Die Geschichte hat eine Vorgeschichte. Schon vor 20 Jahren wurde der Journalist immer wieder mit Fällen konfrontiert, bei welchen Bankkunden behauptet haben, dass ihnen – ohne dass sie ihren Geheimcode (PIN) irgendjemandem mitgeteilt hätten, Geld von ihrem Konto abgehoben worden sei. Die Banken haben dann immer gesagt, dass sei nicht möglich, vermutlich hätten die Leute halt doch den Code aufgeschrieben irgendwo oder sich über die Schultern schauen lassen. PIN aufschreiben sei gar nicht gut.
Testdauer: 20 Jahre
Als Journalist stand man in der Mitte – es stand Aussage gegen Aussage. Beweisen konnte keiner, ob der Code nun aufgeschrieben oder nicht aufgeschrieben wurde.Der Journalist hat deshalb vor 20 Jahren einen Selbsttest gestartet – mit einer sehr geringen Chance, damit herausfinden zu können, wer eigentlich in diesen Fällen Recht haben könnte.
Die Testfrage: Kann es sein, dass die Bank meinen persönlichen Geheimcode herausgibt, ohne dass ich davon weiss?
Ich hatte für diesen Test meinen Geheim-Code nirgends aufgeschrieben, niemandem mitgeteilt und achtete während 20 Jahren peinlich genau darauf, dass er bei der Eingabe nicht eingesehen werden konnte von Dritten. Es war schlicht unmöglich, an den Code zu kommen durch mich. Wenn jemand anders Geld abgehoben hätte mit meinem persönlichen Geheim-Code, das wusste ich, dann wär das Leck 100 Prozent bei der UBS gewesen.
Der Code war so geheim, dass ich ihn nicht nur für die Debitkarte der UBS, sondern auch für die Kreditkarte verwendete. Das entspricht zwar nicht den höchsten Sicherheitsanforderungen, aber da ich neben dem UBS Geheimcode noch ein Dutzend andere Codes im Kopf speichern muss, immerhin ein verständliches und nicht allzu riskantes Kunden-Vergehen.
Geheimcode per Post verschickt
Nach 20 Jahren ist der Fall gelöst. Allerdings anders, als ich es mir dachte. Und das kam so.
Ich war beruflich unterwegs und erhielt von meinem Bürokollegen einen Anruf, es sei ein Brief für mich von der UBS mit dem PIN-Code von meiner Karte in der Post. Der Brief sei versehentlich geöffnet worden, was er damit machen soll.
MEIN GEHEIMCODE, die geheimste Zahlenkombinationen in meinem Leben, wird von der UBS unaufgefordert und ohne, dass ich davon weiss, in einem Briefcouvert per Post verschickt.
Das Brisante daran ist folgendes: weil die UBS mir meine Geheimzahlen ohne meine Anweisung und ohne mein Wissen zuschickte, hatte ich gar keinen entsprechenden Brief erwartet. Das heisst, ich hätte überhaupt nicht gemerkt, wenn jemand den Brief an sich genommen, den Code notiert und dann den Brief vernichtet hätte. Ich hätte weiterhin geglaubt mein Code sei absolut geheim und wäre ein Jahr später Geld von meinem Konto verschwunden, hätte ich zwar gewusst, dass niemand von mir den Code erhalten hat, aber die Bank hätte vermutlich auch wieder gesagt: Unmöglich!
Aus Kostengründen auf Sicherheit verzichtet
Liebe UBS: Test Nummer eins nicht bestanden! Und leider– und das ist unschön – wurde auf die Sicherheit aus reinen Kostengründen verzichtet.
Im Begleitbrief erläutern die UBS Direktoren Gerig und Brasser: „Sie haben den bestehenden Code Ihrer bisherigen Karte in den letzten sechs Monaten nicht verwendet. Damit Sie überall reibungslos bezahlen können, wurde der Code durch unser Informatiksystem als Erinnerung nochmals ausgelöst und Ihnen hiermit zugestellt.“
Die Geschichte dahinter ist folgende: Um die Sicherheit der Kreditkarten zu erhöhen, sind die neuen Kreditkarten nur noch mit PIN zu verwenden. Das führte bei der UBS, gemäss Medienstelle, zu sehr vielen Anfragen von Kunden, welche ihren PIN vergessen hatten. Mit der Zeit wurde der UBS dies aber zu aufwändig, denn es musste jedes Mal die Karte gesperrt und automatisch ein neuer Code kreiert werden, den der Kunde dann wieder auf seinen eigenen Geheimcode abändern konnte. Ein sicheres, seit Jahren bewährtes, aber aufwändiges System.
Lapidare Antwort
So kam man auf die Idee, den Kunden, welche den Kartencode während Monaten nicht genutzt hatten, unaufgefordert den bisher verwendeten privaten Code zuzuschicken. Das ganze Sicherheits-Risiko, dass der persönliche Geheimcode in falsche Hände gerät, lag damit beim Kunden.
Die lapidare Antwort der UBS, man können nichts dafür, wenn der Kunde für die Kreditkarte und Debitkarte den gleichen Geheim-Code benutze, ist zwar richtig. Es ist nun aber einmal Tatsache, dass die meisten Leute die systemgenerierten komplizierten Codes in ein paar einfach zu merkenden Codes umwandeln.
Aus Kostengründen den Kriminellen zu helfen indem man per Post einen nicht automatisch generierten sondern einen privaten und geheimen Code verschickt, zeugt von einem schlechtem Sicherheitsbewusstsein und noch schlechterem Verständnis des Kundenverhaltens. Soviel Bank-Code-Geheimnis muss einfach sein.
Zweiter Test
Leider, liebe UBS, hast Du auch Test Nummer zwei nicht bestanden.
Fehler können überall passieren. Und dieser Fehler der Bank ist offensichtlich. Das müsste auch die UBS einsehen. Tut sie aber nicht
Es gehört zum Sicherheitsverhalten eines Bankinstituts, dass wenn PIN-Codes verschickt werden, diese automatisch mit einem Zufallszahlengenerator generiert werden. Der Kunde kann dann selber entscheiden, ob er diesen verwenden will, oder auf „seine Geheimzahl“ abändern möchte. Kosten und Aufwand der Bank hin oder her.
Die Konsequenz
Dies umso mehr, seit man weiss, dass es von Zeit zu Zeit Bankmitarbeitende gibt, welche sensible Bankkundendaten kopieren und verkaufen. In 80-90 Prozent der Fälle sind es die eigenen Mitarbeitenden, die unbewusst vertrauliche Informationen an externe Personen oder Netzwerke weitergeben. Wenn die Bank selber Software-Programme schreiben lässt, welche die Geheimcodes der Kunden aus dem System herauszuschreiben und jedem Bankkunden zuzuordnen, stärkt dies das Vertrauen in die Bank nicht sonderlich.
Schlussfolgerung: Da die UBS kein Verständnis für das Problem zeigt und - da ist sie zumindest konsequent – wiederum die ganze Schuld dem Kunden in die Schuhe schiebt, gibt es für UBS-Kunden nichts anderes, als für jede Karte ein anderes Passwort im Kopf abzuspeichern und dieses oft zu wechseln. Denn wie der Test zeigt: auf den Daten- und Persönlichkeitsschutz der Bank ist kein Verlass und ein selbstkritisches Sicherheitsbewusstsein hat sie auch nicht.
Mehr zu sicheren Passwörtern finden Sie hier: http://www.rissip.com/shop/de/imc-datenschutz-informationssicherheit-zugangsdaten.html