Sicher? Ganz sicher!

@ctmagazin | Editorial

Zu Recherchezwecken wollte ich wissen, wie Banken ihre Kontonummern ins IBAN-Format übersetzen. Google führte mich zur Deutschen Bundesbank: "Wir stellen diese Regeln ins Extranet." Das klingt doch prima.

Tatsächlich führt ein unscheinbarer Link auf www.bundesbank.de zu einem Dienst "ExtraNet". Dieser ist jedoch passwortgeschützt und erklärt potenziellen Nutzern: "Sie benötigen immer den Identifikationsschlüssel der Institute/des Meldepflichtigen". Habe ich nicht, und ein Institut bin ich auch nicht.

Am Kundentelefon der Bundesbank erklärt mir eine sehr nette Dame: "Ja, diese Daten sind öffentlich zugänglich. Fürs ExtraNet kann sich jedermann anmelden, auch Sie." Sogar ich. "Der Weg ist nur leider etwas kompliziert, dies ist halt eine Behörde. Aber da Sie gerade am Telefon sind, kann ich das schon einmal für Sie einleiten."

Die nette Dame notiert meine persönlichen Daten und verspricht eine E-Mail. Die ist am nächsten Morgen da und erklärt in bestem Amtsdeutsch: "Wir haben Ihre Angaben für den Download [...] unter der Ihnen zugewiesenen Teilnehmer-Nr. [achtstellige ID] in unseren Stammdaten angelegt. Unter folgender URL können Sie sich zur Registrierung anmelden [...]".

Gelesen, Link angeklickt, Teilnehmer-ID eingetippt. Ich lande auf einer Webseite zur Erstregistrierung. Wieder muss ich meine Adressdaten eingeben. Daraufhin entfaltet sich ein fünfseitiges PDF, das ich ausdrucken, ausfüllen und unterschrieben an die Bundesbank faxen soll. Bis zur Antwort können einige Tage verstreichen, steht da noch. Dabei wollte ich doch nur eine ganz einfache Auskunft!

Doch Überraschung: Schon einen Tag nach dem Fax liegt ein Brief im Kasten. Darin steht, sorgfältig mit Abreißfolie verborgen, ein achtstelliges Passwort. Endlich auf der Zielgeraden: Jetzt muss ich nur noch die ExtraNet-Webseite ansteuern, die achtstellige User-ID aus dem PDF eingeben (nicht zu verwechseln mit der achtstelligen Teilnehmer-Nummer), das Passwort aus dem Brief eintippen, und ich habe die gewünschten Informationen.

Nach einem Telefonat, einer Mail, einem Fax, einem Brief und nicht weniger als drei Geheim-Codes darf ich endlich ein Tröpfchen aus dem Meer der "öffentlich zugänglichen" Bundesbank-Daten saugen.

Die Odyssee hinterlässt mich etwas irritiert. Aus dem allgemeinen Versagen des Ansatzes "Security by Obscurity" (Sicherheit durch Verstecken) scheint die Bundesbank eine seltsame Schlussfolgerung gezogen zu haben. Jetzt praktiziert sie Obscurity by Security, indem sie völlig harmlose Daten durch maßlos überzogene Sicherheitsmaßnahmen vor den Augen der Öffentlichkeit schützt.

Ach wäre das Bankgeheimnis doch auch so gut gesichert!

Peter Schüler

Artikel kostenlos herunterladen

Kommentare

Infos zum Artikel

1Kommentare
Kommentare lesen (1 Beitrag)
  1. Avatar
Anzeige

Anzeige

Anzeige