Wahrscheinlichkeitsrechnung a la BGH

[Glombi]

http://focus.msn.de/hps/fol/newsausgabe/newsausgabe.htm?id=7193
http://www.heise.de/newsticker/meldung/51834

Also: Laut BHG ist die Wahrscheinlichkeit, bei 3 Versuchen eine Zahl zwischen 0 und 9999 zu erraten gleich 0 !

Es sei mathematisch ausgeschlossen, die PIN einzelner Karten aus den auf ihnen vorhandenen Daten in verhältnismäßig kurzer Zeit zu errechnen, ohne vorher an den zur Verschlüsselung verwendeten Institutsschlüssel zu gelangen.

Das ist ja der Gag des Tages 

Muss mal nachsehen, welche Sicherheitsstufe Notes bei 4-stelligen Passwörtern nennt 

Andreas

[koehlerbv]

So ganz verstehe ich das nicht, Andreas: Der BGH hat nicht gesagt, dass die Wahrscheinlichkeit gleich Null sei.
Laut SPIEGEL http://www.spiegel.de/wirtschaft/0,1518,321558,00.html gab es auch keine Fehleingabe (wobei ich hier der ganzen Berichterstattung nicht traue - auch Heise nicht, die bezogen das auch nur von Agenturen), da müsste man jetzt wirklich die Akteneinsicht haben.
Dass jemand den Code knacken kann und dann nur eine Karte klaut und dann auch nur 1.000 Euronen abhebt - na, ich weiss nicht. Dann macht man sowas doch im grossen Stil.

Ausserdem: Keiner ist gezwungen, eine EC-Card zu beantragen, wenn es ihm zu unsicher erscheint. Da gibt es doch auch Leute, die ohne EC-Card, aber mit ihren beiden besten Freunden (Mr. Smith und Mr. Wesson) jederzeit anders Geld anheben können 

Unter den bisher bekannten Rahmenbedingungen halte ich das BHG-Urteil für vollkommen korrekt:
- Frau will EC-Card (hätte sie aber nicht wollen gemusst)
- Frau schusselt (und hat mit hoher Wahrscheinlichkeit die PIN in der geklauten Handtasche aufbewahrt)
- Dieb ist böse und begeht zwei (verkettete) Verbrechen (!!!)
Warum soll jetzt die Bank haften ?

Bernhard

[Glombi]

Ich halte dagegen: Mir wird die EC Karte gestohlen, aber der Dieb kennt die PIN nicht. Der Dieb rennt zum nächsten Bankomat und tippt willkürlich eine 4 stellige Zahl ein. Die Wahrscheinlichkeit, dass er auf Anhieb einen Treffer landet, ist mindestens 1 : 9999.

Also von Wahrscheinlichkeit = 0 keine Spur.

Man bedenke: Die Wahrscheinlichkeit, 6 Richtige im Lotto zu haben, ist 1 : 14.000.000 (jedenfalls so in der Größenordung 1 zu 49 über 6) . Und dennoch gibt es regelmäßig Leute, die 6 Richtige haben. Laut BGH müsste das Ziehungsgerät manipuliert sein.

Ich fasse diesen Richterspruch nicht.
Das es unwahrscheinlich ist, dass jemand anhand der verschlüsselten Codierung auf die Zahl zu schließen, glaube ich gerne. Aber das hat gar nichts mit der Wahrscheinlichkeit zu tun, einen Treffer bei einer 4-stelligen Zahl zu landen.

Andreas

Ergänzung: Die Kundin hat einen Fehler gemacht 
Vielmehr bezweifelte sie die Sicherheit der 128-Bit-Verschlüsselung des PIN-Systems und machte geltend, dass das bankinterne Sicherheitssystem bislang noch nie untersucht worden sei

Das darf sie natürlich nicht sagen, echt blöd.

Wie es (wahrscheinlich  ) wirklich ist:
http://www.wdr.de/themen/wirtschaft/geld-_und_kreditwesen/scheckkarte/index.jhtml

hier noch was wissenschaftlich angehauchtes, was ich schon eher nachvollziehen kann
http://www.informatik.uni-trier.de/~damm/Lehre/E-Money/ecCardsSecurityFAQ.html

Fazit: Wir Kunden sind wie immer die Gelackmeierten 

[koehlerbv]

Die Wahrscheinlichkeit, dass er auf Anhieb einen Treffer landet, ist mindestens 1 : 9999.

Nein - 1 : 10.000 (die "0000" wir ja auch erlaubt sein) 

Ich halte dagegen: Mir wird die EC Karte gestohlen, aber der Dieb kennt die PIN nicht. Der Dieb rennt zum nächsten Bankomat und tippt willkürlich eine 4 stellige Zahl ein. Die Wahrscheinlichkeit, dass er auf Anhieb einen Treffer landet, ist mindestens 1 : 9999.

Warum hast Du dann eine EC-Card ? Ein Auto mit Bart-Schlössern für Fahrertür und Zündung kauft auch keiner 

Das es unwahrscheinlich ist, dass jemand anhand der verschlüsselten Codierung auf die Zahl zu schließen, glaube ich gerne. Aber das hat gar nichts mit der Wahrscheinlichkeit zu tun, einen Treffer bei einer 4-stelligen Zahl zu landen.

Die Wahrscheinlichkeit beträgt genau drei Promüll. Und dazu muss erstmal die EC-Card geklaut werden. Häufiger geklaut wird Bargeld (logisch). Traveller cheques werden selten geklaut - und lassen sich (fast) nicht umsetzen. Sind aber unbequem. Genauso wie Bargeld. Letzteres wird aber mehr geklaut als ... Aber das hatten wir ja gerade.

Fazit: Wir Kunden sind wie immer die Gelackmeierten

In diesem Fall sehe ich das nicht so: Das 3-Promille-Risiko kenne ich ja vorher. Ich kann dann ja dankend auf das Angebot verzichten ...

Und nochmal: Warum soll die Bank jetzt dafür haften, dass dem Kunden die Karte geklaut wurde und komischerweise der "Lottogewinn" schon beim ersten Versuch eingestrichen wurde ? Was würde passieren, wenn die Banken bei jedem derartigen Fall löhnen müssten ? In unserer heutigen Gesellschaft wären doch dann sofort die Weichen gestellt: Wieder wird die Verantwortung vom Individuum sofort wieder auf die Gesellschaft abgewälzt, und die böse Spirale nimmt weiter ihren verheerenden Verlauf. Genau das halte ich für den "casus knacktus".

Bernhard

[Glombi]

Ich habe ja nix gegen die Banken, nur gegen die Begründung.

"mathematisch ausgeschlossen, die PIN einzelner Karten aus den auf ihnen vorhandenen Daten in verhältnismäßig kurzer Zeit zu errechnen"

Was ist "mathematisch ausgeschlossen" ?
Was ist "verhältnismäßig kurzer Zeit"? Klaro,mit meinem PC zuhause dauert es vielleicht ein Jahr, aber es gibt ja sogar in Ebay eine 2,3 Mio Kiste für "wenig" Geld zu kaufen.

Die Kundin ist wie gesagt blöd, dass sie die Bank beschuldigt, ein unsicheres System zu haben. Und Sie hätte den 45er S&W mitnehmen sollen 

Andreas

[TMC]

Die Begründung selbst halte ich auch für etwas lächerlich 

Ich hatte mal vor ein paar Monaten einen Artikel gelesen, allerdings weiß ich leider nicht mehr die technischen Details. Fazit war: Der Karte selbst zu entlocken, welchen PIN diese hat, ist praktisch unmöglich.

Ich tanke z.B. oft mit EC-Karte. Bei den aktuellen "Terminals" (oder umgebaute Zigarettenschachtel mit Tastatur) hat bestimmt schon oft wer meine EC-Kartennummer ersehen können beim eintippen. Da passe ich auch immer auf, dass mich dann keiner anrempelt beim Verlassen der Tanke und halte die Brieftasche mit Karte fest in meinen Händen in der Hosentasche.

Viel interessanter für Diebe sind aber wohl Kreditkarten, bei denen meistens die PIN gar nicht benötigt wird.

[MartinG]

Insgesamt muss ich sagen das ich auch absolut niemand kenne bei welchem die EC - Karte mal missbraucht wurde.

Viel interessanter für Diebe sind aber wohl Kreditkarten, bei
denen meistens die PIN gar nicht benötigt wird. 

Sehe ich genauso, allerdings ist man ja da IMHO versichert, ich meine man haftet da mit max 50€....

[koehlerbv]

Jo, Matthias, wir müssen das Ganze wirklich relativieren. Wie weit kommt, ein "normaler Dieb" (der, der 1.000 Euro abhebt, ist wohl ein "normaler Dieb" - nichtsdestotrotz ein Verbrecher !!!), wenn er meine Kreditkarte klaut ? Wenn er nur tankt, sicherlich quer durch ganz Europa. Da schaut ja keiner von den Verkäufern hin ... Wenn allerdings der Klau der Kreditkarte relativ zeitnah gemeldet wird, dann ist das Risiko der Kreditkartenbesitzers ziemlich gering - seine Unterschrift stimmt ja nicht. Und wenn er dann noch eine Karte mit Foto sein eigen nennt ...

Ich sag' es nochmal: Wie bei Bargeld, den Autoschlüsseln (das meistgeklaute Auto 2003 ist der X5 - aber bestimmt nicht durch das Knacken der Wegfahrsperre !), den Hausschlüsseln etc. muss man auch bei "Plastikgeld" seine Hand darauf haben und darf dann nicht einfach das Risiko auf einen Dritten abwälzen. Und wer die PIN knacken kann, hebt dann nicht nur einmal 1.000 Euro ab, anstatt das in dem Zeitfenster bis zur Reaktion der Kartenherausgeber für einen richtig grossen Raubzug zu nutzen.

Für mich widerspiegelt sich auch in dieser Diskussion ein westeuropäisches Dilemma: Wir reden über die Kundin, wir reden über die Bank - aber nicht darüber, dass der Schweinehund, der das Verbrechen (!!!) begangen hat, der eigentliche Übeltäter ist. Die Existenz(notwendigkeit) eines "Weissen Rings" in Deutschland sollte uns eigentlich alle beschämen.

Bernhard

[MadMetzger]

Selbst in dem Fall, wo jemand die PIN errechnen oder sonstwie hat, kann er am Geldautomaten nur begrenzt Geld abheben am Tag. Aber dann besteht noch die Chance per ec-Cash bargeldlos einkaufen zu gehen. Jedoch ist auch da mancher Kleinkriminelle etwas zu dumm: Jemand mit südländischen Aussehen hat versucht mit einer Karte einkaufen zu gehen, die auf einen typischen deutschen Namen wie Müller lautet. Die Verkäuferin wurde daraufhin stutzig und fragte nach dem Ausweis, den der Mensch vorgab im Auto zu haben. Und verschwunden war er...

[pd]

aus der Praxis eines Sparkässlers:bisher wurden bei uns ein zwei Fälle bekannt, bei der die PIN mit den genannten und medientechnisch vielzitierten Minikameras ausgespäht wurde. Tatsächlich geknackt wurde sie in keinem mir bekannten Fall.
Könnte mir vorstellen, dass der Aufwand da im Vergleich zu anderen (illegalen) Beschaffungsmethoden zu hoch ist. Da nehm ich doch lieber nen Knüppel und zieh ihn dem Opa nach dem GAA-Gang über die Rübe.
Ansonsten ists natürlich ein heißes Thema, und das ist auch der Übergang zu

aus der Praxis eines WoE Tankwarts:Es ists tatsächlich so, dass bei der (hauptsächlich älteren) Kundschaft unter 10 Leuten einer die PIN im Geldbeutel, auf nem Zettel oder gar mit edding auf der Karte notiert hat. Sprech die betreffenden natürlich jedesmal drauf an, aber die sehen das viel zu lax. Auch dass sie sich dabei zur besonderen Zielgruppe von Gewaltverbrechern machen kratzt sie nicht. Bis mal was passiert, dann ist das Geschrei groß.


Haftung, hm, ist so ne Sache, man kann jetzt argumentieren, dass die Banken mit den Höchstbeträgen, den MM-Kartenmerkmalen, der PIN eigentlich für ausreichend Sicherheit gesorgt hat.
Ich wollte nicht am Schalter stehen, wenn plötzlich 6 oder noch mehr stellige PINs ausgegeben werden ;-) Die Nutzungsbedingungen sagen auch, dass die Karte wie Bargeld zu behandeln ist, d.h. auch mit der entsprechenden Sorgfalt.
Kleiner Tipp, bei der Sperre der Karte, nach Möglichkeit Zeugen dabei haben (unabhängige) und genauen Zeitpunkt festhalten. Konstruierter Fall: Man erreicht einen Azubi, der notiert das, muss dann noch wohin rennen, der Ausbildende hat grad keine Zeit, dann kommt Mittagspause (oder gar WoE) und dann erst rückt er die Info raus. Dann ist gut, wenn man den Zeitpunkt der Sperrenmitteilung nachweisen kann.
Es schadet auch nicht nach der Hausbank auch die Polizei anzurufen und die Sperre nochmals zu veranlassen, die gehen dann direkt an ein übergeordnetes Rechenzentrum, dass zB auch Autorisierungsanfragen aus dem Ausland entgegennimmt.
Zu diesem Zweck hab ich im Kalender Konto und Kartennummer aufgeschrieben.

Wie Bernhard aber schon sehr richtig sagt, wird das Übel an sich nur am Rande erwähnt. Warum muss ich denn mein Fahrrad abschließen? Hat doch keiner was dran zu schaffen...

Allen natürlich viel Glück auf alle Zeit

Gruß, Patrick

(Schön die gestalterischen Möglichkeiten genutzt ;-)

[Glombi]

Für mich widerspiegelt sich auch in dieser Diskussion ein westeuropäisches Dilemma: Wir reden über die Kundin, wir reden über die Bank - aber nicht darüber, dass der Schweinehund, der das Verbrechen (!!!) begangen hat, der eigentliche Übeltäter ist. Die Existenz(notwendigkeit) eines "Weissen Rings" in Deutschland sollte uns eigentlich alle beschämen.

Sehr wahr! Aber was und vor allem wer soll was dagegen tun? Bin jetzt in Bayern und dachte: Hier bist Du sicher  Aber jetzt gibt es die große Verwaltungsreform und das betrifft auch die Polizei. Fazit: Weniger Polizei, weiter weg vom "Kunden".

Vor einiger Zeit wurde mir mein Auto aufgebrochen und so ca. 20 weitere. Es war ein "Tschechentrupp" (O-Ton Polizei) mit einem "Polenschlüssel". Damit ein Auto zu öffnen, dauert wohl nur ein paar Sekunden. Natürlich ist das Schloß hinüber und es muss ein neues her. Und wer darf das löhnen, ich natürlich 

Andreas

[Gandhi]

Hmm, habe da letztens einen Bericht zum Thema Auslandsabhebungen gehört, in dem beahuptet wurde, dass nicht immer (nur wenn 'zufällig' eine Verbindung zu stande kommt) die PIN tatsächlich mit DE verifiziert wird. Geld gibt es dann trotzdem...

Die ganze Systematik der EC-Automaten halte auch ich für unangenehm undurchschaubar (wohl aber aus gutem Grund). Daher gilt: Auf die Karte aufpassen! Aber immer noch besser als die ganzen Lastschriftverfahren und CreditCard Verfahren, die immer noch rein auf der Unterschrift basieren (OK, dann ist das Geschäft der Blöde, der bei Mißbrauch zahlen muss).

Zur Wahrscheinlichkeit sei gesagt: Klar ist es nicht auszuschließen, dass jemand spontan den Code durch raten knackt (durch Berechnung eher nicht - sonst wäre das wohl tatsächlich ein Massenphänomen). Allerdings ist die Wahrscheinlichkeit hierfür tatsächlich vermutlich geringer, als das die Frau tatsächlich nicht die PIN dabeiliegen hatte.

Trotzdem wäre es schön, wenn bei jeder Abhebung wenigstens ein Foto erstellt würde und zukünftig biometrische Authentifizierungen die Sicherheit erhöhten.

[pd]

Jep, mit diesen Fotos konnten bislang alle Gauner an unseren GAA ausgemacht werden. Es gibt aber tatsächlich viel GAA ohne Videoüberwachung. Und diese sind den gewieften Verbrechern natürlich bekannt...


Gruß, Patrick

[Gandhi]

Es war ein "Tschechentrupp" (O-Ton Polizei) mit einem "Polenschlüssel".

Und internationale Zusammenarbeit über Kulturgrenzen hinweg kann eben doch funktionieren...