Springe zum Hauptinhalt Profilbild Hartmut Goebel

Hartmut Goebel

Diplom-Informatiker, CISSP, CSSLP, ISO 27001 Lead Implementer



Anfrage
Logo Goebel Consult

2010-01: Der Weitblick für den Weitblick

Alles wieder unter Kontrolle! Das Chaos mit den“kaputten“ Chips auf den EC-Karten gehört der Vergangenheit an – hoffentlich. Hoffentlich nutzen die Verantwortlichen auch die kalten Tage auch wirklich, um zu Hause zu bleiben und machen sich in aller Ruhe bei einer Kanne Tee und dem Rest des Weihnachtsstollens über die wirklichen Ursachen des Desasters Gedanken.

Der Ärger war groß, der Schaden für viele Geschäftsleute ebenso. Auch wenn findige Mitmenschen fix eine Lösung parat hatten: Einfach den Chip überkleben, der Kartenleser liest den Magnetstreifen statt des Chips aus und ratzfatz klappt's wieder mit der Kartenzahlung.

Diese Idee fanden dann die Banken selbst so genial, dass sie die Methode gleich großflächig übernahmen: Sie „überkleben“ sozusagen in allen Zahlstationen und Geldautomaten. Und siehe da, es funktioniert wieder! Leider aber ganz massiv auf Kosten der Sicherheit: Denn mit diesem Geniestreich machten die Banken eine Zeitreise rückwärts – und versetzten ihre Geldautomaten und Zahlstationen auf das Sicherheitsniveau von vorgestern.

Also aufgepasst, liebe Betrüger. Kartenbetrug ist jetzt so einfach wie schon lange nicht mehr. Nutzt die Chance, denn das Window of Opportunity wird bald wieder geschlossen sein.

Denn erstens funktioniert die Methode im Ausland nicht – denn dort sind Magnetstreifen kaum mehr akzeptiert, weil sie als zu unsicher eingestuft wurden. Und ab dem 30. Juni 2010 dürfen Geräte mit einem derart mangelhaften Sicherheitssystem (Magnetstreifen) generell nicht mehr am Girocard-Verfahren teilnehmen. Die Deutschen Banken müssen sich also sputen, die Ursache zu beseitigen. In den nächsten Wochen werden die Geldautomaten im Schnellverfahren zu Chip-Programmier-Stationen umfunktioniert und so die betroffenen Chips mit neuer Software versorgt. Schließlich sind ja „nur“ an die 30 Millionen Karten betroffen, statistisch gesehen also hat jeder dritte Kartenbesitzer eine.

Wieso aber kam es überhaupt zu dieser Peinlichkeit? Hätte man nicht annehmen dürfen, dass die Experten, nachdem sie die Jahrtausendherausforderung gemeistert haben, nicht auch einen Zehnerwechsel gut hinkriegen? Müssen wir befürchten, dass in den nur zehn Jahren seit dem Jahr 2000 alles Wissen über die Probleme bei Datumswechsel verloren gegangen ist? Das ist Faktor 1 : 100. Und ist dann das nächste Desaster am 6. Februar diesen Jahres zu erwarten?

Wohl eher nicht. Denn die Programmierer sind Großteils dieselben und sicherlich auch nicht dümmer geworden. Aber: Die P der Software stehen unter Druck, die Dienstleistung soll immer billiger werden, deshalb müssen zu wenige Programmierer zu viel Code erstellen. Denn Programmierer kosten Geld, gute Programmierer noch mehr. Trotz aller Tools und Entwicklungsmodelle hat Softwareentwicklung nach wie vor sehr viel mit Erfahrung zu tun, die eben nur Experten mitbringen und die dann noch Zeit haben müssen, komplizierte Spezifikationen zu enträtseln.

Das Scheitern dieses Kostensparmodells wurde jetzt öffentlich: Das eingesparte Potenzial fällt im Form von Schadenersatz an – und den Image-GAU für die Bankkunden gibt es „kostenlos“ dazu. Denn auch das gehört zu IT-Security: Der Weitblick für Folgen jenseits der Technik. Aber auch dieser Weitblick kostet und dazu braucht das Management den Weitblick, dass es den Weitblick braucht.

Quellen: