Elektronisches Homebanking – die zeitgemäße Überweisung per Computer. Mit PC, Bildschirm und Modem lassen sich Bankgeschäfte bequem per Telefon erledigen. Aber ein Versuch zeigt: Man braucht nur ein Telefon anzuzapfen, um an die Kundendaten ranzukommen und ordentlich abzukassieren. Von Reiner Metzger

Für den lausigsten Hacker ist jetzt jeder Tag Zahltag

Sie haben keine Miesen auf dem Konto und sind ein aufgeweckter Mensch mit Computer? Schon lauert die Gefahr. Stellen Sie sich vor, Sie erledigen wie von vielen Banken angepriesen ihre Überweisungen kostenlos per Telefon. Immerhin schon 1,4 Millionen Kunden nutzten letzten Herbst dieses Angebot. Was ihnen passieren kann, zeigte gestern Abend ein Beitrag in dem Sat.1-Magazin „Akte 96“: Harmlos sitzt ein Mittvierziger an seinem PC und nimmt über sein Modem und die Telefonleitung Kontakt mit dem Telebanking-Computer der Postbank auf. Er will seinem Kollegen 500 Mark auf ein Konto bei der Hamburger Sparkasse überweisen. Gleichzeitig zapft ein „Computerfachmann“ seine Telefonleitung an.

In der Sendung sitzt der fingierte Computerkriminelle bequem im Keller. Er braucht seine Entdeckung nicht zu fürchten, weil er extra angeheuert wurde. Doch auch im richtigen Leben kann ein potentieller Betrüger selbst mit nur elementaren elektronischen Kenntnissen eine Telefonleitung zum Beispiel an einem Hausverteilerkasten anzapfen. Mit einem handelsüblichen PC, Bildschirm und Modem – alles zusammen für 1.000 Mark zu haben – geht der Computerfachmann ans Werk, während oben am Schreibtisch unser Mittvierziger Zahlen eintippt. Bis er an sein Konto rankommt, geht es hochgesichert zu: Eine BTX-Kennummer samt Paßwort ist nötig sowie seine Kontonummer und eine persönliche Identifikationsnummer, alles geheim.

Unten im Keller jedoch tauchen die Nummern im Klartext auf dem Bildschirm des Hackers auf. Denn weder bei den übermittelnden Online-Diensten noch bei den Banken ist eine Verschlüsselung vorgesehen. Die Geheimnummern nützen also nichts, weil sie unverschlüsselt in den Computer getippt und ebenso offen an die Bank gesandt werden. Kriminelle müssen auch nicht den ganzen Tag am Bildschirm lauern. Der Computer startet auch automatisch, sobald das Opfer die Telebank anwählt.

„So wird jeder Tag zum Zahltag für Betrüger“, schnaubt Professor Klaus Brunnstein vom Hamburger Computer-Notfallzentrum. „Das ist wie ein Geldtransport, der nicht im Panzerwagen, sondern in einer Aktentasche durchgeführt wird.“ Für Brunnstein ist das elektronische Homebanking nicht zu verantworten, solange keine Verschlüsselungsprogramme benutzt werden. Diese Programme zerhacken die Ziffern beim Absender und setzen sie beim Empfänger wieder richtig zusammen. Selbst einfache Software erfordert erheblichen Aufwand an Rechenleistung und damit Zeit, bis der Klartext wieder vorliegt.

Diesen geringen Mehraufwand halten die Banken aber für unnötig. Ihnen ist offiziell kein Betrugsfall bekannt. Für diese Stellungnahmen hat Andy Müller-Maguhn, Sprecher des Chaos Computer-Clubs, nur ein Lächeln übrig. „Das alles ist in Computerkreisen bekannt“, sagt er. „Die Banken kehren hier unter den Teppich, was unter den Teppich zu kehren geht, weil sie das Vertrauen ihrer Kunden in die neuen Verfahren nicht erschüttern wollen.“

Dabei haben gerade die Kunden allen Grund, skeptisch zu sein. Schließlich unterschreiben sie mit den Allgemeinen Geschäftsbedingungen, daß sie – ähnlich wie bei der Telefonrechnung – im Fall einer Fehlbuchung der Bank beweisen müssen, daß der Fehler nicht bei ihnen lag. „Unsere Forderung ist eine Umkehr der Beweislast“, so Müller-Maguhn. „Wenn die Banken mit dem Telebanking schon Personal einsparen wollen, dann sollen das Risiko auch sie als Betreiber tragen.“

Die Banken sehen das erst mal anders. Schließich geben sie jedem Kunden auch noch ein Verzeichnis von „Transaktionsnummern“ mit. Jeder Überweisung muß eine dieser Nummern vorausgeschickt werden. Sie wird vom Bankcomputer wie ein zusätzliches Paßwort geprüft und nach Ausführung des Vorgangs wie eine Fahrkarte entwertet – für jede Geldbewegung ist also eine neue persönliche Transaktionsnummer (TAN) nötig. Das schließt aus, daß die Paßwörter einmal abgehört und dann immer wieder benutzt werden.

Doch das ist für den Hacker im Keller ein Klacks. Denn auch diese Nummer geht unverschlüsselt durch das Kabel. Kaum taucht die Nummer vollständig auf seinem Bildschirm auf, unterbricht ein kleines Programm die Verbindung zur Bank, bevor die TAN versandt wird. Was für den Kunden wie eine Störung der Leitung aussieht, nutzt der Bösewicht nun aus.

Kriminalisten wundern sich schon, daß diese einfache Methode nicht häufiger angewandt wird. Der Münchner Hauptkommissar Werner Paul, einer der ganz alten Hasen für Computerkriminalität in Deutschland: „Computerkriminelle sind meist nicht die besten ihres Fachs. Sie nutzen neue Techniken gar nicht in dem Maß, wie es möglich wäre.“

Bei Privatkunden ist die Schadensgrenze erreicht, wenn der Dispositionskredit ausgeschöpft ist. Dann weigert sich der Bankcomputer, die Überweisung auszuführen. Richtig teuer kann es vor allem für Unternehmen werden. Im Zeitalter der IBM-Großcomputer konnten nur auf Herz und Nieren geprüfte Systemprogrammierer in die Buchungsvorgänge eingreifen. Wenn nun aber die Mäuse über Telefonleitungen bewegt werden, wird's kritisch: Telefonkabel verlaufen schließlich durch das ganze Haus. So kann sich nun auch ein kleiner, aber findiger Angestellter ein Nummernkonto in der Schweiz oder sonstwo füllen.

Direkt absurd sind da die Vorkehrungen des Marktführers für Telebanking in Deutschland, der Postbank. 400.000 Kunden überweisen bei ihr schon per PC. Doch anstatt die Leitungen und Daten vor dem Abhören zu schützen, sichern sie mit ausgeklügelten Sicherheitssystemen ihre Rechenzentren wie Gefängnisse, damit niemand reinkommt. Braucht auch niemand. Schließlich gibt's Telefon.

e-mail: metzger6taz.de