Banktürme - Industriebrachen von morgen

Das recht kostengünstige gute Frühstück in der DG-Bank zählt zur Arbeitszeit und bewirkt, dass eher ausgeschlafene und körperlich fitte Mitarbeiter ihren Dienst in der Firma antreten. Auch das DG-Mittagessen ist gut; zumindest besser als fast alle Kantinenessen, die ich aus Hamburg kenne (und da kenne ich nicht nur die Polizeikantine, wo das "secondary" Kennwort zum Eintritt mittags "Mahlzeit" lautete).

DG-versorgte Mitarbeiter brauchen dann zu Hause einen relativ leeren Kühlschrank, dazu ein Tiefkühlfach mit Fertiggerichten und einige Zettel von Pizzadiensten etc. an der Wand. Ein CCC-Mitglied (in einer postindustriellen Führungsposition), bei dem ich nahe Frankfurt übernachtete, ist ganz anders organisiert. Als ich beim Frühstück nach "Senf" zum Ei fragte, musste ich "genug!" rufen, als der die zehnte Sorte Senf samt appetitlicher Kurzbeschreibung zur Auswahl auf den Tisch stellte. Er meinte, er habe noch mehr und es waren rund 15, wie ich beim Zurückräumen der Senfe nach dem Frühstück erstaunt feststellen konnte. Beim CCC existiert eben nicht nur die Vergangenheitsform "Genossen", sondern - abgesehen von Visionen - auch die Gegenwartsform "Geniesser" (Zeit ist da ein Parameter).

Die o.a. "cnec" bei der Deutschen Genossenschaftsbank begann recht pünktlich. Leider sprach Dr. Salmony vom Vorstand nur ein paar Sätze zur Begrüssung, statt eine seiner recht interessanten Reden zu halten. Er eröffnete die "cnec" gemeinsam mit Prof. Dr. König, der den Tag engagiert und klar moderierte.

	Banking is curious: it disappears

Der "Muntermacher" war der erste Vortrag von PhD Peter G.W. Keen. Er hielt ihn nach ein paar Worten auf deutsch in der Sprache des Internet, also auf englisch. Auch die Diskussion seines Vortrags geschah auf englisch. Der Titel war "The economic battlefield >intellectual capital<: New Internet-based challenges and opportunities".

Anzeige

Der ehemalige Professor in Harvard, Stanford und MIT sowie Gastprofessor in Wharton und an der Londoner Business School nahm sein Publikum aus Bankern, Wirtschaftspresse sowie die Wirtschaftsinformatiker der Uni so "ernst", dass er davon sprach, dass sich Besucher einer Bank noch heute so kleiden und verhalten, als seien sie sonntags in der Kirche. Peter Keen liess offen, ob das der Bankweisheit letzter Schluss sei.

Ich war der wohl einzige im erlesenen Publikum, der lockerer gekleidet war als "in der Kirche üblich". Das amüsierte mich, weil mich "Mister Chaos" vom CCC vorher inständig bat, zum Vortrag bei cnec mit einem weissen Hemd zu erscheinen - sonst würde mein Vortrag von den durchweg konservativen Bankern nicht ernst genug genommen. Ich trug stattdessen ein schwarzes T-Shirt von Cult of the Dead Cow (die Back Orifice "freisetzten") zur selbstgenähten Latzhose aus Hanf. Darin "versteckt" meine schneidertechnische Innovation: rechts und links hinter dem Latz je eine 45 Grad schräge "Kartentasche" im ISO-Format für das heutzutage nötige, taschendiebsicher gelagerte und trotzdem allzeit griffbereite Plastikkartensortiment.

	Deutsche I+K-Politik ist so fortschrittlich wie das modernste Gerät eines BRD-Autos

Peter Keen brachte eine Reihe anregender Betrachtungen über die Rolle des "Intellectual Capital". Hart war sein Satz: "Banking is curious: it disappears". Beim Abendessen von Veranstaltern und Referenten (ein exquisites italienisches Lokal in der Nummer 23 einer Frankfurter Innenstadtstrasse - Kompliment an die Küche) habe ich mich noch angenehm mit ihm unterhalten. Wer mehr von ihm wissen will, sei auf seine rund zwei Dutzend Bücher hingewiesen. Aktuell verfasste Peter das erste Kapitel in Nicholas Imparato (Ed., 1999): Capital for our Time - The Economic, Legal and Management Challenges of Intellectual Capital.

Die Rückständigkeit Deutschlands im Vergleich zum Rest der Welt veranschaulichte er positiv mit finnischen Schulkindern, die statt Spickzettel Lösungen per E-Mail tauschen mit so etwas wie dem Nokia Communicator. Peter verschwieg höflich, dass auch der runderneuerte deutsche Kanzler technisch eher weniger kann als finnische Kinder. Deutsche I+K-Politik ist so fortschrittlich wie das modernste Gerät eines BRD-Autos. Amerikanische Hacker haben Linux im Kofferraum, Internet per Funk und Twisted Pair Steckdosen in allen Autotüren - fiel mir dazu ein.

	The Browser is an ATM

Am Abend ergänzte Sybille Franzmann von Bertelsmann, dass sie die Beamten "hinter" den Gesetzen wie dem Teledienstegesetz während der Entstehung der Gesetze nicht einmal per E-Mail in Bonn erreichen konnte. Und in Berlin haben die Abgeordneten im Reichstag nicht einmal Glasfaser an ihren Plätzen, wie eine CCC-Baustellenbesichtigung samt Party vor Ort ergab.

Peter trug vor, Deutschland hinke rund vier Jahre hinter den USA her. Er unterschied vier Sorten Kapitalismus: den "long term capitalism", wie ihn etwa SIEMENS praktiziert, "not too profitable" und risikoarm. Dann die schwedische Variante, "social welfare, loyal capital". Drittens den "club capitalism" und - was denn sonst - "Internet Kapitalismus".

Das "transaction business" ist so trivial, dass "banking disappears". Peter wies auf die Notwendigkeit hin, zu "relationships" überzugehen. Er thematisierte auch die wichtige Frage: "Wem gehört der Kunde?"

Seinen Satz "The Browser is an ATM" (ATM: Bargeldautomat) illustrierte er nicht nur mit CISCO (80% des Umsatzes via Internet), sondern auch mit Dell. Deren vielleicht 100 Miollionen USD Umsatz täglich nennt er "zero based capitalism". Seine "zero" relativierte ich nachmittags im Abschluss-Gedanken meines Vortrages auf "zwei Stunden".

Denn ich schloss mit: "Grosse deutsche Möbelhäuser ab einem gewissen Umsatz sperren ihre Banker in den Keller des Kaufhauses, wo sie die Transaktionen durchführen, und diktieren als Keller-Eintrittsbedingung: Wertstellung zwei Stunden nach Kundenzahlung. Vielleicht sind die Bankentürme in Frankfurt die Industriebrachen von morgen".

Nach dem Vortrag von Peter Keen lautete das Thema "Online Banking und neue Intermediationsformen" von Dr. Will und Prof. Dr. Buhl aus Augsburg. Da Herr Buhl krank war, referierte Herr Will solo.

Er konnte auf Zahlenmaterial der Advance-Bank zurückgreifen, wo bereits ein Drittel aller Transaktionen via Internet geschehen - mit einer monatlichen Steigerung von 10% und 214% per anno. Die Vorreiterrolle von Btx beim Banking neigt sich dem Ende zu. Als Stichworte notierte ich mir noch die Bündelung der Finanzdienstleistungen durch Finanzintermediäre und als Ausblick das "1:1 Banking" mit einer "audience = 1".

Abgeschlossen wurde der Vormittag mit der Vorstellung von AirPlus der Lufthansa. Im B2B-Verkehr (business to business) versucht die Lufthansa grösseren Kunden die Beschaffung von "Standard-Artikeln" mit EDIFACT zu erleichtern. "Ohne" sollen oft neun Menschen in sieben Abteilungen nötig sein, um z.B. einen Bleistift zu bestellen. Das ist aufwendig und kostet entsprechend Geld.

Bestellung mit der Lufthansa-Kundenkarte soll einfacher sein. Die LH garantiert dem Lieferanten die Zahlung und verrechnet via AirPlus Card mit dem Kunden. Zur Frage der "kritischen Masse" meinte Dieter Gritschke, es seien derzeit etwa 100 Lieferanten mit je 500 bis einigen tausend Artikeln und 30 000 Kunden. Auf meine Nachfrage, ob denn wenigstens https genutzt werden, meinte Herr Gritschke, ein Anreiz für Missbrauch sei "überhaupt nicht gegeben" (wörtlich). Beim anschliessenden Mittagessen lästerte ich über die minder schlaue Formulierung "überhaupt nicht" und entwickelte aus dem Stegreif ein paar Szenarios, wie man mit etwas Kenntnissen sich mal ein paar hübsche technische Spielzeuge aus dem High End Bereich von der LH bezahlen lassen könnte.

Naja - natürlich tut man sowas nicht. Aber es ist schon schwierig, bei einem staatsnahen Unternehmen wie der LH Sicherheitsbewusstsein zu erzeugen. Der allergrösste Teil von E-Mail etwa mit hochsensiblen und geldwerten Daten wird immer noch unverschlüsselt übermittelt. Als ein LH-Mitarbeiter auf Verschlüsselung bestand und sonst eine Dienstanweisung verlangte, um weiterhin unverschlüsselt zu arbeiten, geschah etwas Simples: er bekam die Anweisung. Das entspricht dem Motto "Akten schaffen ohne Waffen".

Am Nachmittag kamen noch ein paar nette technische Details von Frank Welsch-Lehmann von inTouch und Dr. Peter Buxmann von der Uni Ffm: "Web-EDI auf Basis einer (sicheren) Extranet-Plattform".

Die Klammer habe ich um "sicheren" gemacht, weil dieser Begriff im Titel nur auf der gedruckten Agenda auftaucht, aber nicht auf der Überschrift auf der gezeigten Vortragsfolie; das nur nebenbei.

Interessant in ihrer Präsentation war die Abbildung des womöglich von COBOL-Fanatikern entwickelten EDIFACT-Strukturgeschwulstes auf XML; zumindest in wichtigen Punkten. Damit wird EDIFACT viel eleganter handhabbar und unter verschiedenen Aspekten darstellbar. Das wurde leider für das Niveau des Publikums etwas zu technisch dargestellt. Mein nachträglicher Versuch einer Kurzfassung lautet: die XML-Darstellung der EDIFACT-Verrechnungsstruktur konkretisiert eine zentrale Aussage von Peter Keen "The browser is the ATM", weil der Übergang zu XML erlaubt, mit üblichen Browsern verschiedene Aspekte von Rechnungen mit geringem Aufwand darzustellen. So habe ich es zumindest verstanden.

	Traffic ist das teuerste und höchste Gut

Erstaunen rief ich mit meiner Nachfrage hervor, weil mir die Software auch im Lowend-Bereich einsetzbar schien. Denn ich weiss von Künstlern, die gerne ihre Bilder im örtlichen Grossmarkt verkaufen würden, aber die Marktbedingung lautet da schon oft: Du bist bekannt genug, dass wir die Bilder ins Sortiment nehmen - aber Du musst per EDIFACT abrechnen.

Dazwischen lag noch der Vortrag "Deregulation und Elektronisierung von Märkten: IT-Unterstützung im Handel von Energie-, Telekommunikations- und Finanzprodukten" von Prof. Dr. Weinhardt, Uni Giessen (sehr interessant - Kernaussage: diese Märkte werden verschmelzen) sowie der von LL.M. Sybille Franzmann, Bertelsmann-Juristin, mit dem Titel "Konzernstrategie neue Medien".

Mal eben 500 Millionen Mark (das war die genannte Summe) investiert auch Bertelsmann nicht, ohne über "Strategie" nachzudenken. Von AOL ging sie im Vortrag zu bol, Bücher Online. Aufholen wollen sie gegen Emerson mit massiven Investitionen.

Da in Deutschland die kürzeste Internet-Adresse drei Stellen hat, holt man sich bol.de konzernintern und dann müssen andere halt http://www.berlinonline.de tippen.

Mal sehen, was aus den Plänen wird.

Andere bemühen sich immerhin, Buchhandlungen noch Marktanteile zu lassen - bol.de könnte da eine weitere kulturelle Verflachung wie bei Marmeladensorten (Erdbeere, Aprikose, Kirsch) im Supermarkt - nur eben bei Büchern - bewirken: Bestseller zur Marktpenetration.

"Traffic ist das teuerste und höchste Gut" meinte sie und beschrieb dann das Problem eines noch immer fehlenden Micropayment-Systems im Internet. Btx erwähnte sie nicht, das ist ja ein Wettbewerber.

IMO ist Btx zudem am Absterben, weil die T totgeborene Standards wie KIT propagierte statt mit ihrem Pfund, dem Micropayment, zu wuchern. Naja, das Problem des Dr. Sommer Teams ist die Unkenntnis der Lösung im eigenen Haus - als ich das Eric Danke vor bald zwei Jahren auf der IFA sagte, ging die Botschaft an ihm vorbei.

	Bei konzernübergreifenden Kooperationen könne der Kunde schon teilweise auf der Strecke bleiben

Perspektivisch will Bertelsmann Zeitschriftenartikel und Musik einzeln im Internet zum Kauf anbieten. Auf die Nachfrage, wie das denn mit LYCOS und MP3 aussähe, meinte sie, dass bei Bertelsmann intern jeder Bereich gegen jeden konkurrieren würde und insofern sei das OK.

Ihre Federführung als Juristin ist bei bol.de sichtbar. Abgesehen von Dingen wie "eccookie" in der URL sind die "Sicherheitsstandards" durchdacht formuliert und nicht mit heisser Nadel gestrickt wie allzuoft sonst. Auf der Zunge zergehen lassen muss man sich auch die "Datenschutz-Standards" bei bol.de. Da wird konzernweite Datenstreuung wunderhübsch "kundenfreundlich" formuliert im Absatz (Zitat Stand 23.02.1999, ca. 15 Uhr):

Das ist echte Partnerschaft beim Datenaustausch. In der Diskussion bei der Veranstaltung waren mir diese Webseiten noch nicht bekannt, sonst hätte ich dazu nachgefragt. Denn ein weiterer Kernsatz von ihr lautete "Wer hat die Kundenbeziehung?"

So kam meine Wortmeldung kurz nach ihrem ebenso hübschen Satz

"Der Kunde wird aufgeteilt in seine Interessen".

Ich zitierte diesen Satz und fragte aus einer anderen Perspektive, nämlich: "Wessen Kunde bin ich denn?", und brachte ein Beispiel, das den Bertelsmann-Konzern zumindest streift.

Wer sich eine d-box im Handel kaufte, dem bot dieses Gerät auch Gelegenheit, Video-CDs zu betrachten. Irgendwann wurde per Satellit ein Software-Update ausgestrahlt. Diese empfing das Gerät und installierte ohne (!) Nachfrage. Danach konnte man keine Video- CDs mehr betrachten und Downdating konnte nicht einmal der Händler.

Wessen Kunde bin ich nun, wenn ich das wieder rückgängig machen will? Muss ich mich an meinen Händler wenden, dem ich mein Geld gab? An die Softwarebastler bei beta Research, die das Update schrieben? Oder an den Pay-TV-Anbieter, der mir ungefragt Bits ins Gerät schickte?

Wenn ich ihre langatmige Antwort versuche zusammenzufassen versuche, lautet das Ergebnis, dass bei konzernübergreifenden Kooperationen der Kunde schon teilweise auf der Strecke bleiben könne.

Als ich dann nachsetzte, aus solchen Vorfällen würde der CCC das Recht ableiten, Software auch (!) der d-box zu zerlegen und zu verändern, lachte das Publikum - obwohl das bitterer Ernst war :-)

Ganz zum Schluss des Tages kam ich "dran" mit "Sicherheitsmängel bei Finanztransaktionen". Da ich meine Vorträge in der Regel frei halte aufgrund von Stichworten auf Zetteln, bat ich nach der Mittagspause darum, ob das auf Audiokassette aufgezeichnet werden kann, weil ich gern einen Mitschnitt hätte. Das war zwar eine Vorplanungszeit grösser als der Zeitrahmen der o.a. Wertstellung bei Geldzahlung an ein Möbelhaus, aber doch wohl unzureichend.

Aktuell konnte ich von S-Connect berichten, einer Software für u.a. Sparkassen, die jeder Beschreibung spottet. Ich versuchte, den "Mythos" des www.ccc.de der "alles knacken kann", zu "banalisieren" durch die rauhe Wirklichkeit beim Internetbanking, die - als Fallbeispiel - ein engagierter Laie aufmachen kann.

Da hatte doch ein Kunde das Problem, dass sein Online-Konto nicht mehr "ging". Er meinte, keinen Fehler gemacht zu haben, der die Sperrung ausgelöst haben könnte. Da er nicht mit einer "DOS-Attacke" (Denial Of Service) gegen sich rechnete, dachte er an einen Versuch Unbekannter, seinen Kontozugang zu hacken.

Sein Kreditinstitut behauptete "das Übliche": die Software sei völlig sicher. Daraufhin schaute er sich diese etwas genauer an. Es handelt sich um eine ACCESS-Datenbank mit Passwort. Am Telefon berichtete er mir, dass er da halt die Software benutzt habe, die man auch bei der Bundeswehr anwendet, wenn ein Soldat nicht mehr greifbar ist, der irgendwas mit ACCESS gemacht hat. Das ist nichts besonderes; derartige Software findet man dutzendweise im Internet - aber immerhin ist sogar die Bundeswehr heute auf der unteren Ebene in mancher Hinsicht "besser" als eine ganze Menge Kreditinstitute, die übermütige Sicherheitsbehauptungen nicht einmal nachprüfen können und sie vermutlich deshalb sogar glauben.

Besonders erstaunlich schien mir die "Tarnung" der TAN in der Datenbank: das Datenfeld ist irgendwie doppelt so lang wie eine TAN, und man muss nur jede zweite Ziffer nehmen (Gelächter).

Dieser "Hack" war eher nur ein "Augen auf im Datenverkehr" als das "Eindringen" in besonders geschützte Bereiche. Aus Sicht der Kreditinstitute könnte man sagen "Schliesslich ist es ihr Geld und nicht unseres". Naja, diesen Satz habe ich mir zumindest im Vortrag verkniffen...

Das Sahnehäubchen oder Powerpünktchen findet man im Internet in der FAQ der "Jüngsten Zeit" (Stand: Juli 1998; vergleiche das zitierte Datum 12.12.97) zu S-CONNECT (gedruckt 17.02.1999) auf skonline.de unter

"7. OCX-Fehler ... 7.1 Weitere Möglichkeiten der Beseitigung
Eine Idee der Jüngsten Zeit (12.12.97) ist: Wenn die Regedit nach der Datei comdlg16 durchsucht wird erhält man neben anderen auch die Eintragung im Bereich: Hkey_currend_user/Software/Microsoft/Windows/CurrendVersion/Explorer /DocFindSpecMru. Wird Dieser Eintrag gelöscht (hat noch keiner Ausprobiert) kann nach einer Neuinstallation eine Besserung eintreten. Diese Idee sollte mal an einem Kunden mit Verständnis der Sachlage getestet werden.

</zitat>

Nachdem ich das gelesen habe, wusste ich, wie zumindest der Finanzsoftware-Hersteller mit seinen Kunden umgeht.

Wahrscheinlich hat auch niemand, der einen derartigen Vortrag mit PowerPoint erdulden musste, einen Lachanfall bekommen, sondern - wie beim Besuch einer Gate'schen Kathedrale - mit Anzug und Krawatte andächtig gelauscht. Dieses Detail frei nach Peter Keen fehlt in "Kathedrale ./. Basar", zu finden auf http://www.linux-magazin.de/ausgabe.1997.08/Basar/basar.html

Und auf http://www.ohlerich.de steht die "S-CONNECT-Geschichte".

Herr Ohlerich schrieb eine Mail an den CCC, und als da binnen 48 Stunden keine Antwort kam, an den Heise-Ticker, der sofort berichtete. Ich wollte das für die CCC-Zeitschrift "Datenschleuder" und da die vierteljährlich erscheint, war mir das alles nicht so eilig - nur für den Vortrag am nächsten Tag schrieb und telefonierte ich mit Herrn Ohlerich. Denn sein Erlebnis war eine aktuelle Bestätigung dessen, was aus meiner Sicht allzu oft "normal" ist.

Es gibt eine ganze Menge "sicherer" Software, die so "sparsam" programmiert wurde, dass man sie nur scharf anschauen braucht und sie offenbart alles.

	Sicherheit durch Offenheit

Ich erwähnte noch ein paar andere Geschichten aus der Geldwelt im Netz wie die unverschlüsselten Überweisungen eines anderen Geldinstituts, das auf dem Server entdeckt wurde, wo das Infoprogramm AKW Grafenrheinfeld (u.a.) läuft. Als "Webgraffitti" war dort ein Atompilz zu sehen mit dem hübschen Text: "Unsere Atomkraftwerke sind so sicher wie unsere Webserver". Die Sparkasse bekam FNORD auf ihre Webpage und behauptete anschliessend, natürlich wäre alles bei ihr verschlüsselt, aber das war eine doch recht wahrheitsferne Darstellung des Sachverhalts.

Ich stellte das Problem in den Raum, dass es aus Hackersicht schwierig ist, mit solchen Problemen umzugehen. Wenn man sich einfach an den Vorstand eines Kreditinstitutes wendet, hat das nicht unbedingt den gewünschten Effekt eines sichereren Systems, sondern die allzuoft eh überlasteten Systemadministratoren, denen für Sicherheit kein Zeitbudget zur Verfügung steht, bekommen Druck. Umgekehrt hilft es eher nicht, mit den Admins zu reden, weil dann der Vorstand das Problem nicht begreift.

Da hoffe ich, dass zumindest einige "höhere Herren" im Publikum dieses Problem begriffen haben: Sicherheit kostet Geld. Und sie kostet weniger Geld als das - aus Kundensicht eher bittere - Gelächter über S-Connect "hinterher".

Auch zum Tode von TRON kamen Nachfragen in der Diskussion nach meinem Vortrag, aber die Frage vermied das Wort "Tod". Ich schilderte meine Erinnerung an ihn - und dass sich Hacker da nicht einschüchtern lassen - gerade Chipkartenhacking ist aktueller denn je und daran wird unbeirrt gebastelt. Ich berichtete, dass ich bereits zu dem Zeitpunkt, als nach TRON noch gesucht wurde - das war während der SYSTEMS - einen Termin mit der Sicherheitsabteilung von beta Research avisierte und dort versuchte klarzustellen, dass eine etwaige Publikation, wie man Billigkopien von df1-Karten herstellt, nicht als Angriff des CCC gegen einen Konzern zu verstehen ist, sondern als Akt der Notwehr. Das sind alles schwierige Themen, aber das Grundprinzip lautet "Sicherheit durch Offenheit" statt "Security by Obscurity". Beim "Klonen" von Handy-Karten ging es dem CCC auch nicht darum, Quadratmeter in der Medienlandschaft zu besetzen, sondern darum, einem Konzernvorstand klarzumachen, dass ein System sicherer ist, wenn es offengelegt wird.

Das ist - zumindest bei den geklonten Handykarten - gelungen und der Betreiber hat nach fünf Minuten Telefonaten begriffen, dass er seine Juristen zwecks Kleinklagen des CCC wieder einpacken kann. Bei Banken befürchte ich, dass da der Fortbildungsbedarf auf der Führungsebene noch etwas höher ist und es länger als fünf Minuten braucht in einem vergleichbaren Fall.

Und nun zur Abteilung Galgenhumor:

"Hunde bitte an die Leine!" (Text zum Bild eines am Galgen hängenden Hundes, unter sich sein letztes Häuflein. Zu sehen auf der Frankfurter Messe "Ambiente", ca. 5000 Aussteller aus 93 Ländern, abgedruckt in Frankfurter Rundschau 19.02.1999)