Web

 

Bank will Gerichtsaussagen zur Sicherheit der eigenen IT verhindern

24.02.2003

MÜNCHEN (COMPUTERWOCHE) - Eine südafrikanische Niederlassung der Citibank versucht in einem in London anhängigen Prozess, die Aussagen von Wissenschaftlern zu verhindern, die potenzielle Sicherheitsrisiken der IT-Systeme der Citibank offenbaren würden.

In einem Rechtsstreit vor dem obersten britischen Zivilgericht (High Court of Justice) geht es momentan darum, die offensichtlichen kriminellen Umstände aufzudecken, die dazu führen konnten, dass im März 2000 mit einer Bankkarte bei 190 Geldtransaktionen an Londoner Bankautomaten insgesamt rund 80 000 Dollar abgehoben werden konnten. Die Citibank-Südafrika hat Anil Singh und Vanita Singh verklagt, sie hätten wissentlich ihre Bankkarte für illegale Geldabschöpfungsaktionen in London zur Verfügung gestellt.

An dieser Stelle nun treten die Wissenschaftler der Cambridge-University auf. Die Anwälte der beiden Beklagten hatten die Experten für IT-Sicherheitsfragen als Zeugen der Verteidigung aufgeboten. Sie sollten - und konnten - belegen, dass die kriminellen Geldtransaktionen an den Citibank-Bankautomaten in London nur realisiert werden konnten, weil das Banken-IT-System immanent erhebliche Schwächen aufweist.

Ross Anderson, ein Fakultätsmitglied von Cambridge, gab zu Protokoll, einer seiner Studenten habe ein Papier unter dem Titel „Decimalisation table attacks for PIN cracking“ mitveröffentlicht. Darin habe der Famulus schlagend belegt, dass das Verschlüsselungssystem der Citibank „einige wirklich entsetzliche Schwachstellen aufweist“. Diese Verschlüsselungssysteme sollen eigentlich verhindern, dass PIN-Nummern von Bankkunden geknackt und dann missbraucht werden können. Nach dem Report von Mike Bond könnte ein mit einiger krimineller Energie versehener Bankangestellter innerhalb einer halben Stunde die Personal Identification Numbers (PIN) von 7000 Kunden entschlüsseln. „Wie es aussieht, sind diese Schwachstellen nun auch von einigen Kriminellen entdeckt worden,“ sagte der Wissenschaftler Anderson weiter.

Genau diese Erkenntnisse will die Citibank nun aber nicht in einem öffentlichen Gerichtsverfahren zum Gegenstand der Diskussion werden lassen. Sie hat deshalb den Antrag gestellt, dass die Wissenschaftler nicht als Zeugen der Verteidigung vor Gericht zugelassen werden und eine Aussagen machen dürfen. Ursprünglich sollte die Zeugenvernehmung ab dem 3. März 2003 beginnen. Das Zivilgericht sagte, es werde vor diesem Termin das weitere Prozedere klären. Cambridge-Mann Anderson hat wenig Verständnis für die Versuche der Banker, die Zeugenaussagen zu verhindern: „Die Gerichte sollten lieber dafür sorgen, dass die Banken ihre IT-Systeme sicher machen, anstatt es diesen zu ermöglichen, über die Sicherheit ihrer Computersysteme Lügen zu verbreiten und die Kosten für Probleme auf die Konsumenten abzuwälzen.“

Die Citibank setzt in London IBM-Bankautomaten vom Typ „3624“ von Anfang der 80er Jahre ein. Die und viele ihrer Nachfolger speichern die PIN-Nummern, die für Geldabhebungen nötig sind, weisen aber nach dem Bericht der Universitätsexperten erhebliche Sicherheitsmängel auf. (jm)