Vor geraumer Zeit mußte ich einigen Unterlagen bei der Targobank hinterhertelefonieren. Nach einigem Weiterverbinden war ich schließlich an der vermeintlich richtigen Stelle. Dort entspann sich dann nach kurzer Begrüßung folgender Gesprächsablauf:

Bank: „Bitte nennen Sie mir nochmals Ihre Kontonummer“

Ich: „Gerne. Meine Kontonummer lautet 2403731234“ (Ok, meine Kontonummer lautet anders, aber für den Zweck dieses Blogposts geht es um das Zahlenschema ;-)

Bank: „Danke. Als Sicherheitsüberprüfung benötige ich von Ihnen ein persönliches Detail. Können Sie mir bitte Ihr Geburtsdatum nennen?“

Ich: „Erm, wiebitte? Das ist jetzt nicht Ihr Ernst, oder?“

Bank: „Doch, das müssen wir aus Sicherheitsgründen machen. Wissen Sie, sonst könnte ja jemand anderes anrufen und sich als Sie ausgeben…“

Ich: „Das ist mir schon klar, aber ich habe Ihnen gerade bereits mein Geburtsdatum genannt.“

Bank: „Ich verstehe nicht…“

Ich: „Sehen Sie sich doch bitte die ersten sechs Stellen meiner Kontonummer an. Ihre Kontonummern beinhalten das Geburtsdatum. Halten Sie es wirklich für ein sinnvolles Sicherheitsmerkmal, mich danach nochmals zu fragen?“

Bank: „Ja… oh… stimmt. Dann sagen Sie mir doch bitte – äh, moment – zum Beispiel Ihre Anschrift…“

OMG! Da fühle ich mich ja gleich soviel sicherer! m(

• Das Geburtsdatum taugt als Sicherheitsmerkmal nullkommagernicht, das kann jeder Betrüger in kürzester Zeit herausfinden. Bei den meisten Leuten steht es offen lesbar in Facebook, Xing, LinkedIn oder ähnlichen sozialen Netzen.
• Bei Online-Bestellungen gilt das Geburtsdatum (meines Wissens aufgrund gängiger Rechtssprechung) als Legitimation und quasi als Ersatz für eine Unterschrift. Durch Integration in die Kontonummer, welche ja als öffentlich zugängliches Datum zu betrachten ist, fällt dieser (einzige) Schutz weg.
• Mein Konto hatte ich seinerzeit bei der Citibank eröffnet, welche inzwischen mit der Targobank fusionierte. Ich vermute, die Kontonummern der Targobank folgen nicht diesem bescheuerten Schema. Aber offenbar wurden bei der Fusion bestehende Sicherheitsprocederes nicht hinreichend hinterfragt.

Und die Moral von der Geschichte? Sicherheitsprocederes und -richtlinien sollten regelmäßig überprüft und auf Sinnhaftigkeit hinterfragt werden (spätestens aber an so neuralgischen Ereignissen wie Firmenfusionen). Sonst passieren Dinge wie im Monatsrhythmus zu ändernde, achtstellige Passwörter für den Firmen-VPN-Zugang – oder Geschichten wie diese Episode.