piwik no script img

■ Welt Weit GrönlingKraftwerkzeug für T-Online

„Achtung, Sicherheitshinweis: Bitte lassen Sie Ihr Gepäck nicht unbeaufsichtigt!“ Was auf deutschen Flughäfen eine nervige Routineansage ist, gilt sinngemäß auch für sensible Computerdaten – zum Beispiel für die T-Online-Zugangskennung und das Paßwort. Und man kann es nicht oft genug ansagen: „Bitte nutzen Sie nicht die automatische Log-in-Funktion. Geben Sie Ihr Paßwort stets von Hand ein!“ Für die noch sensibleren Daten, etwa PIN- und TAN- Nummern beim Homebanking- Modul der T-Software, gilt das ganz besonders.

Daß Bequemlichkeit und Leichtsinn gefährlich werden können, haben zwei sechzehnjährige Schüler bewiesen. In ihrer Software „PowerTools“ („Kraftwerkzeuge“, die nichts mit den gleichnamigen Programmen anderer Hersteller zu tun haben) war eine hinterhältige Funktion versteckt: Wollte ein Interessent die – auch über das Internet verteilten – PowerTools dauerhaft nutzen, mußte er sich online bei den Programmierern registrieren lassen. Bei dieser Gelegenheit wurden die Zugangsdaten klammheimlich mit übermittelt. Etwa 600 Kennungen und Paßwörter haben die beiden Schüler gesammelt. Angeblich hatten sie damit keinen Unsinn im Sinn, sondern wollten lediglich auf ein generelles Sicherheitsproblem aufmerksam machen.

Dabei soll das alte Btx-System doch so sicher sein, daß es in über zwanzig Jahren angeblich keinen einzigen wirklichen Mißbrauchsfall gab. Hier wird mal wieder deutlich, daß sich die Frage, ob ein Sicherheitsmechanismus geknackt werden kann, überhaupt nicht stellt. Relevant ist lediglich, wann es geschieht. Da nutzt es auch nichts, die Schuld auf das Betriebssystem abzuwälzen und Windows in die Schuhe zu schieben. Das ist zwar schön einfach und auch in, aber Bill Gates ist diesmal nicht verantwortlich. Das Problem ist das T-Online- Programm selbst – und die Art, wie es mit sensiblen Daten umgeht.

Auch der angekündigte neue Decoder mit besserer Verschlüsselung wird das Problem nicht grundsätzlich beseitigen können. Dafür gibt es zusätzliche „Sicherheitshinweise“ – damit hinterher keiner sagen kann, er sei nicht gewarnt worden. Aber der Btx- Decoder hat keine Fehler. Er ist der Fehler. Und es wird langsam Zeit, daß sich die Banken von diesem antiquierten System verabschieden und ihre Dienste endlich im Internet anbieten. Dann könnte man das T-Online- Programm endlich vom Rechner werfen und hätte ein Sicherheitsproblem weniger. Dieter Grönling

dieter@taz.de

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen