Liebe UBS: Test nicht bestanden

Markus Schärli's picture

Liebe UBS: Test nicht bestanden

Von Markus Schärli, 19.12.2011

Die UBS verschickt in fahrlässiger Weise die privaten Geheimcodes ihrer Kunden. Der Grund liegt paradoxerweise darin, dass die Bank den Missbrauch von Kreditkarten bekämpfen will. Um bei dieser Aktion Aufwand und Kosten zu sparen, missachtet sie beim Versand der Codes fundamentale Sicherheitsregeln und erleichtert dadurch den Missbrauch in sträflicher Weise.

Die Geschichte hat eine Vorgeschichte. Schon vor 20 Jahren wurde der Journalist immer wieder mit Fällen konfrontiert, bei welchen Bankkunden behauptet haben, dass ihnen – ohne dass sie ihren Geheimcode (PIN) irgendjemandem mitgeteilt hätten, Geld von ihrem Konto abgehoben worden sei. Die Banken haben dann immer gesagt, dass sei nicht möglich, vermutlich hätten die Leute halt doch den Code aufgeschrieben irgendwo oder sich über die Schultern schauen lassen. PIN aufschreiben sei gar nicht gut.

Testdauer: 20 Jahre

Als Journalist stand man in der Mitte – es stand Aussage gegen Aussage. Beweisen konnte keiner, ob der Code nun aufgeschrieben oder nicht aufgeschrieben wurde.Der Journalist hat deshalb vor 20 Jahren einen Selbsttest gestartet – mit einer sehr geringen Chance, damit herausfinden zu können, wer eigentlich in diesen Fällen Recht haben könnte.

Die Testfrage: Kann es sein, dass die Bank meinen persönlichen Geheimcode herausgibt, ohne dass ich davon weiss?

Ich hatte für diesen Test meinen Geheim-Code nirgends aufgeschrieben, niemandem mitgeteilt und achtete während 20 Jahren peinlich genau darauf, dass er bei der Eingabe nicht eingesehen werden konnte von Dritten. Es war schlicht unmöglich, an den Code zu kommen durch mich. Wenn jemand anders Geld abgehoben hätte mit meinem persönlichen Geheim-Code, das wusste ich, dann wär das Leck 100 Prozent bei der UBS gewesen.

Der Code war so geheim, dass ich ihn nicht nur für die Debitkarte der UBS, sondern auch für die Kreditkarte verwendete. Das entspricht zwar nicht den höchsten Sicherheitsanforderungen, aber da ich neben dem UBS Geheimcode noch ein Dutzend andere Codes im Kopf speichern muss, immerhin ein verständliches und nicht allzu riskantes Kunden-Vergehen.

Geheimcode per Post verschickt

Nach 20 Jahren ist der Fall gelöst. Allerdings anders, als ich es mir dachte. Und das kam so.

Ich war beruflich unterwegs und erhielt von meinem Bürokollegen einen Anruf, es sei ein Brief für mich von der UBS mit dem PIN-Code von meiner Karte in der Post. Der Brief sei versehentlich geöffnet worden, was er damit machen soll.

MEIN GEHEIMCODE, die geheimste Zahlenkombinationen in meinem Leben, wird von der UBS unaufgefordert und ohne, dass ich davon weiss, in einem Briefcouvert per Post verschickt.

Das Brisante daran ist folgendes: weil die UBS mir meine Geheimzahlen ohne meine Anweisung und ohne mein Wissen zuschickte, hatte ich gar keinen entsprechenden Brief erwartet. Das heisst, ich hätte überhaupt nicht gemerkt, wenn jemand den Brief an sich genommen, den Code notiert und dann den Brief vernichtet hätte. Ich hätte weiterhin geglaubt mein Code sei absolut geheim und wäre ein Jahr später Geld von meinem Konto verschwunden, hätte ich zwar gewusst, dass niemand von mir den Code erhalten hat, aber die Bank hätte vermutlich auch wieder gesagt: Unmöglich!

Aus Kostengründen auf Sicherheit verzichtet

Liebe UBS: Test Nummer eins nicht bestanden! Und leider– und das ist unschön – wurde auf die Sicherheit aus reinen Kostengründen verzichtet.

Im Begleitbrief erläutern die UBS Direktoren Gerig und Brasser: „Sie haben den bestehenden Code Ihrer bisherigen Karte in den letzten sechs Monaten nicht verwendet. Damit Sie überall reibungslos bezahlen können, wurde der Code durch unser Informatiksystem als Erinnerung nochmals ausgelöst und Ihnen hiermit zugestellt.“

Die Geschichte dahinter ist folgende: Um die Sicherheit der Kreditkarten zu erhöhen, sind die neuen Kreditkarten nur noch mit PIN zu verwenden. Das führte bei der UBS, gemäss Medienstelle, zu sehr vielen Anfragen von Kunden, welche ihren PIN vergessen hatten. Mit der Zeit wurde der UBS dies aber zu aufwändig, denn es musste jedes Mal die Karte gesperrt und automatisch ein neuer Code kreiert werden, den der Kunde dann wieder auf seinen eigenen Geheimcode abändern konnte. Ein sicheres, seit Jahren bewährtes, aber aufwändiges System.

Lapidare Antwort

So kam man auf die Idee, den Kunden, welche den Kartencode während Monaten nicht genutzt hatten, unaufgefordert den bisher verwendeten privaten Code zuzuschicken. Das ganze Sicherheits-Risiko, dass der persönliche Geheimcode in falsche Hände gerät, lag damit beim Kunden.

Die lapidare Antwort der UBS, man können nichts dafür, wenn der Kunde für die Kreditkarte und Debitkarte den gleichen Geheim-Code benutze, ist zwar richtig. Es ist nun aber einmal Tatsache, dass die meisten Leute die systemgenerierten komplizierten Codes in ein paar einfach zu merkenden Codes umwandeln.

Aus Kostengründen den Kriminellen zu helfen indem man per Post einen nicht automatisch generierten sondern einen privaten und geheimen Code verschickt, zeugt von einem schlechtem Sicherheitsbewusstsein und noch schlechterem Verständnis des Kundenverhaltens. Soviel Bank-Code-Geheimnis muss einfach sein.

Zweiter Test

Leider, liebe UBS, hast Du auch Test Nummer zwei nicht bestanden.

Fehler können überall passieren. Und dieser Fehler der Bank ist offensichtlich. Das müsste auch die UBS einsehen. Tut sie aber nicht

Es gehört zum Sicherheitsverhalten eines Bankinstituts, dass wenn PIN-Codes verschickt werden, diese automatisch mit einem Zufallszahlengenerator generiert werden. Der Kunde kann dann selber entscheiden, ob er diesen verwenden will, oder auf „seine Geheimzahl“ abändern möchte. Kosten und Aufwand der Bank hin oder her.

Die Konsequenz

Dies umso mehr, seit man weiss, dass es von Zeit zu Zeit Bankmitarbeitende gibt, welche sensible Bankkundendaten kopieren und verkaufen. In 80-90 Prozent der Fälle sind es die eigenen Mitarbeitenden, die unbewusst vertrauliche Informationen an externe Personen oder Netzwerke weitergeben. Wenn die Bank selber Software-Programme schreiben lässt, welche die Geheimcodes der Kunden aus dem System herauszuschreiben und jedem Bankkunden zuzuordnen, stärkt dies das Vertrauen in die Bank nicht sonderlich.

Schlussfolgerung: Da die UBS kein Verständnis für das Problem zeigt und - da ist sie zumindest konsequent – wiederum die ganze Schuld dem Kunden in die Schuhe schiebt, gibt es für UBS-Kunden nichts anderes, als für jede Karte ein anderes Passwort im Kopf abzuspeichern und dieses oft zu wechseln. Denn wie der Test zeigt: auf den Daten- und Persönlichkeitsschutz der Bank ist kein Verlass und ein selbstkritisches Sicherheitsbewusstsein hat sie auch nicht.

Mehr zu sicheren Passwörtern finden Sie hier: http://www.rissip.com/shop/de/imc-datenschutz-informationssicherheit-zugangsdaten.html

Kommentare

Die Redaktion von Journal21.ch prüft alle Kommentare vor der Veröffentlichung. Ehrverletzende, rassistische oder anderweitig gegen geltendes Recht verstossende Äusserungen zu verbreiten, ist uns verboten. Da wir presserechtlich auch für Weblinks verantwortlich sind, löschen wir diese im Zweifelsfall. Unpubliziert bleiben ausserdem sämtliche Kommentare, die sich nicht konkret auf den Inhalt des entsprechenden Artikels oder eines bereits aufgeschalteten Leserkommentars beziehen. Im Interesse einer für die Leserschaft attraktiven, sachlichen und zivilisierten Diskussion lassen wir aggressive oder repetitive Statements nicht zu. Über Entscheide der Redaktion führen wir keine Korrespondenz.

Lieber Heiner.

endlich einmal etwas vom versprochenen "mehrwert" aber bei weitem nicht alles, was dein Dienst bieten könnte.
gegewärtig verschicken UBS, Diners une andere unverrlangt mit normaler post Kreditkarten für deren missbräuchliche Verwendung der Bescherte haftet. Also unerwünschte Kreditkaren zurüchschichen. Einmgeshrieben AR.!!!

dein alter Kollege Erich Reyhl

Als IT-ler im Sicherheitsbereich bin ich nicht begeistert. Dass die UBS so fahrlässig, ja eigentlich dumm, vorgeht, hätte ich dann doch nicht erwartet.

SRF Archiv

Newsletter kostenlos abonnieren