Wie Euch Herbert Werner im Info Nr. 8 (August 93) und Nr. 9 (September 93) schon berichtet hat, können wir den PC ausser für zu Hause auch noch für Anderes benützen. Mit GeoCom nämlich können wir Weltweit kommunizieren. Nebst einem Telefonanschluss und GeoComm benötigt man eben nur noch ein Modem. Sofern dann alles richtig angeschlossen und konfiguriert ist, kann bereits losgelegt werden. Ich will aber hier nicht näher darauf eingehen, da ich ehrlich gesagt mit GeoComm auch noch nicht viel Erfahrung habe. Was sich alles noch mit GeoCom machen lässt, werden wir sicher weiterhin in den nächsten Ausgaben des INFOS erfahren. Seien wir alle gespannt, was uns Herbert noch alles zu berichten weiss. Mir geht es im Nachfolgenden und im Zusammenhang mit DFUe (Daten-Fern-Uebertragung) viel mehr um die Bedenken, die bei vielen Usern anstehen. Immer wieder mache ich die Erfahrung, dass viele von der elektronischen Datenübermittlung zurückschrecken, weil sie Angst vor Viren oder Hackern haben. Ein Schlagwort, das in der heutigen Zeit des elektronischen Daten-Verkehrs via Telefonnetz, sicher auch schon jeder gehört hat, ist Telebanking. Herrjee ..., wird da so mancher sagen: Wenn da ein Hacker auf mein Konto zugreifen könnte ..., oder wenn sich via Telefonleitungen Viren auf meine Festplatte einschleichen ..., da bleibe ich besser beim Althergebrachten und trage mein Geld von der Bank auf die Post ... !!

Dass diese Aengste eigentlich unbegründet sind, zeigen die nachfolgenden Erläuterungen auf, die uns mit freundlicher Genehmigung von Herrn Paul Gnos zum Abdruck zur Verfügung gestellt worden sind:
"Allem voran ist zu diesem Thema zu sagen, dass es in keinem Bereich des Lebens möglich ist die absolute Sicherheit zu garantleren. Wenn jemand aus Sicherheitsgründen sein Geld zu Hause unter der Matratze, oder besser in seinem privaten Save aufbewahrt und einmal monatlich mit der gefüllten Brieftasche zur Post geht, um seine Zahlungen zu erledigen, wird er mit hoher Wahrscheinlichkeit ein grösseres Risiko eingehen, sein Geld auf ungesetzliche Art loszuwerden, als wenn er seine Zahlungen mit den modernen elektronischen Methoden bargeldlos erledigt.

Das Sicherheitskonzept der Banken

Immer wieder wird über die Sicherheit im elektronischen Verkehr mit Banken diskutiert. Jeder, der sich mit den verschiedenen schweizerischen Geldinstitute befasst, wird feststellen, dass diese Konzepte hohen Sicherheits-Standarts gerecht werden.
Allen Konzepten ist eines gleich: mit einer individuellen Vertragsnummer und einem persönlichen Passwort kann der Telebanking-Benutzer dem Bankenhost mitteilen, wer Zugang zum Bankensystem verlangt.
In einem zusätzlichen Arbeitsschritt wird dann, ebenfalls von allen Geldinstituten, eine PIN oder TAN verlangt: PIN = Persönlicher Identifikations-Nummer, TAN - Trans-Aktions-Nummer. Das am weitesten verbreitete System ist dabei die Streichlistennummer. Einige Geldinstitute benutzen ein System, welche abhängig von bestimmten Kriterien in gewissen Zeiteinheiten eine TAN/PIN generiert, die bei jedem Verbingungsaufbau eingegeben werden muss. Dazu ist ein spezieller Taschenrechner oder eine sogenannte TAN-Karte notwendig, welche von den jeweiligen Geldinstituten zur Verfügung gestellt wird.

Die Streichlistennummer

Auf einer Liste werden dem Telebanking-Teilnehmer eine Anzahl (je nach Geldinstitut zwischen 50 und 100) solcher PINs in einem sogenannten Datamailer mitgeteilt, in einem Umschlag, der beim Oeffnen unweigerlich zerstört wird.
Dem Zentralcomputer, der diese Zahlen beim Geldinstitut generiert, sind diese Nummern ebenfalls bekannt.
Wenn sich ein Telebanking-Benutzer mit seiner Vertragsnummer und seinem Passwort gegenüber der Bank identifiziert, weiss der Zentralcomputer, welches die nächst gültige PIN oder TAN ist. Der Benutzer hat maximal drei Versuche, um die richtige, die einzig mögliche PIN oder TAN dem Banken-Computer mitzuteilen.
Dabei gibt es im Streichlisten verfahren, je nach Bank, bis zu 1'679'616 Möglichkeiten.
Zusammen mit dem Vertrag und dem persönlichen Passwort ist die Wahrscheinlichkeit, in drei Versuchen die richtige Kombination von Vertrag, Passwort und PIN/TAN zufällig zu treffen, millionenfach geringer, als im Zahlenlotto mit drei Tips einen Sechser zu tippen.
Es ist deshalb nicht verwunderlich, dass in der Vergangenheit kein einziger Fall bekannt wurde, bei dem im Telebanking-Verkehr mit den Banken unrechtmässig Geld transferiert wurde.
Dies kann höchstens dann geschehen, wenn der Benutzer mit seinen Identifikationsdaten unvorsichtig umgeht. Lässt ein Telebanking-Benutzer diese Daten offen herumliegen, kommt dies einer Blanko-Unterschrift auf einem Vergütungsauftrag gleich. Zusätzliche Sicherheit bietet die bei fast allen Geldinstituten (ausser im Zahlungsverkehr mit der Post) mögliche Kollektivunterschrift.

Einsatz von automatisierten Programmen

Bekanntlich gibt es auf dem Schweizer Markt seit einigen Jahren von C-Channel entwickelte Programme, die voll automatisierte Verbindungen zur Bank erlauben (inklusive Uebergabe von Vertragsnummern, Paßwörtern und PIN/TAN).
Für viele Telebanking-Benutzer ist dies eine willkommene Komforterhöhung, die sie nicht mehr missen möchten.
Die Entwicklungsingenieure von C-Channel waren sich bei der Realisierung dieser Programme der Verantwortung gegenüber ihren Kunden voll bewusst und haben alles unternommen, um die Sicherheit zu gewährleisten und die Software vor unbefugten Zugriffen zu schützen.
Immer mehr Menschen setzen Computer im täglichen Leben ein. Noch vor einigen Jahren waren diejenigen, die vertiefte Kenntnisse von Computersystemen hatten, dünn gesät. Inzwischen wissen immer mehr Leute, wie ein Computer zu bedienen ist, wie man an nicht offensichtliche Daten kommt, und wie man Daten kopiert oder stehlen kann.
Es genügt deshalb heute nicht mehr, solch sensitive Daten einfach zu verstecken. Es muss dafür gesorgt werden, dass diese Daten nach neustem Wissensstand verschlüsselt werden, und die einzelnen nur über bestimmte Kanäle gestartet werden können.
Von vielen Programmen wird heute vor deren Benützung ein Passwort verlangt. In den meisten Fällen werden diese Passwörter nur irgendwo versteckt, oder sogar im Klartext auf dem Computersystem abgelegt. Damit ist es jedem Benutzer möglich, diese Daten problemlos zu finden. In den letzten Jahren sind immer mehr Videotext-Decoder auf den Markt gekommen, die es dem Benutzer ermöglichen, mit sogenannten Makros automatische Verbindungen aufzubauen.
Eine sehr gefährliche Sache. Insbesondere dann, wenn in solche Makros Vertragsnummern und Passwörter eingebaut werden. In praktisch allen Fällen ist es einfach, diese Informationen aus dem abgespeicherten Makro auszulesen.

Das Sicherheitskonzept von C-Channel-Programmen

Alle C-Channel Telebanking-Programme können ausschliesslich über ein bestimmtes Modul aufgestartet werden, über das Modul CC-Top.
Damit konnte man viel Arbeit in punkto Sicherheit in dieses eine Programm investieren. Jedes einzelne Programm-Modul kann mit einem individuellen Passwort vor unerlaubtem Zugriff geschützt werden. Dass diese Passwörter nach neuesten Erkenntnissen chiffriert werden, ist selbstverständlich. Nicht selbstverständlich aber ist, dass dies bei jedem einzelnen Kunden anders geschieht.
Ein solches Passwort kann bis zu 0,4 Quadrillionen Möglichkeiten umfassen. In Zahlen:
400'000'000'000'000'000'000'000 Möglichkeiten.
Wird einem C-Channel-Kunden die gesamte Software gestohlen, nutzt dies dem Dieb wenig, sofern der Kunde die Arbeit auf sich genommen hat, bei jedem Menüpunkt ein entsprechendes Passwort einzugeben.
Selbst ein teilweiser Diebstahl derjenigen Programme, die die Passworte oder die chiffrierten Streichlisten-Nummern enthalten, nutzt nichts, weil diese auf anderen Programminstallationen von C-Channel nicht verarbeitet werden können.
Zu guter Letzt hat der Kunde von C-Channel die zusätzliche Möglichkeit, im automatischen Programmablauf selber einen Halt zu bestimmen, wenn der Bankencomputer die PIN/TAN verlangt. Er kann also wählen, ob er seine PINs im C-Channel-System vorerfasst, individuell chiffriert, ablegt und die korrekte Uebergabe im Programmablauf erfolgen soll, oder ob ihn das System im richtigen Moment auffordern soll, seine PIN/TAN einzugeben. Damit kann der Telebanking-Benutzer seine Liste mit Streichlistennummern selber aufbewahren und die verbrauchte Nummer jeweils durchstreichen.
Die Software der C-Channel AG bietet - zusätzlich zu den Sicherheitseinrichtungen der Schweizer Banken - eine grosse und umfassende Programm-Sicherheit, auf die verantwortungsbewusste Telebanking-Teilnehmer nicht verzichten wollen."

Der Autor Paul Gnos ist Geschäftsführer der C-Channel AG, Grundstr. 22a, 6343 Rotkreuz, Tel. 042/645959.
Wer mehr über "Telebanking" im Zusammenhang mit der "Datenfernübertragung" wissen möchte, der kann sich ohne Hemmungen bei mir weitere Infos holen.

/kr Kurt Richner