Dieser Artikel soll einen Blick auf das Verfahren der Überweisungen werfen (Beginn der Artikelserie hier). Mit einer Überweisung weist ein Kontoinhaber seine Bank an, einen bestimmten Betrag auf ein fremdes Konto (das möglicherweise bei einer fremden Bank liegt) zu übertragen. Die Banken sind untereinander über sogenannte Gironetze verbunden, allein über das Netz der Landeszentralbanken werden täglich Zahlungen im Wert von 500 Milliarden Euro abgewickelt.

Das Überweisungsformular

Eigentlich sehr geradlinig: Name und Kontonummer des Empfängers, Bankleitzahl (BLZ) und Name der Zielbank, Betrag und ein Kommentarfeld (Verwendungszweck). Zur Authentisierung der Transaktion wird das Formular vom Aussteller unterschrieben. Ein echtes "old school" Formular eben.

Online-Banking

Um Einsicht in den Kontostand zu bekommen, muß man sich üblicherweise mit Name und Passwort bei der Bank authentisieren. Zum Ausführen von Transaktionen (wie eben einer Überweisung) ist eine weitere Authentisierung nötig - quasi der Ersatz für die Unterschrift. Häufig werden Einmal-Passwörter (TANs) verwendet, manche Bank erlaubt auch eine sicherere Authentisierung mittels HBCI.

Sicherheits-Analyse

Daß PINs und TANs von trojanischen Pferden oder gespooften Bankwebseiten abgefangen und mißbraucht werden können, ist ja hinlänglich bekannt. Ich möchte einen Blick auf das analoge Überweisungsformular werfen.

Aus informatischer Sicht fällt zunächst auf, daß das Formular eine Menge Redundanz enthält: Empfänger und Kontonummer bilden ein fixes Paar, ebenso der Bankname und die BLZ. Bei der Formular-Überweisung ist die Bank angehalten, diese Paare auf Korrektheit zu überprüfen. Nach meiner eigenen Erfahrung geschieht das faktisch nie (ich habe durch eine falsche Ziffer in der Kontonummer schon einmal einen erheblichen Betrag einem Wildfremden gutgeschrieben) - immerhin kann man im Falle eines Schreibfehlers eine Überweisung rückgängig machen. Das gilt übrigens nicht bei Online-Überweisungen: Laut diesem Urteil ist einzig die Kontonummer ausschlaggebend. Die IBAN oder sogar so unkritische Nummern wie die ISBN besitzen eine integrierte Prüfsumme, um Schreibfehler zu vermeiden - Fehlanzeige hingegen beim Datenpaar Kontonummer/BLZ.

Die Authentisierung erfolgt mittels Unterschrift. Eine Unterschriftenprobe aller Zeichnungsberechtigten ist auf einer Unterschriftenkarte bei der Bank hinterlegt. Betrachtet man die oben genannte Menge an Überweisungen (über 140.000 Stück täglich!), kann man sich lebhaft vorstellen, daß nicht jede Unterschrift kontrolliert wird. Tatsächlich werden laut dem Magazin "Umschau" nur 5 von 100 Unterschriften geprüft. Ich persönlich halte selbst diese Zahl noch für optimistisch - ich durfte einmal dem Prüfungs-Procedere meiner Sparkasse vor Ort beiwohnen: Anruf bei der Zentrale (ich war in einer Filiale), faxen(!) der Unterschriftskarte, Vergleich der Unterschriften. Natürlich werden normalerweise die Unterschriften nicht in der Zweigstelle geprüft, aber allein die Tatsache, daß die Unterschriftskarten nicht digital vorliegen, läßt doch tief blicken...

Ich hatte übrigens vor einigen Jahren folgende Situation: Ich hatte im Herbst die Führung eines Vereinskontos übernommen; im Mai des Folgejahres erhielt ich per Post eine von mir ausgestellte Überweisung zurück - mit dem Vermerk, der Unterschreibende sei nicht zeichnungsberechtigt. Ich ging zur Zweigstelle vor Ort und erkundigte mich nach dem Vorfall. Man ließ sich aus der Hauptstelle die Unterschriftenkarte faxen, und siehe da: Das war noch die alte Karte mit der Schriftprobe meines Vorgängers. Die neue Karte, die ich abgegeben hatte, war wohl irgendwie verloren gegangen. Das bedeutete sicherheitstechnisch folgendes:

• Mein Vorgänger hätte noch über das Konto verfügen können - in unserem Fall kein Problem, aber wenn so eine Übergabe im Streit geschieht, kann das böse Folgen haben.
• Ich hatte fast ein halbes Jahr das Konto ohne Zeichnungsberechtigung geführt! In dieser Zeit hatte ich mehrere dutzend Überweisungen getätigt...
• ...und auf meine Frage, wie das passieren konnte, wurde mir gesagt, daß die Unterschrift nur bei Beträgen über 1000 Euro überprüft wird!

Das bedeutet umgekehrt: Jede nichtauthentisierte Überweisung unter 1000 Euro wird nur dann bemerkt, wenn der Kontoinhaber die Überweisung auf seinem Kontoauszug entdeckt. Das würde ich mal ganz vorsichtig als hirntotes Security-Konzept bezeichnen - sorry, aber sowas geht in der heutigen Zeit einfach nicht mehr. Daß ein Überweisungsformular gegen nachträgliche Manipulation (Ergänzen einer Stelle im Betrag) nicht geschützt ist, ist im Vergleich dazu nur noch ein Randproblem.

Skizze eines Angriffs

Ich skizziere hier mal einen "Exploit" des Systems: Jemand füllt einen größeren Stapel an Überweisungsformularen aus - Kontonummern besorgt er sich beispielsweise aus der aktuell erhältlichen Datensammlung. Dabei wählt er nur Opfer einer Filiale aus. In deren Namen füllt er die Überweisungen aus und überweist dabei an zehn verschiedene Empfänger unauffällige Beträge. Einer der Empfänger ist der Angreifer, die anderen sucht er sich ebenfalls wahlfrei aus. Die Unterschrift ist ebenfalls wahlfrei - sie wird ja nach obigen Beobachtungen bei den "unauffälligen Beträgen" ohnehin nicht geprüft. Diese Überweisungen wirft er in den Briefkasten der Bank ein - ein vollkommen anonymer Vorgang.

Zwei Tage später ist das Geld auf den Konten, der Angreifer kann sich bedienen. Die Opfer bemerken die Tat erst beim Erhalt des nächsten Kontoauszugs, und der eigentliche Täter hat seine Spur dadurch zusätzlich verschleiert, daß es mehrere (im obigen Beispiel: Zehn) potentielle Kandidaten gab. Natürlich bleibt das Problem, daß man ein Konto nur mit ausreichender Identifizierung (Vorlage eines Ausweises) eröffnen darf. Jedoch wird der Täternachweis schwierig, immerhin gab es zehn potentielle Täter, von denen jeder seine Unschuld beteuert; ohne weitere Indizien ist der tatsächliche Täter nicht feststellbar. Alternativ werben Kriminelle via Spam Finanzagenten an, welche dann letztlich die Dummen sind.

Ich rate ausdrücklich von einer Nachahmung ab :-) Weiter geht es in diesem Artikel! Hast Du selber auch solche Sicherheitsprobleme am eigenen Leibe zu spüren bekommen? Wie sieht Deine Meinung zu der Problematik aus? Hinterlasse doch einen Kommentar!