■ Welt Weit Grönling
: Kraftwerkzeug für T-Online
„Achtung, Sicherheitshinweis: Bitte lassen Sie Ihr Gepäck nicht unbeaufsichtigt!“ Was auf deutschen Flughäfen eine nervige Routineansage ist, gilt sinngemäß auch für sensible Computerdaten – zum Beispiel für die T-Online-Zugangskennung und das Paßwort. Und man kann es nicht oft genug ansagen: „Bitte nutzen Sie nicht die automatische Log-in-Funktion. Geben Sie Ihr Paßwort stets von Hand ein!“ Für die noch sensibleren Daten, etwa PIN- und TAN- Nummern beim Homebanking- Modul der T-Software, gilt das ganz besonders.
Daß Bequemlichkeit und Leichtsinn gefährlich werden können, haben zwei sechzehnjährige Schüler bewiesen. In ihrer Software „PowerTools“ („Kraftwerkzeuge“, die nichts mit den gleichnamigen Programmen anderer Hersteller zu tun haben) war eine hinterhältige Funktion versteckt: Wollte ein Interessent die – auch über das Internet verteilten – PowerTools dauerhaft nutzen, mußte er sich online bei den Programmierern registrieren lassen. Bei dieser Gelegenheit wurden die Zugangsdaten klammheimlich mit übermittelt. Etwa 600 Kennungen und Paßwörter haben die beiden Schüler gesammelt. Angeblich hatten sie damit keinen Unsinn im Sinn, sondern wollten lediglich auf ein generelles Sicherheitsproblem aufmerksam machen.
Dabei soll das alte Btx-System doch so sicher sein, daß es in über zwanzig Jahren angeblich keinen einzigen wirklichen Mißbrauchsfall gab. Hier wird mal wieder deutlich, daß sich die Frage, ob ein Sicherheitsmechanismus geknackt werden kann, überhaupt nicht stellt. Relevant ist lediglich, wann es geschieht. Da nutzt es auch nichts, die Schuld auf das Betriebssystem abzuwälzen und Windows in die Schuhe zu schieben. Das ist zwar schön einfach und auch in, aber Bill Gates ist diesmal nicht verantwortlich. Das Problem ist das T-Online- Programm selbst – und die Art, wie es mit sensiblen Daten umgeht.
Auch der angekündigte neue Decoder mit besserer Verschlüsselung wird das Problem nicht grundsätzlich beseitigen können. Dafür gibt es zusätzliche „Sicherheitshinweise“ – damit hinterher keiner sagen kann, er sei nicht gewarnt worden. Aber der Btx- Decoder hat keine Fehler. Er ist der Fehler. Und es wird langsam Zeit, daß sich die Banken von diesem antiquierten System verabschieden und ihre Dienste endlich im Internet anbieten. Dann könnte man das T-Online- Programm endlich vom Rechner werfen und hätte ein Sicherheitsproblem weniger. Dieter Grönling
