Ganz genau, eine Sicherheitslücke. Mich wundert nur, dass dies bisher noch niemandem aufgefallen ist. Der folgende Ablauf zeigt wie an deutschen Geldautomaten das Geld ausgegeben wird:
- Die Karte wird eingeschoben.
- Die Option „Auszahlung“ (oder ähnlich) wird gewählt.
- Die persönliche Geheimzahl (PIN) wird eingegeben und bestätigt.
- Der Betrag wird gewählt und bestätigt.
- Die Karte wird zurückgegeben und kann entnommen werden.
- Das Geld wird ausgezahlt und kann entnommen werden.
Ein Mensch mit kriminellen Hintergedanken könnte mir nun nach Schritt 3. eine mit einem Knüppel überziehen, oder mich sonstwie bedrohen. Er könnte dann am Automaten nach belieben an Punkt 4. fortsetzen. Ich hätte das Nachsehen.
Ich wünsche mir, dass Punkt Drei und Vier einfach vertauscht werden. Das ist zwar nur eine kleine Änderung im Ablauf, ich kann aber vor Eingabe der Pin den Betrag festlegen.
Also liebe Banken, das ist mein Wunsch für 2011. Es würde mein Sicherheits- und Kontrollgefühl verbessern.
Und was meinst Du? Habe ich zu viel Paranoia, oder drehst Du Dich vor Eingabe der Pin um und versicherst Dich, dass niemand hinter Dir steht?
Hmmm, dann kommt der Bösewicht halt nach Schritt 4 mit dem Knüppel. Wenn man sich das hier anschaut, dann wird ohnehin klar: Den Knüppel muss schon lange keiner mehr aus dem Sack holen.
Und die Banken ficht das nicht wirklich an, die wissen oft selbst nicht, was an ihren Automaten so alles geschieht: – so selbst erlebt in Mannheim.
PS: Kündigen Sie Ihre Blogeinträge auch auf Twitter an? Dann würde ich doch glatt followen…
Grüße aus Heidelberg nach Leimen
Sebastian Dosch, Rechtsanwalt
Danke für den Kommentar.
Klar besteht immer die Gefahr, dass jemand hinter Ihnen steht und den gezogenen Betrag abgreifen möchte. Der Anreiz den Betrag selbst wählen zu können, und damit einen höheren „Gewinn“ zu machen, steigert die Gefahr jedoch unnötig.
Ideen kriminell an Geld zu gelangen, gibt es mindestens ebensoviele, wie es Sicherheitsmaßnahmen dagegen gibt. Das wird ein ewiges Wettrüsten sein.
Ja, ich kündige meine Blogeinträge auf Twitter unt er @hdvalentin an.
Da ist durchaus etwas dran! Wenn ich am Automaten oder Online eine Überweisung mache, werde ich schließlich auch erst NACH Eingabe aller Daten zur Eingabe der PIN bzw. TAN aufgefordert. Das ist nicht nur sicherer, sondern auch die empfundene „natürliche Reihenfolge“. Warum ist es am Automaten also andersrum?
Ich kann mich täuschen, aber ich meine mich sogar erinnern zu können, dass der Ablauf am Automaten damals und viele viele Jahre danach auch genau so war, seit ich mit 16 oder 18 meine erste Bankkarte hatte. Das ist so etwa 15 Jahre her.
Nein, du täuschst dich nicht. Das war früher in der Tat so, dass man erst den Betrag eingab und anschließend die Pin eingeben durfte.