[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: PIN-Nummer kann entschluesselt werden



"Arne Haeckel" <ahaeckel@io-software.com>:

>> [...] AgV fordert deshalb, alte EC-Karten unverzüglich durch ein
>> neues System mit entscheidend verbesserter Sicherheit zu ersetzen.
>> Dies haben einige Banken bereits getan.

> Welche Bank(en) hat/haben Systeme mit verbesserter Sicherheit 
> eingeführt?

Die privaten Banken haben bereits komplett umgestellt (teilweise mit
Anfangsschwierigkeiten, weshalb manchen Kunden die PIN gleich noch ein
zweites Mal ausgetauscht wurde), etliche Sparkassen wollen sich
dagegen bis 1999 (oder sogar 2000?) Zeit lassen. Wie es bei den
anderen Gruppen aussieht, weiß ich nicht.

Die Verfahrensumstellung garantiert natürlich niemandem, dass nicht
auch die neuen Verfahren Sicherheitslücken haben. Eine Untersuchung
der Konzepte -- wozu auch die Sicherheitsmaßnahmen in den
Autorisierungsrechenzentren zählen, Handlungsanweisungen für
Mitarbeiter und alles, was sonst dazugehört -- durch Außenstehende hat
es nicht gegeben. Die bisherigen Beobachtungen lassen auf keine hohe
Kompetenz seitens der zuständigen Stellen der Banken schließen.
(Theoretisch wären die Kunden mit dem alten Verfahren besser bedient
gewesen, denn die bekannten Mängel des alten Verfahrens hätten, da sie
von den Banken zu verantworten sind, bei allen bisherigen Verfahren
zulasten der Geldinstitute ausgelegt werden müssen: Auf den Beweis des
Anscheins kann sich nicht berufen, wer der Gegenseite bei der
Widerlegung Steine in den Weg legt; BGHZ 24, 308 ff. sowie BGH, Urteil
17.6.1997 - X ZR 119/94 (Nürnberg), NJW 1998, 79-81. Demzufolge ist
schon die Ungleichverteilung der PINs ein KO-Kriterium.)

Und auch beim besten PIN-Verfahren bleibt die Möglichkeit, dass ein
anderer die PIN mit viel Glück in drei Versuchen errät
(Geldautomatenkarte als kostenlose Lotterie für Taschendiebe).
Bei der in Deutschland üblichen Urteilsargumentation wird dann die
Verantwortung den Karteninhaber zugeschoben.