Gravierendes Sicherheitsrisiko bei den Gelben Konti
Unglaublich: Jeder kann im Internet ganz einfach mit der Postkontonummer eines andern bezahlen. Denn die nötigen Daten sind öffentlich zugänglich.
Inhalt
saldo 2/2006
01.02.2006
Franco Tonozzi
Die Post liefert ihre Kunden grobfahrlässig Betrügern aus. Wer die Kontoauszüge nicht genau kontrolliert, zahlt möglicherweise für Dienstleistungen, die er nie in Anspruch genommen hat. Wie leicht ein fremdes Konto belastet werden kann, testete saldo letzte Woche mit verschiedenen Postkonti - etwa mit jenem von Postfinance-Chef Jürg Bucher. Mit Erfolg: saldo hatte keine Probleme, ihm verschiedene Schmuddel-Dienstleistungen auf dem Gelben Konto zu belasten. Der Postfinance-Chef bestätigte ...
Die Post liefert ihre Kunden grobfahrlässig Betrügern aus. Wer die Kontoauszüge nicht genau kontrolliert, zahlt möglicherweise für Dienstleistungen, die er nie in Anspruch genommen hat. Wie leicht ein fremdes Konto belastet werden kann, testete saldo letzte Woche mit verschiedenen Postkonti - etwa mit jenem von Postfinance-Chef Jürg Bucher. Mit Erfolg: saldo hatte keine Probleme, ihm verschiedene Schmuddel-Dienstleistungen auf dem Gelben Konto zu belasten. Der Postfinance-Chef bestätigte gegenüber saldo die Abbuchung. Um den Schock für den obersten Postbanker möglichst klein zu halten, hat ihm die Redaktion nur 60 Franken belastet. saldo hatte auch keine Mühe, im Internet auf Kosten des Eidgenössischen Datenschutzbeauftragten Hanspeter Thür Zugang zu Live-Sex-Shows zu erhalten.
Das zeigt: Jeder der ungefähr drei Millionen Postkontoinhaber muss jederzeit damit rechnen, dass sein Konto von Unbekannten belastet oder gar geplündert wird. Und das geht mit Debit Direct ganz einfach: Um die Internetdienstleistungen einiger Sexanbieter einem Konto zu belasten, benötigt man lediglich eine Kontonummer - die eigene oder eine fremde (siehe Kasten «So einfach funktioniert der Zugriff»).
Doch woher hat saldo die vertraulichen Kontonummern? Die unglaubliche Antwort: Von der Post selbst. Betrüger brauchen nur die Internetseite der Postfinance anzuwählen. Dort steht ihnen frei zugänglich eine Datenbank mit den nötigen Informationen zur Verfügung. Verzeichnet sind sogar die Kontonummern von hohen Politikern und Wirtschaftskapitänen, deren Namen nicht einmal im Telefonbuch stehen. saldo hätte spielend die Postkonti von Aussenministerin Micheline Calmy-Rey, Tennisstar Martina Hingis oder anderen prominenten Schweizern belasten können - so wie die aller anderen Postkunden.
Wer etwa den Familiennamen «Keller» und «Bern» in die Suchmaske eingibt, erhält sekundenschnell über 140 Kontonummern geliefert. Alle diese Postfinance-Kunden könnten sofort von irgendeinem Computer aus belastet werden.
Datenschützer Hanspeter Thür spricht Klartext: «Dieses Abrechnungssystem der Post erfüllt offensichtlich nicht einmal die primitivsten Sicherheitsanforderungen.» Zum Vergleich: Wer dieselben Dienstleistungen über eine Bank bezahlen will, braucht eine Kreditkartennummer, das Gültigkeitsdatum und einen dreistelligen Sicherheitscode. Ausserdem publizieren Kreditkartenfirmen die Daten ihrer Kunden nicht im Internet.
«Die Post verletzt das Datenschutzgesetz in krasser Weise»
Dass Zahlungen mit dem Debit-Direct-Verfahren deutlich sicherer abgewickelt werden könnten, beweist die Post selbst: Wer beispielsweise in Schweizer Online-Shops einkauft, muss neben der Postkontonummer auch seine Postcardnummer angeben - und die steht wenigstens nicht im Internet.
Datenschützer Thür: «Die Post verletzt das Datenschutzgesetz in krasser Weise.» Deshalb fordert er: «Die Postfinance hat diesen Service unverzüglich zu sistieren, bis die Sicherheitsprobleme gelöst sind.»
Debit Direct: Lückenhafte Kontrolle der Transaktionen
Die Post teilt diese Auffassung nicht. Die Kontonummern würden nur mit dem Einverständnis der Kunden im Internet publiziert. Bei der Eröffnung eines Gelben Kontos sei dies auf dem Antragsformular vermerkt. Doch: Postkunden, die ihr Konto vor der Internetzeit eröffneten, nützt dies nichts.
Dass das Debit-Direct-Verfahren unsicher ist, gibt die Post indirekt jedoch zu: Transaktionen würden im Gegensatz zum Lastschriftverfahren bei Banken nur «stichprobenweise» überprüft.
Übrigens: Postminister Moritz Leuenberger und Postchef Ulrich Gygi haben kein Gelbes Konto. Oder ihr Konto wird nicht veröffentlicht.
So einfach funktioniert der Zugriff auf fremde Postkonti
So einfach hat saldo die Gelben Konti von Postfinance-Chef Jürg Bucher und dem Eidgenössischen Datenschutzbeauftragten Hanspeter Thür belastet.
1. saldo geht auf die Internetseite der Postfinance. Im öffentlich zugänglichen Kundenverzeichnis stehen die Kontonummern unter anderem von Postfinance-Chef Bucher und von Datenschützer Thür.
2. saldo geht auf eine deutsche Internetseite, die das Lastschriftverfahren mit Schweizer Postkonti anbietet und tippt Name und Kontonummer von Bucher beziehungsweise von Thür ein.
3. Das Computersystem verlangt nach einer Telefonnummer, die angerufen werden kann. Nach genau einer Minute ruft der Computer die von saldo angegebene Nummer an. Eine Tonbandstimme gibt einen sechsstelligen Zugangscode bekannt. Betrüger könnten dasselbe mit einer nicht registrierten Handy-Nummer tun. In der Schweiz gibt es mehrere hunderttausend solcher anonymer Nummern.
4. saldo tippt den Code ein und kann sofort alle kostenpflichtigen Angebote der Website nutzen.
Das müssen Postkontoinhaber wissen
Debit Direct heisst das Lastschriftverfahren bei der Post. Es erlaubt den Zugriff auf ein Fremdkonto. Das müssen Postkontoinhaber wissen:
- Belastungen des eigenen Kontos durch einen Dritten sind illegal, sofern der Kontoinhaber nicht sein Einverständnis gegeben hat.
- Die Post muss solche Belastungen auf Reklamation hin rückgängig machen. Dies auch später als 30 Tage nach Erhalt des Kontoauszugs.
- Zu Ihrer Sicherheit: Sie können der Post mit eingeschriebenem Brief mitteilen, dass Sie keine Debit-Direct-Belastungen auf Ihrem Konto akzeptieren.