Sicher­heit und EDV

Das Pro­blem „Magnet­kar­ten“ (mit prak­ti­schen Vor­füh­run­gen)

Zeit: Don­ners­tag, 10. April 1997, 14.30 Uhr
Ort: HS 112
Mode­ra­ti­on: Herr Lei­ten­der Regie­rungs­di­rek­tor Dr. Tau­chert
Refe­rent: Herr Pro­fes­sor Dr. Pausch

Dis­kus­si­on im Anschluß:

Zeit: Don­ners­tag, 10. April 1997, 16.00 Uhr
Ort: HS 117

Die Sicher­heit von Magnet­kar­ten in auto­ma­ti­schen Zah­lungs­sys­te­men

Die deut­sche Kre­dit­wirt­schaft behaup­tet beharr­lich, daß die Ermitt­lung der per­sön­li­chen Geheim­zahl (PIN) auf Magnet­ka­ten im Zah­lungs­ver­kehr ohne vor­he­ri­ge Kennt­nis der PIN unmög­lich ist. In der Regel erken­nen die Gerich­te des­halb auf­grund die­ser Behaup­tung auf der Grund­la­ge des Anscheins­be­wei­ses (pri­ma facie) zuguns­ten der Kre­dit­wirt­schaft. Die vor­ge­leg­ten Gut­ach­ten sind aber falsch bzw. wer­den falsch aus­ge­legt.

Der Autor geht in sei­nem Vor­trag auf dem deut­schen EDV-Gerichts­tag der Fra­ge nach, ob in Anbe­tracht der vie­len bekannt gewor­de­nen – teils unter der Prä­mis­se der Unmög­lich­keit – uner­klär­ba­ren Fäl­le des unbe­rech­tig­ten Kon­ten­zu­griffs, bei denen die Betrof­fe­nen in der Regel behaup­ten die PIN nicht preis­ge­ge­ben zu haben, die pri­ma facie-Grund­la­ge Bestand haben kann.

Art und Häu­fig­keit der bekannt­ge­wor­de­nen Magnet­kar­ten­fäl­le las­sen ver­mu­ten, dass es prak­ti­ka­ble Ver­fah­ren gibt, mit denen die Geheim­zahl in ange­mes­se­ner Zeit und mit ange­mes­se­nem Auf­wand ermit­telt oder in ande­rer Wei­se der unbe­rech­tig­te Zugriff auf ein frem­des Kon­to ermög­licht wer­den kann. Durch den Bei­trag des Autors, der als öffent­lich bestell­ter und ver­ei­dig­ter Sach­ver­stän­di­ger in vie­len Gerichts­ver­fah­ren auch im Aus­land zu die­sem The­ma bereits gut­ach­ter­lich tätig war und der über eine umfang­rei­che Erfah­rung ver­fügt, wird eine Klas­si­fi­zie­rung der Schwach­stel­len des Magnet­kar­ten­sys­tems vor­ge­nom­men. Es wer­den vie­le Fäl­le vor­ge­stellt und im ein­zel­nen erläu­tert, so daß die Ängs­te und Ver­mu­tun­gen, die jeden Nut­zer des Sys­tems – auch Rich­ter, Staats­an­wäl­te und Rechts­an­wäl­te – befal­len, durch die ver­such­te Risik­io­quan­ti­fi­zie­rung in kon­kre­te Mei­nungs­bil­dung über­führt wer­den.

In sei­nem Vor­trag wird der Sach­ver­stän­di­ge detail­liert tech­ni­sche Ein­zel­hei­ten des Sys­tems dar­stel­len und auf ihren Risi­ko­ge­halt unter­su­chen. Es wer­den Mani­pu­la­ti­ons­mög­lich­kei­ten und theo­re­ti­sche Denk­an­sät­ze vor­ge­stellt, die zur Erklä­rung vie­ler „typi­scher“ Fäl­le bei­tra­gen kön­nen. Auch wird das not­wen­di­ge Wis­sen und die erfor­der­li­chen Gerä­te, über das oder die ein unbe­fug­ter Drit­ter ver­fü­gen muss, ein­ge­hend bespro­chen.

Eine von der Kre­dit­wirt­schaft häu­fig vor­ge­nom­me­ne the­ma­ti­sche Ver­kür­zung der Pro­ble­ma­tik auf die rei­ne Erre­chen­bar­keit der PIN aus den Kar­ten­da­ten wird durch die brei­te Palet­te von Betrugs­mög­lich­kei­ten im Zah­lungs­ver­kehr als Mani­pu­la­ti­ons­ver­such von Lai­en (wozu aus fach­li­cher Sicht auch Juris­ten zu zäh­len sind) bloß­ge­stellt, deren Motiv offen­sicht­lich ist.

Ziel des Vor­tra­ges ist nicht zuletzt die Auf­klä­rung und Sen­si­bi­li­sie­rung von Rich­tern, Staats­an­wäl­ten und Rechts­an­wäl­ten, um die­sem wach­sen­den Pro­blem­kreis in Zukunft bes­ser gerecht wer­den zu kön­nen.

Die Viel­zahl und Ver­schie­den­ar­tig­keit der vor­ge­stell­ten Fäl­le läßt erken­nen, dass nicht in jedem Fall die Unmög­lich­keit eines unbe­rech­tig­ten Kon­ten­zu­griffs durch Drit­te ange­nom­men wer­den darf. Damit ist die grund­sätz­li­che Anwen­dung des Anschein­be­wei­ses in Fra­ge zu stel­len.

Die juris­ti­sche Wür­di­gung kann in Zivil- und Straf­ver­fah­ren nur auf einer qua­li­fi­zier­ten Abwä­gung aller Umstän­de befrie­di­gend sein. Dazu gehört auch die Klä­rung ver­fah­rens­tech­ni­scher Ein­zel­hei­ten, die in der Regel als Geheim­wis­sen der Betrei­ber von Geld­aus­ga­be­au­to­ma­ten behan­delt wer­den. So ent­zieht sich der dies­be­züg­li­che Par­tei­vor­trag einer qua­li­fi­zier­ten Beur­tei­lung durch das Gericht. Häu­fig wer­den Rich­ter und Staats­an­wäl­te des­halb auf das Fach­wis­sen geeig­ne­ter Sach­ver­stän­di­ger ange­wie­sen sein.

Es ist des­halb zuerst zu klä­ren, wel­chen Anfor­de­run­gen bezüg­lich Wis­sen, Unter­su­chungs­me­tho­dik und Gerä­te­aus­stat­tung ein geeig­ne­ter Sach­ver­stän­di­ger genü­gen muss. Wäh­rend das Wis­sen durch Gericht oder Ermitt­lungs­be­hör­den nicht immer fair beur­teilt wer­den kann, kön­nen Unter­su­chungs­me­tho­dik und Gerä­te­aus­stat­tung zwei­fels­frei vor Ver­ga­be eines Gut­ach­ten­auf­tra­ges ein­deu­tig fest­ge­stellt wer­den.

Um hier Beur­tei­lungs­an­hal­te zu bie­ten wird der Vor­tra­gen­de bei­spiel­haft den foren­si­schen und den „spe­ku­la­ti­ven“ Teil eines voll­stän­di­gen Gut­ach­tens zu einem rea­len Fall vor­stel­len und erläu­tern.