Bank will keine Diskussion über Sicherheitssystem
Die Citibank will verhindern, dass in einem britischen Gerichtsverfahren gegen zwei mutmaßliche Geldkartenbetrüger die Sicherheit von Verschlüsselungssystemen, die Banken benutzen, öffentlich diskutiert wird.
Die Citibank will verhindern, dass in einem britischen Gerichtsverfahren gegen zwei mutmaßliche Geldkartenbetrüger die Sicherheit von Verschlüsselungssystemen, die Banken benutzen, öffentlich diskutiert wird. Dies berichtet unter anderem die australische Tageszeitung The Age unter Berufung auf einen entsprechenden Antrag der südafrikanische Unternehmenstochter an den obersten Zivilgerichtshof in London.
In dem betreffenden Fall geht es um eine Schadensersatzforderung über 80.000 Euro gegen die in Südafrika lebenden Beklagten Anil und Vanitha Singh. Diese sollen Dritten ihre Kreditkarte überlassen haben, mit der im März 2000 an 190 Geldautomaten Auszahlungen veranlasst worden seien. Die Beklagten bestritten dies jedoch und benannten im Gegenzug eine Gruppe von Forschern der Universität von Cambridge als Entlastungszeugen. Nach ihrer Vermutung hat ein Citibank-Insider die Tat durchgeführt.
Wichtigster Zeuge der Beklagten ist der Cambridge-Student Mike Bond, seines Zeichens Co-Autor des Papiers "Decimilisation table attacks for PIN cracking", welches beschreibt, wie ein Bankangestellter innerhalb einer halben Stunde 7000 Kunden-PINs herausfinden kann. Der Bericht geht dabei auf ein Sicherheitsproblem der Geldautomaten vom Typ IBM 3624 -- ein Modell aus dem Jahre 1980 -- und viele seiner Nachfolger ein. Diese speichern PINs in einem Hardware-Modul, das dank Verschlüsselung angeblich sicher vor Manipulation ist.
Eine Diskussion darüber, ob das von der Bank benutzte Verschlüsselungssystem in Wirklichkeit überwunden werden kann, möchte die Citibank jedoch nicht öffentlich führen. Chefsyndikus Thomas Teichgraeber von der für Diner's Club zuständigen CitiGroup-Abteilung bat das Londoner Gericht daher sicherzustellen, dass keine vetraulichen Informationen an die Öffentlichkeit gelangen.
Ross Anderson, Fakultätsmitglied der Universität von Cambridge und einer der Professoren von Mike Bond, bat das Gericht daraufhin in einem eigenen Schreiben, der Bitte von Teichgraeber nicht nachzukommen. Nach seiner Ansicht solle die Diskussion über die Verwundbarkeit von Sicherheitssystemen, die Banken einsetzen, öffentlich geführt werden. "Unsere Gerichte und Aufsichtbehörden sollten die Banken lieber anweisen, ihre Systeme in Ordnung zu bringen statt über die Sicherheit zu lügen und die Kosten auf die Kunden abzuwälzen", sagte Anderson gegenüber der Presse. (nij)
