Btx -System der Platz auf den einzelnen Informationsseiten nur zum Teil genutzt. Wenn aber eine Decoderinforma-

tion mit exakt soviel Zeichen gefüllt wird, wie die Post erlaubt, schickt das Btx-Sgstem aufgrund eines Fehlers dem Teilnehmer Lrgendwel- che Daten zusätzlich.
In einem Fall war es die Kennung der Hamburger Sparkasse.

In einem anderen Fall war es nur Name und. Systemnummer eines n e h m e r s aus Hessen. Dieser Effekt kann auf Seite 6665552222 angeschaut werden. Da e s bislang nicht vorhersehbar ist, welche Daten das Btx-Sgstem b e i dieser überlaufbedingung offenbart und somit jeder Teilnehmer davon betroffen sein kann, s t e l l t der Fehler Btx grundsätzlich in Frage. Man könnte der Post wegen dieses Systemverhaltens Fahrlässigkeit vorwerfen. Wer t r 4 t dann das Risiko?

Zu die Sen verblüffenden Mängeln beim Bildschirmtextsgstem kommt noch :1Le Unkenntnis vieler Menschen hier zum Thema Datensicherheit hinzu.
Die Post verlangt von allen •Teilnehmern. des Bildschirmtextdienstes„ daß sie d i e Risiken •kennen und macht den Einzelnen für alle Vorgänge, d i e unter{eine r A nschlußkennung geschehen, verantwortlich.

Das ist nicht realistisch.
Für d i e meisten Btx-Teilne4iier sind die Sicherheitsfragen. einfach
klar. Soweit uns bekannt führen gerade die Datenschutzbeauftragen Buch über die AnschlußZeiten, um Zugriff Dritter festzustellen. Selbst die Datenverarbeitungsfachleute der Post tun das selten; in den Telefonläden oeschieht das in der Regel nicht. Die >fachkundige Beratun; d o r t ist in erster Linie aufs Verkaufen ausgerichteti die MiBbrauchsc,i2 r e n sind in der Regel unbekannt oder werden verschwiegen.
Angesichts der jetzt bekannten Fehler gibt es bei Btx nur zwei M:.öt glichkeitein: ganz zohbschiten noder Verbeot - . l e r n < r .