Sicherheitslücke bei einer Bank
Andreas ist Informatiker und Kunde der SicherBank. Er füllt mehrmals in der Woche die Überweisungsformulare auf der Webseite der SicherBank online aus. Da er dies so oft tun muss, überlegt er sich, ein Skript zu programmieren.
Mit Verwunderung entdeckt er durch einen Tippfehler bei seiner Kontonummer, dass er das Feld „Kundenkontonummer“ im Formular ganz frei wählen kann. Er probiert nun mit seinem Skript aus, welche Felder des Webformulars er mit welchen Werten belegen kann. Andreas entdeckt schnell, dass er ohne viel Mühe auf die Konten wildfremder Kunden zugreifen kann. Viele Informationen persönlicher Natur findet er dort: Kontostände, Mietzahlungen, Kreditkartendaten oder regelmäßige Zahlungen an nicht jugendfreie Anbieter im Internet.
Andreas ist kein Krimineller, er hat auch kein spezielles Wissen über das Onlinesystem der Bank. Doch er kann durch bloßes Probieren an diese Daten gelangen. Ihm wird klar, dass die Bank schlicht keine Sicherheitsbarrieren in ihr System eingebaut hat. Hat er als Kunde der Bank nach dem Einloggen eine Session-ID bekommen, kann er mit dieser einfach jede beliebige Kontonummer abfragen. Diese ID ist offenbar nicht an das Konto gebunden. Neugierig geworden, programmiert Andreas sein Skript derart, dass es systematisch alle möglichen Kontonummern durchtestet. Zu seinem Erstaunen funktioniert auch das.
Nun ist Andreas entsetzt, er sieht, dass er sofort handeln muss. Aber was soll er jetzt machen? Sich gleich bei der Bank melden? Ob die Techniker dort das Problem schon kennen? Sich vielleicht anonym an die Presse wenden? Sich bei der Polizei beraten lassen? Er zögert und überlegt. Er hat Angst, dass ihm dann vielleicht strafrechtliche Konsequenzen drohen würden. Er schreibt nach einiger Überlegung einen Brief an die Bank und legte den Fall genau dar. Er versicherte hierin auch, nur ganz zufällig und ohne böse Absicht an sein Wissen gelangt zu sein. Er forderte die Bank auch auf, Sicherheitsbarrieren einzubauen, damit die persönlichen Daten der Kunden in Zukunft geschützt sind.
Fragen
In diesem Szenario werden verschiedene Fragestellungen aufgeworfen. Es berührt ethische Fragen ebenso wie rechtliche Aspekte des Betrugs und des Datenschutzes.
- Ist es ein ethisches Problem, dass Andreas zufällig an die privaten Daten fremder Menschen gelangt ist? Macht es einen Unterschied, dass er nicht sofort aufhörte, nach diesen Daten zu suchen, sondern auch noch alle möglichen Kontonummern durchprobierte?
- Wie sieht es mit der Bank aus – hat sie eine ethische Verpflichtung, sofort zu reagieren? Ist es ein ethisches Problem, wenn sie keine genügenden Sicherheitsbarrieren in ihre Systeme einbaut? Schließlich ist Andreas kein Spezialist, konnte aber ohne viel Mühe an die Daten gelangen.
- Wie sollte sich Andreas nach dem Finden der Sicherheitslücke verhalten, hat er überhaupt Handlungsspielraum? Hat er Handlungspflicht? Ist er verpflichtet, sich zuerst an die Bank zu wenden? Muss er nicht vielmehr sofort alle Kunden warnen, schließlich könnten böswillige Personen in der Zwischenzeit oder gar zuvor bereits an deren private Daten gelangt sein?
- Es gibt auch andere ethische Fragestellungen: Andreas war ja von Anfang an klar, dass die Daten nicht für ihn zugänglich sein sollten. Ist es ethisch vertretbar, dass er dennoch weiterprobierte, was er alles runterladen kann? Er hat sogar bei manchen Kunden genau auf die Kontobewegungen und andere persönliche Daten geschaut, ist das richtig?
- Muss Andreas nun der Bank sein volles Wissen über die Sicherheitslücken zugänglich machen? Soll er helfen, die Lücken zu schließen? Kann er ein Entgelt verlangen? Was soll er tun, wenn die Bank nicht reagiert? Darf er Freunden berichten, was er entdeckt hat?
Erschienen Informatik-Spektrum 33(3) 2010
[…] 2010 – Fallbeispiel: Online Banking, C. Class / D. […]