Sicherheit und EDV
Das Problem “Magnetkarten” (mit praktischen Vorführungen)
Zeit: | Donnerstag, 10. April 1997, 14.30 Uhr |
Ort: | HS 112 |
Moderation: | Herr Leitender Regierungsdirektor Dr. Tauchert |
Referent: | Herr Professor Dr. Pausch |
Diskussion im Anschluß:
Zeit: | Donnerstag, 10. April 1997, 16.00 Uhr |
Ort: | HS 117 |
Die Sicherheit von Magnetkarten in automatischen Zahlungssystemen
Die deutsche Kreditwirtschaft behauptet beharrlich, daß die Ermittlung der persönlichen Geheimzahl (PIN) auf Magnetkaten im Zahlungsverkehr ohne vorherige Kenntnis der PIN unmöglich ist. In der Regel erkennen die Gerichte deshalb aufgrund dieser Behauptung auf der Grundlage des Anscheinsbeweises (prima facie) zugunsten der Kreditwirtschaft. Die vorgelegten Gutachten sind aber falsch bzw. werden falsch ausgelegt.
Der Autor geht in seinem Vortrag auf dem deutschen EDV-Gerichtstag der Frage nach, ob in Anbetracht der vielen bekannt gewordenen — teils unter der Prämisse der Unmöglichkeit — unerklärbaren Fälle des unberechtigten Kontenzugriffs, bei denen die Betroffenen in der Regel behaupten die PIN nicht preisgegeben zu haben, die prima facie-Grundlage Bestand haben kann.
Art und Häufigkeit der bekanntgewordenen Magnetkartenfälle lassen vermuten, dass es praktikable Verfahren gibt, mit denen die Geheimzahl in angemessener Zeit und mit angemessenem Aufwand ermittelt oder in anderer Weise der unberechtigte Zugriff auf ein fremdes Konto ermöglicht werden kann. Durch den Beitrag des Autors, der als öffentlich bestellter und vereidigter Sachverständiger in vielen Gerichtsverfahren auch im Ausland zu diesem Thema bereits gutachterlich tätig war und der über eine umfangreiche Erfahrung verfügt, wird eine Klassifizierung der Schwachstellen des Magnetkartensystems vorgenommen. Es werden viele Fälle vorgestellt und im einzelnen erläutert, so daß die Ängste und Vermutungen, die jeden Nutzer des Systems — auch Richter, Staatsanwälte und Rechtsanwälte — befallen, durch die versuchte Risikioquantifizierung in konkrete Meinungsbildung überführt werden.
In seinem Vortrag wird der Sachverständige detailliert technische Einzelheiten des Systems darstellen und auf ihren Risikogehalt untersuchen. Es werden Manipulationsmöglichkeiten und theoretische Denkansätze vorgestellt, die zur Erklärung vieler “typischer” Fälle beitragen können. Auch wird das notwendige Wissen und die erforderlichen Geräte, über das oder die ein unbefugter Dritter verfügen muss, eingehend besprochen.
Eine von der Kreditwirtschaft häufig vorgenommene thematische Verkürzung der Problematik auf die reine Errechenbarkeit der PIN aus den Kartendaten wird durch die breite Palette von Betrugsmöglichkeiten im Zahlungsverkehr als Manipulationsversuch von Laien (wozu aus fachlicher Sicht auch Juristen zu zählen sind) bloßgestellt, deren Motiv offensichtlich ist.
Ziel des Vortrages ist nicht zuletzt die Aufklärung und Sensibilisierung von Richtern, Staatsanwälten und Rechtsanwälten, um diesem wachsenden Problemkreis in Zukunft besser gerecht werden zu können.
Die Vielzahl und Verschiedenartigkeit der vorgestellten Fälle läßt erkennen, dass nicht in jedem Fall die Unmöglichkeit eines unberechtigten Kontenzugriffs durch Dritte angenommen werden darf. Damit ist die grundsätzliche Anwendung des Anscheinbeweises in Frage zu stellen.
Die juristische Würdigung kann in Zivil- und Strafverfahren nur auf einer qualifizierten Abwägung aller Umstände befriedigend sein. Dazu gehört auch die Klärung verfahrenstechnischer Einzelheiten, die in der Regel als Geheimwissen der Betreiber von Geldausgabeautomaten behandelt werden. So entzieht sich der diesbezügliche Parteivortrag einer qualifizierten Beurteilung durch das Gericht. Häufig werden Richter und Staatsanwälte deshalb auf das Fachwissen geeigneter Sachverständiger angewiesen sein.
Es ist deshalb zuerst zu klären, welchen Anforderungen bezüglich Wissen, Untersuchungsmethodik und Geräteausstattung ein geeigneter Sachverständiger genügen muss. Während das Wissen durch Gericht oder Ermittlungsbehörden nicht immer fair beurteilt werden kann, können Untersuchungsmethodik und Geräteausstattung zweifelsfrei vor Vergabe eines Gutachtenauftrages eindeutig festgestellt werden.
Um hier Beurteilungsanhalte zu bieten wird der Vortragende beispielhaft den forensischen und den “spekulativen” Teil eines vollständigen Gutachtens zu einem realen Fall vorstellen und erläutern.