Thema der Woche

6. Mai 2002

Wieviel Hacken ist erlaubt?

Bewiesen: Auch manche Bankrechner haben Sicherheitsprobleme.
Aber wie legitim und wie legal ist die Beweisführung?

Zum zweiten Mal in sechs Monaten ist es dem [externer Link] Verbrauchermagazin ARD-Ratgeber Technik mithilfe von Hackern gelungen, in Online-Bank-Rechner einzudringen. Nur durch den tatsächlichen Einbruch scheint es möglich zu sein, den Banken Sicherheitslücken nachzuweisen: Laut [externer Link] einer Begleitmeldung des NDR zur Sendung vom 5. Mai 2002 bestreiten "die Kreditinstitute" immer noch, "dass es je einen erfolgreichen Einbruch in einen Bankrechner gab". Nach dem ersten NDR-Hack bei der HypoVereinsbank im September 2001 hätten Sparkassenchefs die Redaktion verklagt, weil "die gesagt hatte, es gäbe auch in den Online-Bankzugängen anderer Banken und Sparkassen gefährliche Schlupflöcher" - allerdings sei bislang kein Prozess verloren gegangen.

Nun hat der "Ethical Hacker" des NDR, die IT-Sicherheitsberaterfirma [externer Link] Multimedia Network Systems, beispielhaft bei zwei Sparkassenangeboten bewiesen, dass es auch dort Schlupflöcher gibt. Dabei gelang es den testweisen Angreifern durch Fehler in der Schutzsoftware simpel gestrickte Administrator-Accounts ("Doof1", "test", ...) auszuspionieren und so Zugang zu den Sparkassenrechnern zu erlangen. In der ARD-Sendung hieß es dazu weiter (vgl. [externer Link] Sendemanuskript): "Übrigens haben wir beim Test keine Webseite ernsthaft verändert, um uns nicht strafbar zu machen. Aber zum Risikobeweis hat sich ein ausländischer Hacker diesen Scherz für uns erlaubt. Sie zu Hause hätten einen Kontendieb sicher eh nicht bemerkt, denn der muss nur einen Buchstaben ändern, schon ist das Geld weg."

Kriminellles Vorgehen?

Harsche Kritik an dieser Vorgehensweise äußerte [externer Link] Prof. Dr. Hartmut Pohl (Institut für Informationssicherheit, Köln). Abgesehen von der datenschutzrechtlichen Brisanz stünden schließlich sowohl das Ausspähen von Daten als auch die Anstiftung dazu unter Strafe. Angesichts der Ausführung des Angriffs durch einen Sicherheitsberater fragt Pohl: "Sind Sicherheitsberater überhaupt vertrauenswürdig und verlässlich? Wer überprüft die Sicherheitsberater? Welchen Anteil an kriminellen Hacks haben überhaupt Sicherheitsunternehmen?"

Das NDR-Team hatte beim aktuellen Test nach eigenen Angaben "Tausende von Kundendaten ... in einer einzigen Nacht ein[gesehen]", im letzten Jahr hätte man "fast 1,5 Millionen Kundenbuchungen kopieren und von Anlagen über Dispokreditlimits, Geldfluss, und Kontenpfändungen bis zu Zahlungsunfähigkeiten alle Daten auslesen" können. Pohl befürchtet, dass bei derartigen Aktionen "die Daten auch völlig Unbeteiligten zur Kenntnis kommen oder sogar gezielt an einen nicht mehr überschaubaren Kreis weitergegeben werden oder bereits verkauft worden sind". Weiterhin beklagt er: "In der Vergangenheit sind von Medien für derartige kriminelle Hackereien bis zu 25 000 Euro gezahlt worden." Damit entstünde der Eindruck, dass mit kriminellen Aktivitäten Geld verdient werden soll.

Konsequenzen?

Nicht zuletzt stellt Pohl aber auch die Frage, wer die betroffenen Bankkunden/Bürger vor Nachahmungstätern und Trittbrettfahrern schützt und wie es mit der persönlichen Haftung des Vorstands der betroffenen Geldinstitute aussieht. Denn diese seien schließlich durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KontraG) zu IT-Sicherheitsmaßnahmen verpflichtet. Maren Geisler vom [externer Link] Verbraucherzentrale Bundesverband forderte in der ARD-Sendung die Banken auf, "vor dem Hintergrund dieser Vorkommnisse, jetzt endlich ihre allgemeinen Geschäftsbedingungen zu ändern. Darüber hinaus sollte auch der Gesetzgeber jetzt endlich klare Regelungen schaffen: zum Beispiel in Form einer Produkthaftung dahingehend, dass derjenige der Online-Banking anbietet, beweisen muss, dass bei einem Missbrauch sein System hundertprozentig sicher war."

Gegenwind droht Experten beim Test von Sicherheitslücken nun auch durch das [externer Link] Zugangskontrolldiensteschutzgesetz (ZKDSG) – siehe hierzu auch einen Beitrag von Rechtsanwalt Ulrich Emmert in KES 2002/2, S. 6.

zum nächsten Thema der Woche

zum vorigen Thema der Woche