|
Kleingedrucktes
|
 Geschrieben von Beat Rubischon am
Mittwoch, 5. Oktober 2005, 07:34
aus dem plastikgeld dept.
Gestern Abend hielt ich meine neue EC Maestro-Karte in den Händen. Ich nahm mir die Mühe, das beiliegende Blatt mit zwei Seiten Kleingedrucktem zusammen mit meinem Nachtessen einzunehmen. Bin ich durch meine Arbeit sensibilisiert oder ganz einfach paranoid geworden?
Sobald eine Transaktion mit meiner Karte und meinem Pin erfolgt, ist sie gültig - egal unter welchen Umständen. Dass die Bank damit keine Verantwortung übernimmt, wenn mir einer mit der Pistole in den Fingern Karte und Code entwendet oder während der Geldausgabe mit einer Flasche den Schädel einschlägt, kann ich ja verstehen.
Dann kommt mir aber der Bancomat in den Sinn, der nicht von einer Bank war. Irgendwo in England. Er nahm die Karte entgegen, verlangte den Pin und brach dann mit einer "technischen Störung" ab.
Solange nur der Inhalt des Magnetstreifens kopiert und mit meinem Pin an einem richtigen Automaten Geld entnommen wird, bezahle ich "bloss" 10% des entstandenen Schadens. Wenn ich genug schnell an einem anderen Automaten Geld beziehe, wird immerhin die rotierende Prüfsumme meiner Karte überschrieben und so der geklaute Magnetstreifencode ungültig. Wenn der gefakte Automat aber auch gleich noch die Karte einzieht? Ist ja kein unübliches Vorgehen bei Bankomaten, dass sie bei falschen Pincodes die Karte kassieren. Wird Geld mit meiner Karte und meinem Pin bezogen, bin ich der Neger.
Was schützt mich vor einem solchen Automaten? Gut, normalerweise lasse ich mein Geld bei meiner Hausbank in Mollis aus dem Automaten. Vielleicht noch beim Automaten in der ETH. Aber in den Ferien? Oder bei den unzähligen Terminals in den Geschäftern und Tankstellen?
Es ist nach wie vor kein Weg vorgesehen, wie sich ein Bankomat oder EC-/Kreditkartenterminal mir gegenüber authentisiert.
In meiner täglichen Arbeit ist es durchaus üblich, dass sich Computer mir gegenüber genauso identifizieren wie ich mich ihnen gegenüber. SSH checkt beispielsweise den Key des Servers - genauso wie der Server meinen Key checkt. Ich bin mir also sicher, dass ich auf der Maschine eingeloggt bin, die ich tatsächlich erwarte.
Aber auch schon viel einfachere Dinge würden helfen: Grossisten von hochwertigen Marken geben ihren Vertragshändlern jährliche Kleber ab im Stil von "Zertifizierter Foobar Händler 2005". Warum nicht auch so etwas für Geldtransaktionen? "Geprüfte EC Kartenannahmestelle 2005"?
Eigentlich erbärmlich. Doch so richtig eklig wird es im elektronischen Umgang mit Geld. Phishing ist eine Tatsache selbst in der Schweiz. Mittels Spammails und einer gefakten Bankseite wird der Benutzer zur Herausgabe von Login, Pin und Strichlisteneintrag motiviert. Diesen Sommer war die Post Ziel einer solchen Aktion und mehrere 10'000.- Franken sollen zu dem findigen Programmierer der Webseite geflossen sein.
Auch hier stellt sich die Frage, wie sich die Webseite der Bank mir gegenüber authorisiert. Ich muss meine Identität über mehrere Wege validieren - Login, Passwort, Strichliste, SecureID. Die Bank? Ein Verisign-Zertifikat. Wenn überhaupt.
Logisch werde ich weiterhin mit Plastik bezahlen. Logisch werde ich mein Geld am Bankomaten beziehen. Aber dennoch hoffe ich stark, dass unsere Banken diese Problematik aufgreifen und sich Gedanken dazu machen werden. Es ist bitter nötig.
Permalink
|
|
|