Banken-Security: Überweisungen

Die­ser Ar­ti­kel soll einen Blick auf das Ver­fah­ren der Über­wei­sun­gen wer­fen (Be­ginn der Ar­ti­kel­se­rie hier). Mit einer Über­wei­sung weist ein Kon­to­in­ha­ber seine Bank an, einen be­stimm­ten Be­trag auf ein frem­des Konto (das mög­li­cher­wei­se bei einer frem­den Bank liegt) zu über­tra­gen. Die Ban­ken sind un­ter­ein­an­der über so­ge­nann­te Gi­ro­net­ze ver­bun­den, al­lein über das Netz der Lan­des­zen­tral­ban­ken wer­den täg­lich Zah­lun­gen im Wert von 500 Mil­li­ar­den Euro ab­ge­wi­ckelt.

Das Über­wei­sungs­for­mu­lar

Ei­gent­lich sehr ge­rad­li­nig: Name und Kon­to­num­mer des Emp­fän­gers, Bank­leit­zahl (BLZ) und Name der Ziel­bank, Be­trag und ein Kom­men­tar­feld (Ver­wen­dungs­zweck). Zur Au­then­ti­sie­rung der Trans­ak­ti­on wird das For­mu­lar vom Aus­stel­ler un­ter­schrie­ben. Ein ech­tes "old school" For­mu­lar eben.

On­line-Ban­king

Um Ein­sicht in den Kon­to­stand zu be­kom­men, muß man sich üb­li­cher­wei­se mit Name und Pass­wort bei der Bank au­then­ti­sie­ren. Zum Aus­füh­ren von Trans­ak­tio­nen (wie eben einer Über­wei­sung) ist eine wei­te­re Au­then­ti­sie­rung nötig - quasi der Er­satz für die Un­ter­schrift. Häu­fig wer­den Ein­mal-Pass­wör­ter (TANs) ver­wen­det, man­che Bank er­laubt auch eine si­che­re­re Au­then­ti­sie­rung mit­tels HBCI.

Si­cher­heits-Ana­ly­se

Daß PINs und TANs von tro­ja­ni­schen Pfer­den oder ge­spoof­ten Bank­web­sei­ten ab­ge­fan­gen und miß­braucht wer­den kön­nen, ist ja hin­läng­lich be­kannt. Ich möch­te einen Blick auf das ana­lo­ge Über­wei­sungs­for­mu­lar wer­fen.

Aus in­for­ma­ti­scher Sicht fällt zu­nächst auf, daß das For­mu­lar eine Menge Red­un­danz ent­hält: Emp­fän­ger und Kon­to­num­mer bil­den ein fixes Paar, eben­so der Ban­kna­me und die BLZ. Bei der For­mu­lar-Über­wei­sung ist die Bank an­ge­hal­ten, diese Paare auf Kor­rekt­heit zu über­prü­fen. Nach mei­ner ei­ge­nen Er­fah­rung ge­schieht das fak­tisch nie (ich habe durch eine fal­sche Zif­fer in der Kon­to­num­mer schon ein­mal einen er­heb­li­chen Be­trag einem Wild­frem­den gut­ge­schrie­ben) - im­mer­hin kann man im Falle eines Schreib­feh­lers eine Über­wei­sung rück­gän­gig ma­chen. Das gilt üb­ri­gens nicht bei On­line-Über­wei­sun­gen: Laut die­sem Ur­teil ist ein­zig die Kon­to­num­mer aus­schlag­ge­bend. Die IBAN oder sogar so un­kri­ti­sche Num­mern wie die ISBN be­sit­zen eine in­te­grier­te Prüf­sum­me, um Schreib­feh­ler zu ver­mei­den - Fehl­an­zei­ge hin­ge­gen beim Da­ten­paar Kon­to­num­mer/BLZ.

Die Au­then­ti­sie­rung er­folgt mit­tels Un­ter­schrift. Eine Un­ter­schrif­ten­pro­be aller Zeich­nungs­be­rech­tig­ten ist auf einer Un­ter­schrif­ten­kar­te bei der Bank hin­ter­legt. Be­trach­tet man die oben ge­nann­te Menge an Über­wei­sun­gen (über 140.000 Stück täg­lich!), kann man sich leb­haft vor­stel­len, daß nicht jede Un­ter­schrift kon­trol­liert wird. Tat­säch­lich wer­den laut dem Ma­ga­zin "Um­schau" nur 5 von 100 Un­ter­schrif­ten ge­prüft. Ich per­sön­lich halte selbst diese Zahl noch für op­ti­mis­tisch - ich durf­te ein­mal dem Prü­fungs-Pro­ce­de­re mei­ner Spar­kas­se vor Ort bei­woh­nen: Anruf bei der Zen­tra­le (ich war in einer Fi­lia­le), faxen(!) der Un­ter­schrifts­kar­te, Ver­gleich der Un­ter­schrif­ten. Na­tür­lich wer­den nor­ma­ler­wei­se die Un­ter­schrif­ten nicht in der Zweig­stel­le ge­prüft, aber al­lein die Tat­sa­che, daß die Un­ter­schrifts­kar­ten nicht di­gi­tal vor­lie­gen, läßt doch tief bli­cken...

Ich hatte üb­ri­gens vor ei­ni­gen Jah­ren fol­gen­de Si­tua­ti­on: Ich hatte im Herbst die Füh­rung eines Ver­eins­kon­tos über­nom­men; im Mai des Fol­ge­jah­res er­hielt ich per Post eine von mir aus­ge­stell­te Über­wei­sung zu­rück - mit dem Ver­merk, der Un­ter­schrei­ben­de sei nicht zeich­nungs­be­rech­tigt. Ich ging zur Zweig­stel­le vor Ort und er­kun­dig­te mich nach dem Vor­fall. Man ließ sich aus der Haupt­stel­le die Un­ter­schrif­ten­kar­te faxen, und siehe da: Das war noch die alte Karte mit der Schrift­pro­be mei­nes Vor­gän­gers. Die neue Karte, die ich ab­ge­ge­ben hatte, war wohl ir­gend­wie ver­lo­ren ge­gan­gen. Das be­deu­te­te si­cher­heits­tech­nisch fol­gen­des:

  • Mein Vor­gän­ger hätte noch über das Konto ver­fü­gen kön­nen - in un­se­rem Fall kein Pro­blem, aber wenn so eine Über­ga­be im Streit ge­schieht, kann das böse Fol­gen haben.
  • Ich hatte fast ein hal­bes Jahr das Konto ohne Zeich­nungs­be­rech­ti­gung ge­führt! In die­ser Zeit hatte ich meh­re­re dut­zend Über­wei­sun­gen ge­tä­tigt...
  • ...​und auf meine Frage, wie das pas­sie­ren konn­te, wurde mir ge­sagt, daß die Un­ter­schrift nur bei Be­trä­gen über 1000 Euro über­prüft wird!

Das be­deu­tet um­ge­kehrt: Jede nicht­au­then­ti­sier­te Über­wei­sung unter 1000 Euro wird nur dann be­merkt, wenn der Kon­to­in­ha­ber die Über­wei­sung auf sei­nem Kon­to­aus­zug ent­deckt. Das würde ich mal ganz vor­sich­tig als hirn­to­tes Se­cu­ri­ty-Kon­zept be­zeich­nen - sorry, aber sowas geht in der heu­ti­gen Zeit ein­fach nicht mehr. Daß ein Über­wei­sungs­for­mu­lar gegen nach­träg­li­che Ma­ni­pu­la­ti­on (Er­gän­zen einer Stel­le im Be­trag) nicht ge­schützt ist, ist im Ver­gleich dazu nur noch ein Rand­pro­blem.

Skiz­ze eines An­griffs

Ich skiz­zie­re hier mal einen "Ex­ploit" des Sys­tems: Je­mand füllt einen grö­ße­ren Sta­pel an Über­wei­sungs­for­mu­la­ren aus - Kon­to­num­mern be­sorgt er sich bei­spiels­wei­se aus der ak­tu­ell er­hält­li­chen Da­ten­samm­lung. Dabei wählt er nur Opfer einer Fi­lia­le aus. In deren Namen füllt er die Über­wei­sun­gen aus und über­weist dabei an zehn ver­schie­de­ne Emp­fän­ger un­auf­fäl­li­ge Be­trä­ge. Einer der Emp­fän­ger ist der An­grei­fer, die an­de­ren sucht er sich eben­falls wahl­frei aus. Die Un­ter­schrift ist eben­falls wahl­frei - sie wird ja nach obi­gen Be­ob­ach­tun­gen bei den "un­auf­fäl­li­gen Be­trä­gen" oh­ne­hin nicht ge­prüft. Diese Über­wei­sun­gen wirft er in den Brief­kas­ten der Bank ein - ein voll­kom­men an­ony­mer Vor­gang.

Zwei Tage spä­ter ist das Geld auf den Kon­ten, der An­grei­fer kann sich be­die­nen. Die Opfer be­mer­ken die Tat erst beim Er­halt des nächs­ten Kon­to­aus­zugs, und der ei­gent­li­che Täter hat seine Spur da­durch zu­sätz­lich ver­schlei­ert, daß es meh­re­re (im obi­gen Bei­spiel: Zehn) po­ten­ti­el­le Kan­di­da­ten gab. Na­tür­lich bleibt das Pro­blem, daß man ein Konto nur mit aus­rei­chen­der Iden­ti­fi­zie­rung (Vor­la­ge eines Aus­wei­ses) er­öff­nen darf. Je­doch wird der Tä­ter­nach­weis schwie­rig, im­mer­hin gab es zehn po­ten­ti­el­le Täter, von denen jeder seine Un­schuld be­teu­ert; ohne wei­te­re In­di­zi­en ist der tat­säch­li­che Täter nicht fest­stell­bar. Al­ter­na­tiv wer­ben Kri­mi­nel­le via Spam Fi­nanz­agen­ten an, wel­che dann letzt­lich die Dum­men sind.

Ich rate aus­drück­lich von einer Nach­ah­mung ab :-) Wei­ter geht es in die­sem Ar­ti­kel! Hast Du sel­ber auch sol­che Si­cher­heits­pro­ble­me am ei­ge­nen Leibe zu spü­ren be­kom­men? Wie sieht Deine Mei­nung zu der Pro­ble­ma­tik aus? Hin­ter­las­se doch einen Kom­men­tar!