Wie schwierig für Laien die Beurteilung der Sicherheit von Datenverarbeitungseinrichtungen ist, hat der NDR am 27. 10. 1985 im "ARD-Ratgeber Technik" unter Beweis gestellt. Die Schwächen der Magnetstreifen in Berechtigungskarten waren Schwerpunkt dieser Sendung, allerdings unter unrealistischen Bedingungen. Die mehrfach gesicherten Magnetstreifen der Eurochequekarten mußten herhalten. Daß dabei mit fehlerbehafteten Prämissen gearbeitet wurde, störte die Redaktion ebensowenig wie Interventionen des von gezielten Kartenmanipulationen betroffenen Instituts "Hamburger Sparkasse" (HaSpa) sowie des Zentralen Kreditausschusses (ZKA) vor der Ausstrahlung der Sendung.
Der Redakteur der Sendung Bernd Leptihn, behauptete, eine gestohlene EC-Karte, bei der der Dieb die Geheimnummer kenne, könnte bei einer "Rundreise von Geldautomat zu Geldautomat" an einem Wochenende für Abbuchungen bis zu 100 000 Mark herhalte - zu Lasten des Kontos desjenigen, dem die Karte gestohlen wurde. Daß derartige Fälle mit der Eurochequekarte bislang nicht vorgekommen sind, störte wenig. Auf ausländische Erfahrungen wurde vielmehr abgestellt, obgleich es sich hier um andere Magnetkartensysteme , wandelte.
Die Teufelei liegt darin, daß der NDR zwar recht hat, aber nicht ganz recht, weil er eine Konstruktion wählte, die bei sorgsamem Umgang mit der EC-Karte nicht realistisch ist. Und vor leichtfertigem Gebrauch der EC-Karte warnen die Geldinstitute: Die Karte ist wie Bargeld anzusehen. Wer sich an diese Spielregel nicht hält, hat in der Tat mit den Konsequenzen zu leben. Bequemlichkeit hat ihren Preis.
Passiert war dies: Die freien NDR-Mitarbeiter Ammann und Lehnhardt
hatten ihre eigenen EC-Karten zur Manipulation benutzt. Sie beschafften sich für ein paar tausend Mark Geräte, die die EC-Karte lesen und beschreiben können. Durch Anpassung
an einen PC schafften sie sich die Möglichkeit, den Inhalt des Magnetstreifens vor der Benutzung der Karte zu sichern, nach der Benutzung auf die Karte zurückzuschreiben, um danach erneut am Automaten Geld abzuholen.
Beide Karten wurden von Automaten wegen Manipulationsverdacht eingezogen, wohl weil Fehler in der Übelschreibung vorgekommen sind. Eine Karte schluckte der Automat beim dritten Versuch, die andere beim siebten. Ob es stimmt, was Bernd Leptihn in der Sendung sagte, daß nämlich die Karten deshalb eingezogen wurden, weil jeweils ein zweiter Versuch beim gleichen Automaten vorgenommen wurde, darf bezweifelt werden, denn das Einziehen der Karten hat das schöne Experiment abrupt beendet. Und zweimal der gleiche Bedienungsfehler . . . ?
Gleichwohl, die Aussage des NDR, daß man Magnetstreifen mit Leseund Schreibeinrichtungen verändern kann, ist keine Sensation. Gerade aus diesem Grund
haben die Kreditinstitute ja eine Menge für die Sicherheit getan. So ist die Kartencharakteristik im Streifen mit abgespeichert - ein Duplizieren auf Dummies verhilft nicht zum Erfolg. Ferner ist die Geheimnummer einwegverschlüsselt; sie herauszulesen, bringt nichts, weil der Eingabecode unbekannt bleibt. Was blieb den Leuten vom NDR für Demonstrationszwecke? Die Manipulation mit dem eigenen Konto. Fazit: Leute, haltet eure Geheimnummer (sie heißt nicht ohne Grund so!) geheim, dann kann niemand euer Konto plündern!
Was völlig unterging, war der Aspekt, daß Geldfunktionen von Berechtigungskarten erst umfassend sicher werden, wenn statt eines unintelligenten Magnetstreifens ein Mikrochip verwendet wird. Der Geldausgabeautomat ist ja nur ein winziger Bestandteil in einem System, bei dem das Plastikgeld - über Grenzen hinweg - Anwendung findet. Und hier geht es in der Tat nicht ohne einen Mikroprozessor in der Karte, der nicht nur die Berechtigung prüft, den Datenverkehr verschlüsselt, die Transaktionen protokolliert, sondern auch Alarm schlägt und sich selbst inaktiviert, wenn der Verdacht auf Manipulation gegeben ist.
Zwar zitierte der NDR die in Fachkreisen bekannte SCS-Studie aus dem Jahre 1983 für die Deutsche Bundespost, die der Entwicklung der Chipkarten in Deutschland - sowohl für Postzwecke als auch für eine künftige Eurocheque-Chipkarte - die entscheidenden Impulse gegeben hat. Aber der NDR zitierte nur die Negativ anmerkungen zur Magnetstreifenkarte, wenn diese verglichen wird mit den Eigenschaften einer künftigen Chipkarte.
Ob der Verbraucher dies alles versteht, muß bezweifelt werden. Insgesamt wirkte die Sendung wie eine weitere Diskreditierung der DV-Technik, und das, obwohl bisher keinerlei Manipulationen mit der EC-Karte in der gestellten Weise bekanntgeworden sind. Warum das so ist, erklärt sich leicht: Es ist halt nicht so leicht, an die erforderlichen Geräte, eine gestohlene Karte (die noch nicht als verloren gemeldet wurde) und außerdem an die Geheimnummer zu kommen; man muß alles zusammen haben und dann die wenige Zeit ausnützen. Zudem muß man Online-Automaten von Offline-Geräten unterscheiden können, was ohne Insiderkenntnisse nicht möglich ist, denn diese Eigenschaften sieht man einem Geldautomaten nicht von außen an.
Siegfried Martial ist DV-Fachberater.