Sicher­heit und EDV

Das Pro­blem „Magnet­kar­ten“ (mit prak­ti­schen Vor­füh­run­gen)

Zeit: Don­ners­tag, 10. April 1997, 14.30 Uhr
Ort: HS 112
Mode­ra­tion: Herr Lei­ten­der Regie­rungs­di­rek­tor Dr. Tau­chert
Refe­rent: Herr Pro­fes­sor Dr. Pausch

Dis­kus­sion im Anschluß:

Zeit: Don­ners­tag, 10. April 1997, 16.00 Uhr
Ort: HS 117

Die Sicher­heit von Magnet­kar­ten in auto­ma­ti­schen Zah­lungs­sys­te­men

Die deut­sche Kre­dit­wirt­schaft behaup­tet beharr­lich, daß die Ermitt­lung der per­sön­li­chen Geheim­zahl (PIN) auf Magnet­ka­ten im Zah­lungs­ver­kehr ohne vor­he­rige Kennt­nis der PIN unmög­lich ist. In der Regel erken­nen die Gerichte des­halb auf­grund die­ser Behaup­tung auf der Grund­lage des Anscheins­be­wei­ses (prima facie) zuguns­ten der Kre­dit­wirt­schaft. Die vor­ge­leg­ten Gut­ach­ten sind aber falsch bzw. wer­den falsch aus­ge­legt.

Der Autor geht in sei­nem Vor­trag auf dem deut­schen EDV-Gerichtstag der Frage nach, ob in Anbe­tracht der vie­len bekannt gewor­de­nen – teils unter der Prä­misse der Unmög­lich­keit – uner­klär­ba­ren Fälle des unbe­rech­tig­ten Kon­ten­zu­griffs, bei denen die Betrof­fe­nen in der Regel behaup­ten die PIN nicht preis­ge­ge­ben zu haben, die prima facie-Grundlage Bestand haben kann.

Art und Häu­fig­keit der bekannt­ge­wor­de­nen Magnet­kar­ten­fälle las­sen ver­mu­ten, dass es prak­ti­ka­ble Ver­fah­ren gibt, mit denen die Geheim­zahl in ange­mes­se­ner Zeit und mit ange­mes­se­nem Auf­wand ermit­telt oder in ande­rer Weise der unbe­rech­tigte Zugriff auf ein frem­des Konto ermög­licht wer­den kann. Durch den Bei­trag des Autors, der als öffent­lich bestell­ter und ver­ei­dig­ter Sach­ver­stän­di­ger in vie­len Gerichts­ver­fah­ren auch im Aus­land zu die­sem Thema bereits gut­ach­ter­lich tätig war und der über eine umfang­rei­che Erfah­rung ver­fügt, wird eine Klas­si­fi­zie­rung der Schwach­stel­len des Magnet­kar­ten­sys­tems vor­ge­nom­men. Es wer­den viele Fälle vor­ge­stellt und im ein­zel­nen erläu­tert, so daß die Ängste und Ver­mu­tun­gen, die jeden Nut­zer des Sys­tems – auch Rich­ter, Staats­an­wälte und Rechts­an­wälte – befal­len, durch die ver­suchte Risiki­o­quan­ti­fi­zie­rung in kon­krete Mei­nungs­bil­dung über­führt wer­den.

In sei­nem Vor­trag wird der Sach­ver­stän­dige detail­liert tech­ni­sche Ein­zel­hei­ten des Sys­tems dar­stel­len und auf ihren Risi­ko­ge­halt unter­su­chen. Es wer­den Mani­pu­la­ti­ons­mög­lich­kei­ten und theo­re­ti­sche Denk­an­sätze vor­ge­stellt, die zur Erklä­rung vie­ler „typi­scher“ Fälle bei­tra­gen kön­nen. Auch wird das not­wen­dige Wis­sen und die erfor­der­li­chen Geräte, über das oder die ein unbe­fug­ter Drit­ter ver­fü­gen muss, ein­ge­hend bespro­chen.

Eine von der Kre­dit­wirt­schaft häu­fig vor­ge­nom­mene the­ma­ti­sche Ver­kür­zung der Pro­ble­ma­tik auf die reine Erre­chen­bar­keit der PIN aus den Kar­ten­da­ten wird durch die breite Palette von Betrugs­mög­lich­kei­ten im Zah­lungs­ver­kehr als Mani­pu­la­ti­ons­ver­such von Laien (wozu aus fach­li­cher Sicht auch Juris­ten zu zäh­len sind) bloß­ge­stellt, deren Motiv offen­sicht­lich ist.

Ziel des Vor­tra­ges ist nicht zuletzt die Auf­klä­rung und Sen­si­bi­li­sie­rung von Rich­tern, Staats­an­wäl­ten und Rechts­an­wäl­ten, um die­sem wach­sen­den Pro­blem­kreis in Zukunft bes­ser gerecht wer­den zu kön­nen.

Die Viel­zahl und Ver­schie­den­ar­tig­keit der vor­ge­stell­ten Fälle läßt erken­nen, dass nicht in jedem Fall die Unmög­lich­keit eines unbe­rech­tig­ten Kon­ten­zu­griffs durch Dritte ange­nom­men wer­den darf. Damit ist die grund­sätz­li­che Anwen­dung des Anschein­be­wei­ses in Frage zu stel­len.

Die juris­ti­sche Wür­di­gung kann in Zivil- und Straf­ver­fah­ren nur auf einer qua­li­fi­zier­ten Abwä­gung aller Umstände befrie­di­gend sein. Dazu gehört auch die Klä­rung ver­fah­rens­tech­ni­scher Ein­zel­hei­ten, die in der Regel als Geheim­wis­sen der Betrei­ber von Geld­aus­ga­be­au­to­ma­ten behan­delt wer­den. So ent­zieht sich der dies­be­züg­li­che Par­tei­vor­trag einer qua­li­fi­zier­ten Beur­tei­lung durch das Gericht. Häu­fig wer­den Rich­ter und Staats­an­wälte des­halb auf das Fach­wis­sen geeig­ne­ter Sach­ver­stän­di­ger ange­wie­sen sein.

Es ist des­halb zuerst zu klä­ren, wel­chen Anfor­de­run­gen bezüg­lich Wis­sen, Unter­su­chungs­me­tho­dik und Gerä­teaus­stat­tung ein geeig­ne­ter Sach­ver­stän­di­ger genü­gen muss. Wäh­rend das Wis­sen durch Gericht oder Ermitt­lungs­be­hör­den nicht immer fair beur­teilt wer­den kann, kön­nen Unter­su­chungs­me­tho­dik und Gerä­teaus­stat­tung zwei­fels­frei vor Ver­gabe eines Gut­ach­ten­auf­tra­ges ein­deu­tig fest­ge­stellt wer­den.

Um hier Beur­tei­lungs­an­halte zu bie­ten wird der Vor­tra­gende bei­spiel­haft den foren­si­schen und den „spe­ku­la­ti­ven“ Teil eines voll­stän­di­gen Gut­ach­tens zu einem rea­len Fall vor­stel­len und erläu­tern.

Seite Drucken