Sicherheit
Das von Visa und Microsoft entwickelte STT (Secure Transaction Technology),
sowie auch das von Mastercard, IBM, Netscape, CyberCash und GTE stammende SEPP (Secure
Electronic Payment Protocol) konnten sich nicht durchsetzen, letztendlich einigte man sich unter
dem Druck der Banken, die durch zwei konkurrierende Standards zusätzliche Kosten auf sich zu
kommen sahen, auf ein gemeinsames Verfahren namens SET (Secure Electronic Transaction) für das
zukünftige Bezahlen im Netz [Quelle: C'T Report Geld online 1997, Bits statt Bares, Seite 179].
Damit mußte das vom Erfolg unter Monopolstellung verwöhnte Microsoft schmerzlich feststellen,
daß noch viele andere Unternehmen (die in ihren angestammten Bereichen unter Umständen auch
eine Vormachtstellung besitzen) etwas vom großen Kuchen Internet abbekommen möchten (analog
Flop MSN).
Um zu verstehen, welche Möglichkeiten des Mißbrauches denkbar sind, hier eine kleine Erläuterung
zum prinzipiellen Ablauf einer Online-Banking-Sitzung:
Um sich anzumelden und zu autorisieren, beantwortet man die Fragen nach Kontonummer und PIN.
Falls diese zueinander passen, ist man bei vielen Banken immerhin schon berechtigt, Informationen
über das gewünschte Konto (z.B. den aktuellen Kontostand oder den Gesamtumsatz in einem bestimmten
Zeittraum) zu erfragen.
Falls man Geld umbuchen möchte, muß man zudem noch eine sogenannte TAN (Transaktionsnummer)
eingeben, die man von seiner Bank per Briefpost erhalten hat (man bekommt diese meist zu ca. 50
Stück), wobei jede TAN nur zum einmaligen Gebrauch bestimmt ist und danach ihre Gültigkeit
verliert.
Bei dieser Vorgehensweise ist folgendes zu beachten:
Ein unbefugter Dritter könnte das Netz nach verdächtigen Daten-Packeten abhören und die PIN zur
Kontonummer ermitteln - damit kann er immerhin schon Informationen zum Konto erfahren.
Wenn bei einer Buchung zusätzlich noch eine gültige TAN übermittelt wird, ist es prinzipiell
möglich, das Datenpacket abzufangen, dem Absender eine gefälschte Quittung zurückzuschicken
und die noch gültige TAN, zusammen mit der PIN zum Mißbrauch zu verwenden.
Um dieser Methode des Mißbrauchs vorzubeugen, werden die Daten im Internet (anders als bei
T-Online, wo man sich seiner Sache anscheinend sehr sicher ist) zusätzlich verschlüsselt - zumindest
bis zum Internet-T-Online-Gateway, falls eingesetzt.
Aber auch der beste Verschlüsselungsalgorithmus kann unter Umständen wirkungslos sein, falls
man PIN und TANs auf der Festplatte seines Rechners gespeichert hat. So berichtete das TV-Magazin
Plusminus, wie per ActiveX-Control Zugriff auf das Konto eines Homebankers erfolgt (dieser hatte
das Homebanking-Programm Quicken installiert, dort die manuelle Paßworteingabe ausgeschaltet
und natürlich die Ausführung von ActiveX-Controls gestattet).
(Eine genaue Schilderung in iX 3/97, Vorsicht Falle!, ActiveX als Füllhorn für Langfinger, S. 90;
Weitere Risiken von ActiveX in C'T 12/96, Der gläserne Web-User, Offene Türen für Datenausspäher, S. 94 und
C'T 10/96, Es kann nur einen geben, S. 100).
(Mehr zum Thema Sicherheit findet sich in der
Themen-Ausarbeitung der Gruppe "Recht, Kryptographie, Politik").
Die Banken scheinen sich dieser Risiken durchaus bewußt zu sein und setzen neben der normalen
Verschlüsselung spezielle Verfahren ein, um die Sicherheit nochmals zu steigern.
So macht das von der Böblinger Firma Brokat entwickelte XPresso Security Package jeden Computer
mit installiertem Java-fähigen WWW-Browser zum Schalter der Bank 24, bzw. Deutschen Bank.
Abgesehen von diesen Vorkehrungen, gewinnt man den Eindruck, daß sich die Banken gegen das verbleibende
Restrisiko in den Geschäftsbedingungen absichern möchten. Dort heißt es:
Der Kunde hat sich vor jedem Geschäft davon zu überzeugen, ob der sich in "einer integeren
Systemumgebung befindet".
Zurück zur vollständigen Themenausarbeitung