Banken-Security: Lastschrift-Verfahren

Dieser Artikel soll einen Blick auf das Lastschrift-Verfahren werfen (Beginn der Artikelserie hier). Mit einer Lastschrift belastet man ein fremdes Konto um einen bestimmten Betrag, der dem eigenen Konto gutgeschrieben wird. Juristisch ist hierzu eine Lastschrift-Ermächtigung notwendig: Ein formloses Schreiben, in dem der Kontoinhaber einem Dritten per Unterschrift gestattet, einmalig oder bis auf Widerruf das eigene Konto zu belasten.

Die Lastschrift hat sich als bequemes Zahlungsverfahren allen Ortens etabliert. Strom, Müll, Zeitschriften-Abos, Vereinsmitgliedschaften, Webshop-Bezahlungen - fast alle wollen am liebsten eine Lastschrift-Ermächtigung. Selbstverständlich werden solche Lastschriften bei diesen Mengen nicht mehr per Formular bei der Bank eingereicht, sondern in Form elektronischer Listen. Und wie man sich lebhaft vorstellen kann, ist die Quote der Überprüfung der Lastschrift-Ermächtigung noch schlechter als bei Überweisungen - immerhin gibt es hierfür nicht einmal einen einheitlichen Vordruck von der Bank. Gängige Praxis scheint vielmehr zu sein, daß erst im Falle eines Kundenwiderspruchs das Vorhandensein einer Lastschrift-Ermächtigung überprüft wird (wenn überhaupt).

Mißbrauch

Abgesehen davon, daß auch hier die Probleme für mögliche Schreib- und Tippfehler in den Kontodaten gelten (eine Prüfsumme, wie es beispielsweise die IBAN besitzt, sucht man bei dem Paar Kontonummer/BLZ vergebens): Wie die letzten Monate gezeigt haben, wird das Lastschriftverfahren munter von Kriminellen mißbraucht: Aus den aktuell kursierenden Datensammlungen werden die Kontonummern zum massenweisen Abbuchen von unauffälligen Beträgen genutzt; wer seinen Kontoauszug nicht akribisch kontrolliert und sofort Widerspruch gegen eine solche Abbuchung einlegt (die Widerspruchsfrist besteht meines Wissens 4 Wochen, was auch der Grund ist, weshalb die Banken nach spätestens 4 Wochen einen Kontoauszug zuschicken), hat verloren.

Ein Lösungsansatz

Eine Lösung für das Problem wäre - wieder einmal - sehr einfach zu realisieren: Für eine Lastschrift müßte ein zusätzliches Authentisierungs-Token eingeführt werden. Dieses müßte sich aus den Daten des Kontobesitzers, denen des Lastschrift-Ausführenden und einem Geheimnis berechnen. Eine solche Berechnung könnte ein Stand-Alone-Gerät (wie beispielsweise das, welches die Schweizer Postbank verwendet) erledigen oder über das Webinterface des Online-Bankings berechnet werden. Somit wäre sichergestellt, daß das Geld einer Lastschrift nur auf einem bestimmten Empfängerkonto landen kann - für Kriminelle wäre somit der Zugriff aufs Konto verbaut; selbst wenn sie in Besitz eines Authentisierungs-Tokens kämen, könnten sie damit nur Geld auf das Konto der korrespondierenden Firma (und nicht ihr eigenes) überweisen.

Fazit

Ganz egal, ob Lastschrift oder Überweisung, Tippfehler-Unsicherheit bei den Kontodaten, Onlinebanking oder Abhebung am Geldautomat: An allen Ecken und Enden wird auf zeitgemäße Sicherheits-Features großzügig verzichtet - und der Dumme ist (fast) jedesmal der Kunde, der allenfalls auf Kulanz der Bank hoffen kann. Zusammenfassend wundere ich mich umso mehr, daß bis dato noch nicht schlimmeres passiert ist. Aber wieso muß es eigentlich immer erst zum GAU kommen, bevor es irgendeine Verbesserung gibt?

comments powered by Disqus