MÜNCHEN - Bildschirmtext steht offenbar eine neue, teils informelle Testphase bevor. Nachdem Hacker bei der Hamburger Sparkasse (Haspa) einen spektakulären "elektronischen Bankbetrug" vor einem Millionen-Fernseh-Publikum simuliert hatten (vergleiche CW Nr. 48. Seite 1). ist von der Bundespost zu hören, sie arbeite "an einem Untersuchungskonzept, um die Systemsicherheit noch weiter zu erhöhen". Die Notwendigkeit "weiterer externer Sicherheitstests" durch von IBM-Zentralentechnik-Kenntnissen "unbeleckte" Experten sieht auch das Hamburger Beratungsunternehmen SCS. Den Hackertest modifizieren wollen schließlich die Btx-Kundigen der Starnberger Btx-Agentur Fiba.

"Vogel-Strauß"-Reaktionen zeigten einige von der COMPUTERWOCHE zur Lage nach dem Haspa-Debakel befragte Kreditinstitute, die zur Zeit Btx-Anwendungen vorbereiten beziehungsweise schon mit größeren Seitenkontingenten im System sind: Sie hüllten sich in betretenes Schweigen.

Sicher gaben sich nur die Dresdner Bank, Frankfurt, und die Sparkasse Karlsruhe. Abwiegelnd meinte Hartmut Bressel von der Dresdner "Wenn nichts Schlimmeres passiert dann überprüfen wir unser Sicherheitskonzept nicht". Klaus Edelmann aus Karlsruhe betrachtet die Vorgänge in Hamburg schon etwas beunruhigter: "Das Btx-System vermittelte uns von Anfang an den Eindruck, nicht vollständig ausgereift zu sein. Dies hat eine laufende Überprüfung beziehungsweise Verbesserung (unseres) Sicherheitskonzepts zur Folge. Regreßansprüche, die durch Hacker oder andere System-Fremdlinge entstehen könnten, weil die Btx-Zentralen-Software dies zulasse werde man gegebenenfalls in erster Linie an die Post stellen. Ihre Sache sei es schließlich, den Btx-Anbietern und -Teilnehmern ein voll funktionierendes System zur Verfügung zu stellen. "Wenn die Post die Inanspruchnahme des Systems durch attraktive Nutzungsmöglichkeiten steigern will, dann kann dies nicht über unausgegorene Programme zu Lasten der Anbieter oder Teilnehmer gehen, heißt es dort weiter.

Gleich drei mögliche Verantwortliche entdeckt für künftige Fälle Bressel: Die Post, den Hard- und Softwarelieferanten sowie das Bankunternehmen selbst. In der Tat auch im Demonstrationsfall "Haspa" scheint ein gewisses Eigenverschulden nicht ausgeschlossen. Vom "Paßwort im Klartext", für jedermann leicht erkennbar, bis zum "freigeschalteten Anschluß" lauten die Erklärungsversuche der postnahen Btx-Insider nach dem Motto: "Wer den Schaden hat, braucht für den Spott nicht zu sorgen" . Im übrigen sei das Medienspektakel am Rande der Legitimität angesiedelt gewesen etc. etc.

Immerhin hat die Haspa inzwischen ihr Passwort geändert - sinnigerweise soll es "Bankraub gelautet haben - aber auch ihre Anwälte mit der Prüfung juristischer Schritte gegen die Bundespost beauftragt; auf jeden Fall müsse sie für eine stärkere elektronische Sicherung sorgen. Einfach scheint die Schuldzuweisung - "zur Freude der Juristen" - jedenfalls nicht zu sein, wie einer der wenigen Spezialisten dieses neuen Rechtsgebietes versichert.

Ein "Software- Fehler" wurde von der Oberpostdirektion Hamburg Agenturmeldungen zufolge gleichwohl zugegeben und wie es weiter heißt "bereits behoben". Unverlangtes Auftauchen des Paßworts eines Btx-Anbieters werde es künftig nicht mehr geben.

Der entstandene Schaden ist mehr psychologischer Natur als klar zu beziffern, denn, wie übereinstimmend von den Bankfachleuten erklärt wird, ein Zugriff auf ein Btx-Kunden-Konto direkt ist nicht erfolgt. In den externen Rechner der Haspa sei Hacker Wau Holland mit seinen Manipulationen nicht eingedrungen. Hier wie in anderen Anwendungen sei eine unüberwindliche Software-Barriere aufgerichtet, ist von den Herstellern Externer-Rechner-Software zu hören. Auch müßte es sich in Bankkreisen längst herumgesprochen haben, wenn bereits "ein echter Einbruch" in einen externen Rechner infolge fahrlässiger Preisgabe geschützter Codedaten (Kennziffer, PIN oder TAN) erfolgt sei, vermutet der Btx-Verantwortliche Edelmann von der Karlsruher Sparkasse.

"Hoffen auf die Chipkarte" ist im Augenblick, neben der weiteren Aufklärung über das eigentlich hinlänglich bekannte Sicherheitskonzept der Post, das Motto. Sie soll die umständlichen Prozeduren für die Btx-Konto-Inhaber vereinfachen, die an sich für das heutige Btx ja bereits zugesagte hochprozentige Sicherheit nocheinmal zusätzlich erhöhen und damit eine optimale Akzeptanz des Systems bringen.

Außenseiter sehen indes die größeren Chancen, Akzeptanz und Sicherheit des neuen Postdienstes zu gewährleisten, in weiteren unkonventionellen "Tests". Ulrich Kranz von SCS, Essen, empfiehlt der Post ganz unumwunden nein paar externe Leute, auch diesen Holland, zu beauftragen, Eindringversuche zu machen nach allen Regeln der Kunst." "Lächerliche Belastungsversuche" brächten nichts. Für ganz wesentlich hält es der Diplom-Ingenieur, daß die Test-Eindringlinge unabhängig von der IBM sind und von der Technik der Zentralen nichts wissen, "damit sie hinterher keinen Ärger kriegen wenn sie was rausgefunden haben, was sie nicht hätten rausfinden dürfen."

Auf inoffizielle Auftragnehmer für diesen Job muß die Bundespost wohl nicht lange warten, denn die Btx-Freaks, die schon ein wenig der System-Spielereien müde geworden waren, haben nun ein neues Ziel: zunächst einmal den Trick des Hamburger Chaos-Computer-Clubs nachzuspielen. So freut sich zum Beispiel die kleine Mannschaft der Starnberger Btx-Agentur "Fiba" schon darauf, "das auch einmal zu probieren".

Handwerkszeug ist ein Mupid (oder anderes Terminal), ein Schraubenzieher, ein Selbstbaumodem (Preis DM 40,-), eine automatische Wähleinrichtung für das Telefon (Selbstbau DM 25,-) ein Terminal- oder ein Modem- Programm- und ein Telefonanschluß. Einschlägiges Wissen sei aus der Zeitschrift "Die Datenschleuder" zu entnehmen oder werde in Computer-Club-Zeitschriften verbreitet, war auf der letzten Datenschutzfachtagung der GDD, der "Dafta", in Köln zu hören.