Vor ge­rau­mer Zeit mußte ich ei­ni­gen Un­ter­la­gen bei der Targo­bank hin­ter­her­te­le­fo­nie­ren. Nach ei­ni­gem Wei­ter­ver­bin­den war ich schlie­ß­lich an der ver­meint­lich rich­ti­gen Stel­le. Dort ent­spann sich dann nach kur­zer Be­grü­ßung fol­gen­der Ge­sprächs­ab­lauf:

Bank: „Bitte nen­nen Sie mir noch­mals Ihre Kon­to­num­mer“

Ich: „Gerne. Meine Kon­to­num­mer lau­tet 2403731234“ (Ok, meine Kon­to­num­mer lau­tet an­ders, aber für den Zweck die­ses Blog­posts geht es um das Zah­len­sche­ma ;-)

Bank: „Danke. Als Si­cher­heits­über­prü­fung be­nö­ti­ge ich von Ihnen ein per­sön­li­ches De­tail. Kön­nen Sie mir bitte Ihr Ge­burts­da­tum nen­nen?“

Ich: „Erm, wie­bit­te? Das ist jetzt nicht Ihr Ernst, oder?“

Bank: „Doch, das müs­sen wir aus Si­cher­heits­grün­den ma­chen. Wis­sen Sie, sonst könn­te ja je­mand an­de­res an­ru­fen und sich als Sie aus­ge­ben…“

Ich: „Das ist mir schon klar, aber ich habe Ihnen ge­ra­de be­reits mein Ge­burts­da­tum ge­nannt.“

Bank: „Ich ver­ste­he nicht…“

Ich: „Sehen Sie sich doch bitte die ers­ten sechs Stel­len mei­ner Kon­to­num­mer an. Ihre Kon­to­num­mern be­inhal­ten das Ge­burts­da­tum. Hal­ten Sie es wirk­lich für ein sinn­vol­les Si­cher­heits­merk­mal, mich da­nach noch­mals zu fra­gen?“

Bank: „Ja… oh… stimmt. Dann sagen Sie mir doch bitte – äh, mo­ment – zum Bei­spiel Ihre An­schrift…“

OMG! Da fühle ich mich ja gleich so­viel si­che­rer! m(

• Das Ge­burts­da­tum taugt als Si­cher­heits­merk­mal null­kom­ma­ger­nicht, das kann jeder Be­trü­ger in kür­zes­ter Zeit her­aus­fin­den. Bei den meis­ten Leu­ten steht es offen les­bar in Face­book, Xing, Lin­ke­dIn oder ähn­li­chen so­zia­len Net­zen.
• Bei On­line-Be­stel­lun­gen gilt das Ge­burts­da­tum (mei­nes Wis­sens auf­grund gän­gi­ger Rechts­spre­chung) als Le­gi­ti­ma­ti­on und quasi als Er­satz für eine Un­ter­schrift. Durch In­te­gra­ti­on in die Kon­to­num­mer, wel­che ja als öf­fent­lich zu­gäng­li­ches Datum zu be­trach­ten ist, fällt die­ser (ein­zi­ge) Schutz weg.
• Mein Konto hatte ich sei­ner­zeit bei der Ci­ti­bank er­öff­net, wel­che in­zwi­schen mit der Targo­bank fu­sio­nier­te. Ich ver­mu­te, die Kon­to­num­mern der Targo­bank fol­gen nicht die­sem be­scheu­er­ten Sche­ma. Aber of­fen­bar wur­den bei der Fu­si­on be­ste­hen­de Si­cher­heits­pro­ce­de­res nicht hin­rei­chend hin­ter­fragt.

Und die Moral von der Ge­schich­te? Si­cher­heits­pro­ce­de­res und -richt­li­ni­en soll­ten re­gel­mä­ßig über­prüft und auf Sinn­haf­tig­keit hin­ter­fragt wer­den (spä­tes­tens aber an so neur­al­gi­schen Er­eig­nis­sen wie Fir­men­fu­sio­nen). Sonst pas­sie­ren Dinge wie im Mo­nats­rhyth­mus zu än­dern­de, acht­stel­li­ge Pass­wör­ter für den Fir­men-VPN-Zu­gang – oder Ge­schich­ten wie diese Epi­so­de.