Home Veranstaltungen Deutscher EDV-Gerichtstag 6. Deutscher EDV-Gerichtstag 1997 Arbeitskreise Sicherheit und EDV

Sicherheit und EDV

Das Problem “Magnetkarten” (mit praktischen Vorführungen)

Zeit: Don­ner­stag, 10. April 1997, 14.30 Uhr
Ort: HS 112
Mod­er­a­tion: Herr Lei­t­en­der Regierungs­di­rek­tor Dr. Tauchert
Ref­er­ent: Herr Pro­fes­sor Dr. Pausch

Diskussion im Anschluß:

Zeit: Don­ner­stag, 10. April 1997, 16.00 Uhr
Ort: HS 117

Die Sicher­heit von Mag­netkarten in automa­tis­chen Zahlungssystemen

Die deutsche Kred­itwirtschaft behauptet behar­rlich, daß die Ermit­tlung der per­sön­lichen Geheimzahl (PIN) auf Mag­netkat­en im Zahlungsverkehr ohne vorherige Ken­nt­nis der PIN unmöglich ist. In der Regel erken­nen die Gerichte deshalb auf­grund dieser Behaup­tung auf der Grund­lage des Anscheins­be­weis­es (pri­ma facie) zugun­sten der Kred­itwirtschaft. Die vorgelegten Gutacht­en sind aber falsch bzw. wer­den falsch ausgelegt.

Der Autor geht in seinem Vor­trag auf dem deutschen EDV-Gericht­stag der Frage nach, ob in Anbe­tra­cht der vie­len bekan­nt gewor­de­nen — teils unter der Prämisse der Unmöglichkeit — unerk­lär­baren Fälle des unberechtigten Kon­tenzu­griffs, bei denen die Betrof­fe­nen in der Regel behaupten die PIN nicht preis­gegeben zu haben, die pri­ma facie-Grund­lage Bestand haben kann.

Art und Häu­figkeit der bekan­nt­ge­wor­de­nen Mag­netkarten­fälle lassen ver­muten, dass es prak­tik­able Ver­fahren gibt, mit denen die Geheimzahl in angemessen­er Zeit und mit angemessen­em Aufwand ermit­telt oder in ander­er Weise der unberechtigte Zugriff auf ein fremdes Kon­to ermöglicht wer­den kann. Durch den Beitrag des Autors, der als öffentlich bestell­ter und verei­digter Sachver­ständi­ger in vie­len Gerichtsver­fahren auch im Aus­land zu diesem The­ma bere­its gutachter­lich tätig war und der über eine umfan­gre­iche Erfahrung ver­fügt, wird eine Klas­si­fizierung der Schwach­stellen des Mag­netkarten­sys­tems vorgenom­men. Es wer­den viele Fälle vorgestellt und im einzel­nen erläutert, so daß die Äng­ste und Ver­mu­tun­gen, die jeden Nutzer des Sys­tems — auch Richter, Staat­san­wälte und Recht­san­wälte — befall­en, durch die ver­suchte Risikio­quan­tifizierung in konkrete Mei­n­ungs­bil­dung über­führt werden.

In seinem Vor­trag wird der Sachver­ständi­ge detail­liert tech­nis­che Einzel­heit­en des Sys­tems darstellen und auf ihren Risiko­ge­halt unter­suchen. Es wer­den Manip­u­la­tion­s­möglichkeit­en und the­o­retis­che Denkan­sätze vorgestellt, die zur Erk­lärung viel­er “typ­is­ch­er” Fälle beitra­gen kön­nen. Auch wird das notwendi­ge Wis­sen und die erforder­lichen Geräte, über das oder die ein unbefugter Drit­ter ver­fü­gen muss, einge­hend besprochen.

Eine von der Kred­itwirtschaft häu­fig vorgenommene the­ma­tis­che Verkürzung der Prob­lematik auf die reine Errechen­barkeit der PIN aus den Kar­tendat­en wird durch die bre­ite Palette von Betrugsmöglichkeit­en im Zahlungsverkehr als Manip­u­la­tionsver­such von Laien (wozu aus fach­lich­er Sicht auch Juris­ten zu zählen sind) bloßgestellt, deren Motiv offen­sichtlich ist.

Ziel des Vor­trages ist nicht zulet­zt die Aufk­lärung und Sen­si­bil­isierung von Richtern, Staat­san­wäl­ten und Recht­san­wäl­ten, um diesem wach­senden Prob­lemkreis in Zukun­ft bess­er gerecht wer­den zu können.

Die Vielzahl und Ver­schiedenar­tigkeit der vorgestell­ten Fälle läßt erken­nen, dass nicht in jedem Fall die Unmöglichkeit eines unberechtigten Kon­tenzu­griffs durch Dritte angenom­men wer­den darf. Damit ist die grund­sät­zliche Anwen­dung des Anschein­be­weis­es in Frage zu stellen.

Die juris­tis­che Würdi­gung kann in Ziv­il- und Strafver­fahren nur auf ein­er qual­i­fizierten Abwä­gung aller Umstände befriedi­gend sein. Dazu gehört auch die Klärung ver­fahren­stech­nis­ch­er Einzel­heit­en, die in der Regel als Geheimwis­sen der Betreiber von Gel­daus­gabeau­to­mat­en behan­delt wer­den. So entzieht sich der dies­bezügliche Parteivor­trag ein­er qual­i­fizierten Beurteilung durch das Gericht. Häu­fig wer­den Richter und Staat­san­wälte deshalb auf das Fach­wis­sen geeigneter Sachver­ständi­ger angewiesen sein.

Es ist deshalb zuerst zu klären, welchen Anforderun­gen bezüglich Wis­sen, Unter­suchungsmethodik und Geräteausstat­tung ein geeigneter Sachver­ständi­ger genü­gen muss. Während das Wis­sen durch Gericht oder Ermit­tlungs­be­hör­den nicht immer fair beurteilt wer­den kann, kön­nen Unter­suchungsmethodik und Geräteausstat­tung zweifels­frei vor Ver­gabe eines Gutacht­e­nauf­trages ein­deutig fest­gestellt werden.

Um hier Beurteilungsan­halte zu bieten wird der Vor­tra­gende beispiel­haft den foren­sis­chen und den “speku­la­tiv­en” Teil eines voll­ständi­gen Gutacht­ens zu einem realen Fall vorstellen und erläutern.