FITUG e.V.
Förderverein Informationstechnik und Gesellschaft
|
|
EC-Karten-DES-Schluessel gebrochen?
------- Forwarded Message Follows -------
Cc: Bizer@jur.uni-frankfurt.de
Reply-to: fox@secorvo.de
Date: Thu, 18 Mar 1999 23:36:12 +0100
Subject: EC-Karten-DES-Schluessel gebrochen?
Priority: normal
To: krypto@rhein-main.de
From: "Dirk Fox" <fox@secorvo.de>
Organization: Secorvo Security Consulting GmbH
Der folgende Beitrag koennte den Verdacht erhaerten, dass einer der
von den Banken im Zusammenhang mit EC-Karten bisher verwendeten
DES-Schluessel tatsaechlich gebrochen wurde.
Mit bestem Gruss,
Dirk Fox
-------------------- schnipp schnapp --------------------
Gericht liess Frage nach Sicherheit des PIN-Codes offen
Warum ein Scheckkartendieb Computer und Kartenlesegeraet mit sich
fuehrte, blieb in der ersten Instanz ungeklaert
Bruchsal/Bad Schoenborn-Mingolsheim
Ist der Mann, der am 9. April vergangenen Jahres im Mingolsheimer
Thermarium als mutmasslicher Seriendieb festgenommen wurde, das Genie,
dem es gelungen ist, die PIN-Codierung von Scheckkarten zu
entschluesseln oder zu ueberspielen? Entgegen den Versicherungen der
Kreditwirtschaft, dies sei nicht moeglich? Oder handelt es sich bei
dem 51jaehrigen angeblich wohnsitzlosen deutschen Staatsangehoerigen
lediglich um einen Herrn mit einigen skurrilen Angewohnheiten, als da
waeren: im suedwestdeutschen Raum von Thermalbad zu Thermalbad zu
ziehen, um dort gelegentlich mit selbstgebastelten Generalschluesseln
die Spinde anderer Badegaeste zu kontrollieren? Wobei zu seinen
Badesachen neben dem Laptop und einem Keyboard auch ein
Kartenlesegeraet gehoert, mit dessen Hilfe er einer anderen Marotte
nachgeht, naemlich einem erklaerten Interesse an Magnetstreifen?
Diese Fragen stellten sich gestern dem Bruchsaler Schoeffengericht,
das die Beantwortung der Frage nach der Sicherheit von Scheckkarten in
seinem Urteil freilich vermied. Es sprach den wegen Diebstahls und
Computerbetrugs angeklagten notorischen Straftaeter in einem Punkt
frei, der andernfalls eine Antwort unvermeidlich gemacht haette. Eine
35jaehrige Zahntechnikerin hatte das Thermarium besucht und am
naechsten Morgen den Verlust der Scheckkarte festgestellt, die mit im
Spind eingeschlossen gewesen war. Zu diesem Zeitpunkt war von ihrem
Konto an fuenf verschiedenen Geldautomaten schon ein Betrag von
zusammen mehreren tausend Mark abgehoben worden, und zwar ohne einen
einzigen Fehlversuch beim Eingeben des Codes. Mehr noch: Die Zeugin,
die von der Vorsitzenden Andrea Clapier-Krespach als sehr glaubwuerdig
charakterisiert wurde, schloss mehrfach ausdrucklich aus, dass sie
einen Merkzettel mit dem PIN-Code mit sich gefuehrt haben koennte. Sie
hebe grundsaetzlich kein Geld an Automaten ab, und den Zettel mit
ihrer Nummer von der Bank habe sie vernichtet.
Nur: Anders als die Staatsanwaeltin, die nach dem Anschauen eines
Ueberwachungsvideos aus der Badeanstalt zu der Ueberzeugung gelangte,
der Spind, an dem sich der Angeklagte zu schaffen machte, sei
identisch mit dem der Zeugin gewesen, hatte das Gericht "letzte
Zweifel", dass der Angeklagte auch der Dieb war, und entschied zu
seinen Gunsten. Und nachdem der Diebstahl in diesem Fall vom Tisch
war, musste hier auch nicht mehr der Vorwurf des Computerbetrugs
eroertert werden.
Umgekehrt im zweiten aus einer ganzen Reihe von Verdachtsfaellen, den
die Kriminalpolizei schliesslich, weil sie ihrer Sache sicher war,
aufgriff und weiterverfolgte. Diesmal hatte auch das Gericht keinen
Zweifel, dass der Angeklagte der Dieb der Scheckkarte war. Allerdings
gab die bestohlene 56jaehrige Frau an, ihre vierstellige PIN-Nummer,
codiert in einer Telefonnummer auf einer ebenfalls verschwundenen
Visitenkarte, mit sich gefuehrt zu haben. So war es auch hier nicht
mehr zwingend, den Zweck der elektronischen Ausruestung zu eroerten.
Sie wurde im uebrigen von Sachverstaendigen fuer untauglich erklaert,
auch wenn sich auf dem Laptop Software fuer Kartenlesegeraete fand.
Allerdings befindet sich auf ihm ebenfalls eine bislang noch nicht
entschluesselte Datei, zu der der Angeklagte das Passwort nicht nennen
will. Auch vor Gericht verweigerte er Angaben, jedoch war er nicht
mehr ganz so verschwiegen wie nach seiner Festnahme, als er nicht
einmal seinen Namen sagen wollte. Aus der Verlesung frueherer Urteile
- die erste Vorstrafe erhielt er 1968 - war zu erfahren, dass er mit
einem IQ von 130 als hochintelligent gilt, ein Studium der Mathematik
und Physik abgebrochen hat, sich auf Computer spezialiiserte und ein
Programm zur Faelschung von Generalschluesseln entwickelte, wie er
auch sonst von seinen Talenten zumeist einen destruktiven Gebrauch
machte, der ihn immer wieder ins Gefaengnis fuehrte. Diesmal brachte
ihm der Kartendiebstahl mit einem Folgeschaden von fast 10.000 DM zwei
Jahre und sechs Monate Gefaengnis ein, wobei das Urteil noch nicht
rechtskraeftig ist. Die Staatsanwaeltin hatte vier Jahre gefordert.
Badische Neueste Nachrichten, Nr. 45, 6./7.3.1999, S. 34
--------------------------------------------------------
Dipl.-Inform. Dirk Fox E-Mail fox@secorvo.de
Secorvo Security Consulting GmbH Tel. +49 721 6105-454
Albert-Nestler-Strasse 9 Fax +49 721 6105-455
D-76131 Karlsruhe http://www.secorvo.de
--------------------------------------------------------
Mitherausgeber "Datenschutz und Datensicherheit" (DuD)
http://www.dud.de Tel. +49 721 9822-864, Fax -863
--------------------------------------------------------
PGP-Fingerprint 0150 FB04 FAAD D79E 551D D6BC 85CF CC1D
Zurück