MÜNCHEN - Einen neuen Fall von Computerkriminalität schildert Rainer von zur Mühlen, der durch sein Buch "Computerkriminalität" bekannt wurde und den vom Verlag Handelsblatt, Düsseldorf, herausgegebenen Informationsdienst "Sicherheitsberater" redigiert.

Zwei Operateure und ein Maschinensaalleiter schufen sich einen lukrativen Nebenverdienst durch Umleiten von Geldern, die auf Festgeldkonten verbucht werden sollten. Sie richteten unter fremden Namen eigene Konten ein, auf die sie mit Hilfe selbstgeschriebener Programme, die unter Fehlerkorrektur-Modus liefen, die für andere Konten bestimmten Gelder übertrugen. Für ihre Unterschlagung suchten sie sich solche Festgeldkonten aus, die relativ wenig bewegt wurden, weil routinemäßig nur alle viertel Jahre ein Kontoauszug geschickt wird, sofern keine Abhebungen erfolgen.

Um Irrtumsfehler vorzutäuschen, hatten die Täter bei weiteren 10 Konten gleichartige Manipulationen vorgenommen, die Beträge aber anderen Kundenkonten gutgeschrieben. Natürlich gab es schließlich Beschwerden der betrogenen Kunden, aber die Bank tappte im Dunkeln. Konkreter Verdacht entstand erst, als die mit der Untersuchung Beauftragten feststellten, daß die meisten manipulierten Beträge auf Konten gingen, die bald wieder aufgelöst wurden, nachdem die jeweiligen Guthaben abgehoben waren. Durch die Überprüfung der gesamten Buchungsmasse eines Quartals und durch Analyse der noch vorhandenen Schichtprotokolle konnte der Täterkreis eingegrenzt werden. Im Ausschluß verfahren war es dann möglich, zu klären, welche Mitarbeiter als Täter nicht in Frage kamen. Ein Überrumpelungsmanöver führte im Verhör zu einem ersten Geständnis.

Lückenhafte Sicherheitsorganisation

Mehrere Organisationsfehler machten den Tätern die Arbeit leicht:

Die Konsolprotokolle wur-Lückenlosigkeit überprüft. Ihre Kontrolle war Aufgabe des Maschinensaalleiters, - sie gehört aber in die Hände der Revision.

- Die Täter konnten mit Fehleränderungsprogrammen arbeiten. Diese waren uneingeschränkt erlaubt. Die Benutzung solcher Programme sollte nur mit Hilfe von Paßworten möglich sein, die nur der Revision und der Arbeitsvorbereitung bekannt sein dürfen.

- Die Täter hatten keine Stichprobenprüfung zu befürchten, da solche nicht vorgesehen waren.

- Der Maschinensaalleiter und andere Mitarbeiter verfügten über Schlüssel zum Rechenzentrum. Zugangskontrolle ist aber nur dann lückenlos möglich, wenn Mitarbeiter einen Schlüssel beim Pförtner abholen müssen.

- Die Täter hatten die Möglichkeit, unbeaufsichtigt im Rechenzentrum zu arbeiten, da eine Überstundenkontrolle nicht stattfand.

Sicherheitsberater Rainer von zur Mühlen (Branchenjargon: Sheriff Rainer) mag vom "Bangemachen" profitieren. Mancher EDV-Leiter kann dergleichen schon nicht mehr hören. Trotzdem - der Fall gibt zu denken.