Archiv

Posts Tagged ‘betrug’

mTAN-Betrugsfälle: Erst der Anfang

2013-10-08 2 Kommentare

Betrugsfälle bei mTAN häufen sich inzwischen genauso, wie sich die Medienberichte darüber häufen. Dass das mTAN-Verfahren nichts taugt, war seit Jahren klar und ich habe bereits Anfang 2011 darüber berichtet.

Die aktuelle Betrugswelle setzt scheinbar auf gezielte Angriffe, bei denen der Mobilfunkanbieter des Opfers getäuscht wird, und schließlich den Betrügern eine Zweit-SIM-Karte mit der Nummer des Opfers überlässt. Im Gegensatz zu den Phishing-Angriffen, die versuchen mit möglichst wenig Aufwand möglichst viele Opfer zu erwischen, geht es hier also um gezielte und relativ aufwändige Angriffe.

Somit ist es nur eine Frage der Zeit, bis auch Angriffe über das Mobilfunknetz stattfinden. Die Sicherheit von GSM (klassischen Mobilfunknetzen) ist inzwischen vorne und hinten zerlegt worden. Mitlesen von SMS ist mit einem normalen Computer, 2 TB an Festplatten/SSDs/USB-Sticks, frei erhältlicher Software und einem einfachen DVB-T-Stick, der bei Amazon rund 20 EUR kostet, möglich. Alternativ gibt es auch aktive Attacken, welche die SMS frei Haus an einen beliebigen Ort in der gleichen Location Area liefern und praktischerweise auch gleich verhindern, dass der rechtmäßige Empfänger die SMS bekommt. Auch die Verschlüsselung von UMTS ist inzwischen zumindest stark angeknackst. Alle diese Sachen sind öffentlich bekannt, und zwar seit Jahren. Das Bestellen von Zweit-SIM-Karten hatte ich bereits in meinem Artikel von 2011 als einen möglichen Angriffsweg von vielen genannt. Ich weiß nicht, ob es schon damals praktiziert wurde und öffentlich bekannt war, oder einfach nur so offensichtlich, dass ich von selbst drauf gekommen bin. Ich tippe auf letzteres, denn zunächst waren Handy-Trojaner das Mittel der Wahl, um an mTANs zu kommen.

Bisher war den Betrügern das Abfangen der SMS im Mobilfunknetz scheinbar zu aufwändig, aber das wird sich ändern, sobald die Mobilfunkbetreiber es schaffen, den betrügerischen Zweitsimkarten-Bestellungen einen Riegel vorzuschieben. Von diesem Angriff wird der Kunde dann erst einmal nichts mitbekommen.

Statt das vermurkste mTAN-Verfahren abzuschaffen und z. B. ChipTAN einzusetzen, was bei korrekter Umsetzung nahezu perfekte Sicherheit bieten würde, verteidigen Banken die mTAN, versuchen einzelne Varianten des mTAN-Betrugs mit kleineren Änderungen abzustellen, und schieben zum Teil die Schuld ihren Kunden in die Schuhe, indem sie immer wieder die Sicherheit des Verfahrens betonen und auf die „Sorgfaltspflicht“ des Kunden hinweisen (Virenscanner etc.). In den oben verlinkten Berichten wird immer wieder erwähnt, dass Kunden zum Teil noch nicht wissen, ob sie ihr Geld zurückbekommen, denn das sei eine Einzelfallentscheidung…

Der Bankenverband geht laut Pressestelle davon aus, dass die Angriffe nicht auf die Praxis übertragbar seien und sich deswegen nicht auf das Onlinebanking auswirken. Beispielsweise sei physischer Zugriff auf die SIM nötig (andere Meinung), physische Nähe zum Mitschneiden (5-35 km laut Folie 13/PDF-Seite 14 dieser Präsentation), die Daten müssen offline und damit verzögert entschlüsselt werden (hier wird der Aufwand bei Verwendung von SSDs auf die Größenordnung von 10 Sekunden geschätzt), die TMSI-Übermittlung sei nötig und nur bei manchen Providern unterstützt (d.h. wenn das tatsächlich ein Hindernis ist, dann nur für manche Netze), und eine stille SMS könne nur der Provider schicken (diese und diese Android-App behaupten es auf gerooteten Geräten zu können, aber evtl. filtern die Provider; nicht getestet – andere Methoden wie kurze Anrufe wurden aber genannt).

Zudem sei die mTAN nur ein Faktor von mehreren (d.h. zusätzlich braucht der Angreifer die PIN). Dieses Argument ist allerdings Humbug, denn das mTAN-Verfahren dient ja gerade dazu, das System auch bei bekannter PIN sicher zu halten – sonst könnte man einfach iTAN weiternutzen oder gar ganz auf TANs verzichten.

Meine Meinung nach ist das wieder mal ein klarer Fall von „Kopf so lange in den Sand stecken, bis die Angriffe so oft passieren, dass man das Problem nicht mehr wegreden kann“, wie damals bei den EC-Karten und seitdem zig anderen Verfahren. Es wird sicher nicht einfach sein, diese Angriffe durchzuführen, was Kriminelle eine gewisse Zeit lang davon abhalten wird. Aber früher oder später wird es passieren – und der Kunde kann nichts tun, um das Abfangen der mTAN zu verhindern, er kann lediglich seine PIN schützen wie schon bei iTAN. Wenn jemand fahrlässig handelt, dann sind es die Banken, die ihre mTANs über unsichere Kanäle verschicken, deren Unsicherheit seit Jahren bekannt ist – und trotzdem immer wieder behaupten, das Verfahren sei sicher. Kurz, ich bleib bei ChipTAN bzw. iTAN und stocke meine strategischen Popcornreserven auf.

Advertisements

Vorsicht, unfaire Banken-AGB-Änderungen

2009-10-10 16 Kommentare

Alle deutschen Banken haben in den vergangenen Wochen AGB-Änderungen angekündigt, als Reaktion auf die EU-Zahlungsdiensterichtlinie bzw. deren Umsetzung in deutsches Recht. Die Banken weisen auf die Änderungen unterschiedlich transparent hin und gestalten die neuen AGB auch unterschiedlich kundenfreundlich. Die Änderungen umfassen unter anderem, dass Banken in Zukunft auch bei Papierüberweisungen nicht mehr prüfen müssen, ob Empfängerkontonummer und -name zusammenpassen (bisher war das nur bei Onlineüberweisungen so). Das Zurückrufen von Überweisungen, welches zumindest theoretisch bisher in einem engen Zeitrahmen möglich war, wurde glaube ich auch eingeschränkt. So weit, so schlecht, für jemanden der eh immer Online überweist ändert sich nicht viel – dachte ich. Falsch gedacht, erfahre ich jetzt durch einen Artikel bei der SZ: Wenn einem ohne Verschulden die EC-Karte geklaut wird, und diese dann genutzt wird, bevor man sie sperren kann, haftet man bis 150 EUR für den entstandenen Schaden. (Siehe dazu die Überlegungen unten zum Thema „Missbrauch ohne PIN“.) Wie ich zum Schluss herausgefunden habe, gibt es ähnliche Regelungen auch für das Onlinebanking, siehe unten!

Die Postbank verschickt „kleine“ Broschüren, Format ungefähr DIN Lang, Schriftgröße ca. 8. Umfang: 104 Seiten. Auf den ersten 7 Seiten gibt es eine „kurz“zusammenfassung der Änderungen in AGB und Bedingungen für einzelne Produkte. Zu „Bedingungen für die Postbank Card, für die MasterCard und VISA Card“ heißt es dort nur:

In den Bedingungen für die erwähnten Karten werden u. a. die Regelungen zur Sperrung der Karte, zum sorgfältigen Umgang mit Karte und Geheimzahl (PIN) sowie zur Haftung bei missbräuchlichen Verfügungen mit der Karte an das neue Zahlungsrecht angeglichen.

Ein schöner Euphemismus für „In Zukunft haften Sie bis 150 EUR, wenn Ihnen jemand die Karte klaut, selbst wenn sie alle Sicherheitsregeln beachten und den Diebstahl melden sobald sie ihn bemerkt haben“. Es wird auch der Eindruck erweckt, die Änderungen müssten aufgrund des neuen Gesetzes (hier: der neue § 675v BGB) so sein. Natürlich muss die Bank den Kunden nicht in die Haftung nehmen, sie nutzt aber die Gelegenheit, im Rahmen von zahlreichen unbedeutenden Änderungen auch gleich noch diese neue Möglichkeit so gut es geht auszunutzen. Verschärfend kommt hinzu, dass in den AGB selbst die Änderungen hervorgehoben werden, in den anderen Abschnitten jedoch nicht. So entsteht der Eindruck, der Rest hätte sich nicht geändert – auch ich bin ursprünglich darauf reingefallen. Die bisherige Regelung war so einfach wie kundenfreundlich (die alten Bedingungen können zumindest jetzt wo ich das hier schreibe noch hier abgerufen werden):

[Die Bank] übernimmt auch die bis zum Eingang der Verlustanzeige entstehenden Schäden, wenn der Karteninhaber die ihm nach diesen Bedingungen obliegenden Pflichten erfüllt hat.

Die neue Regelung von Seite 70 der Broschüre (Hervorhebung von mir):

Verliert der Karteninhaber seine Karte oder PIN, werden sie ihm gestohlen oder kommen sie sonst abhanden und kommt es dadurch zu nicht autorisierten Kartenverfügungen in Form von
– Abhebung von Bargeld an einem Geldautomaten
– Verwendung der Karte an automatisierten Kassen von Handels- und Dienstleistungsunternehmen
– Aufladung der GeldKarte
– Verwendung der Karte zum Aufladen eines Prepaid-Mobilfunk-Kontos,
so haftet der Kontoinhaber für Schäden, die bis zum Zeitpunkt der Sperranzeige verursacht werden, in Höhe von maximal 150 Euro, ohne dass es darauf ankommt, ob den Karteninhaber an dem Verlust, Diebstahl oder sonstigen Abhandenkommen ein Verschulden trifft.

Bei grober Fahrlässigkeit gilt die Begrenzung auf 150 EUR „natürlich“ nicht. Unter „automatisierten Kassen“ dürften normale Kassen mit EC-Terminal zu verstehen sein und nicht nur Self-Checkouts oder Automaten mit Kartenzahlung (z. B. DB-Ticket-Automaten), siehe hier. UPDATE: Die Postbank-Pressestelle sieht das nach Rücksprache mit den Juristen anders, in einer digital signierten Mail schreibt sie: „Eine „automatisierte Kasse“ ist eine solche, die ohne Einsatz von Personal arbeitet. Die Regelung bezieht sich also nur auf Automaten.“ – ich kann das nicht beurteilen, bin aber froh, diese Aussage signiert vorliegen zu haben..

Einige andere nette Sachen, von denen ich aber nicht genau weiß ob ich sie richtig verstanden habe:

  • In den AGB war bisher sichergestellt, dass die Postbank AGB-Änderungen zwar für Onlinekunden Online übermitteln darf, „wenn die Art der Übermittlung es dem Kunden erlaubt, die Änderungen in lesbarer Form zu speichern oder auszudrucken„. Jetzt reicht es, wenn die Bank die AGB „anbietet“, der zitierte Teilsatz mit dem Speichern bzw. Ausdrucken ist weggefallen.
  • Wie wohl im Gesetz festgelegt, gibt es bei den Kartenbedingungen eine Regelung, dass bei unautorisierten Kartenverfügungen die Bank den Betrag unverzüglich und ungekürzt erstatten muss. (S. 68, 12.1) Allerdings findet sich eine Ausnahme (12.4, S. 69f.), welche Ansprüche gegen die Bank z. B. dann ausschließt, wenn (Abs. 2) „die einen Anspruch begründenden Umstände auf einem ungewähnlichen und unvorhersehbaren Ereignis beruhen, auf das die Bank keinen Einfluss hat und dessen Folgen trotz Anwendung der gebotenen Sorgfalt von ihr nicht hätten vermieden werden können“. Ob das z. B. auch abdeckt, wenn jemand die als sicher geltenden Kryptoschlüssel der Bank knackt und darüber das Konto leert? (Ich befürchte, das erfährt man verbindlich erst nach 3-10 Prozessjahren vom Richter)

UPDATE: Zum zweiten Punkt habe ich eine Auskunft der Postbank-Pressestelle:

Frage:
Punkt 12.4 Abs. (2) der Bedingungen für die PostbankCard schließt Ansprüche gegen die Bank für Fälle aus, die auf einem ungewöhnlichen, unvorhergesehenen Ereignis beruhen, auf das die Bank keinen Einfluss hat und dessen Folgen sie nicht vermeiden konnte. Bezieht sich das auch auf den Anspruch des Kunden aus 12.1, dem Kontoinhaber Beträge nicht autorisierter Kartenverfügungen zu erstatten?

Antwort:
Formal gesehen ist das richtig. Die Postbank und die übrigen Banken sowie auch alle Sparkassen setzen damit § 676c Nr. 1 BGB um. Danach sind Erstattungs- und Schadensersatzansprüche ausgeschlossen, wenn die einen Anspruch begründenden Umstände auf einem ungewöhnlichen und unvorhersehbaren Ereignis beruhen, auf das diejenige Partei, die sich auf dieses Ereignis beruft, keinen Einfluss hat, und dessen Folgen trotz Anwendung der gebotenen Sorgfalt nicht hätten vermieden werden können. Der deutsche Gesetzgeber war gehalten, eine entsprechende Regelung in das deutsche Recht einzuführen, weil sich eine inhaltsgleiche Regelung in Art. 78 der Zahlungsdiensterichtlinie befindet. Im Ergebnis dürfte die Regelung in der Praxis keine Rolle spielen. Es sind so gut wie keine Fälle denkbar, in denen eine nicht autorisierte Lastbuchung auf einem ungewöhnlichen und unvorhersehbaren Ereignis beruht.

Wie das bei den geknackten Kryptoschlüsseln aussehen würde, weiß ich natürlich trotzdem nicht. Ungewöhnlich wäre es sicher und bei entsprechend plötzlichen Entdeckungen in der Kryptoanalyse sicher auch unvorhersehbar, ob die Bank aus rechtlicher Sicht darauf „Einfluss“ hat kann ich nicht beurteilen. Ich bezweifle aber, dass Banken sich bei einem weitreichenden Missbrauch trauen würden, das Vertrauen der Kunden derart zu untergraben und den Abschnitt auszunutzen, und dass die Politik da nicht einschreiten würde – trotzdem steht das erst einmal so drin.

Ich bin mir sicher, dass die über 100 Seiten der Broschüre noch andere „nette“ Sachen enthalten, doch ein Anwalt, der die alle raussucht und erklärt dürfte mehr kosten als auf dem Konto drauf ist.

Auch eine Broschüre der Frankfurter Sparkasse 1822 habe ich in die Finger bekommen. 31 Seiten DIN A4, davon 5 mit Erklärung der Änderungen in fast normaler Schriftgröße 10. Der Rest scheint mir noch kleiner als bei der Postbank gedruckt zu sein. Es fehlen Hervorhebungen, was sich geändert hat, sodass der Kunde keine realistische Chance hat, sich darüber zu informieren. Die Regelung für EC-Karten ist wie bei der Postbank formuliert, allerdings findet sich wenige Absätze darunter die Aussage, dass die Sparkasse alle Schäden übernimmt, wenn der Kunde sich nicht grob fahrlässig verhalten hat, das glaubhaft darlegt und Anzeige bei der Polizei erstattet. Die Frankfurter Sparkasse verhält sich in diesem Punkt also fair, durch die fehlende Hervorhebung der Unterschiede sind die Änderungen aber äußerst intransparent.

Eine PDF-Version der Comdirect-Broschüre habe ich mir auch anschauen können. Inhaltlich sieht es ähnlich wie bei der Postbank aus: 150 EUR Selbstbeteiligung auch ohne Verschulden, die zusätzlichen Punkte finden sich so ähnlich auch wieder. Änderungen sind in der 35 A4-Seiten in kleiner Schriftgröße umfassenden Infobroschüre zwar durchgehend markiert, bestehen zum Teil aber schonmal aus fast komplett durchgestrichenen und neu eingefügten Seiten, sodass man die Unterschiede auch nicht wirklich sehen kann. Auf die 150 EUR Selbstbeteiligung wird in der Zusammenfassung hingewiesen, es wird aber nur die neue Regelung erwähnt. Die bisherige Regelung (wie bei der Postbank Übernahme der Schäden durch die Bank wenn der Karteninhaber die Sicherheitsregeln eingehalten hat) kann man im Volltext nachlesen, da Änderungen inkl. Streichungen gekennzeichnet sind.

Die Pressestelle der Postbank war für eine Stellungnahme nicht zu erreichen. (Update: Inzwischen schon.) Die Frankfurter Sparkasse habe ich nicht befragt, da mir keine konkreten kundenunfreundlichen Sachen aufgefallen sind (wie auch, wenn die Änderungen nicht markiert sind), und ich daher keine gezielten Fragen hätte stellen können. Die Pressestelle der Comdirect war sehr freundlich und ist gut auf meine Fragen eingegangen. Außer den genannten Punkten sollen keine weiteren Sachen, die für den Kunden nachteilig sein könnten, in den neuen AGB stehen. Weiterhin wurde darauf verwiesen, dass die Comdirect bei allen Missbrauchsfällen eine Einzelfallprüfung vornimmt und wenn der Kunde nichts falsch gemacht hat, ggf. den Schaden aus Kulanz trägt. Dabei handelt es sich natürlich um eine freiwillige Regelung, auf die man sich nicht verlassen kann. Allerdings dürfte es auch im Sinne der Bank sein, sich kulant zu zeigen, weil ansonsten nicht nur der Ruf der Bank, sondern auch der des bargeldlosen Zahlens leidet und mehr Menschen auf Bargeld ausweichen. Ergänzung: Bei „leichter“/“normaler“ Fahrlässigkeit gilt die Begrenzung auf 150 EUR auch. Ob das eine Verbesserung ist, bezweifle ich, da ich denke dass die bisher für eine Haftung des Kunden nötige Missachtung der Sicherheitsregeln eh unter „grob fahrlässig“ erfasst wäre.

Die Missbrauchsmöglichkeiten einer Karte sind mir nicht ganz klar. Auf der einen Seite kann natürlich ein Räuber die Karte an sich reißen und mit vorgehaltenem Messer die Herausgabe der PIN verlangen. Dann wäre man auf die Kulanz der Bank angewiesen. Andererseits kann man aber mit einer gestohlenen Karte auch per Unterschrift (ohne PIN) zahlen. Dann handelt es sich um eine Lastschrift, welche man innerhalb von 6 Wochen widerrufen kann. Laut Pressestelle der Comdirect bleibt man also bei einem Kartenmissbrauch ohne PIN nicht auf dem Schaden sitzen, das Pech hätte dann der Händler, der die gefälschte Unterschrift akzeptiert hat. Ob das so stimmt, kann ich nicht beurteilen, ich gehe aber davon aus. UPDATE: Bestätigt von der Postbank-Pressestelle.

Ergänzung: In der Vergangenheit sind einige Fälle bekannt geworden, die gezeigt haben, dass das damalige Sicherheitskonzept der Banken eine Einladung zum PIN-losen Missbrauch war. Beim derzeitigen System sind mir sollte Missstände nicht bekannt, insbesondere werden die PINs heutzutage nicht mehr mies verschlüsselt auf dem Magnetstreifen abgelegt.

Den richtigen Hammer kommt aber zum Schluss: Alle drei Geldinstitute, Postbank, Frankfurter Sparkasse und Comdirect, haben eine vergleichbare Haftungsklausel bis 150 EUR auch beim Onlinebanking. Fast wortgleich steht in den AGB:

(1) Beruhen nicht autorisierte Zahlungsvorgänge vor der Sperranzeige auf der Nutzung eines verlorengegangenen, gestohlenen oder sonst abhandengekommenen Authentifizierungsinstruments, haftet der Kontoinhaber für den der Bank hierdurch entstehenden Schaden bis zu einem Betrag von 150 Euro, ohne dass es darauf ankommt, ob den Teilnehmer an dem Verlust, Diebstahl oder sonstigen Abhandenkommen des Authentifizierungsinstruments ein Verschulden trifft.

(2) Kommt es vor der Sperranzeige zu nicht autorisierten Zahlungsvorgängen aufgrund einer missbräuchlichen Verwendung eines Authentifizierungsinstruments, ohne dass dieses verlorengegangen, gestohlen oder sonst abhandengekommen ist, haftet der Kontoinhaber für den der Bank hierdurch entstehenden Schaden bis zu einem Betrag von 150 Euro, wenn der Teilnehmer seine Pflicht zur sicheren Aufbewahrung der personalisierten Sicherheitsmerkmale schuldhaft verletzt hat.

Bemerkt habe ich das erst heute per Zufall, als ich im AGB-PDF nach „150“ suchte um die Stelle zur Kartenhaftung wiederzufinden. Die Pressestellen sind heute natürlich nicht besetzt. Probleme sehe ich aus mehreren Gründen: Die PIN und die TAN-Listen werden per Post verschickt. Auch wenn die Briefe meist mehrere Tage getrennt voneinander verschickt werden, kann es passieren, dass diese gestohlen werden. Dafür würde nach dem Wortlaut der Regelungen der Kunde haften. Man müsste im Schadensfall auf die Kulanz der Banken (die sich aber gerne darauf berufen, dass sowas nicht passieren kann, da die Briefe ja separat verschickt werden) oder auf einen Richter hoffen, der die Regelung für unverhältnismäßig erklärt. Beides ist ein eigentlich nicht akzeptables Risiko. UPDATE: Laut Auskunft der Postbank-Pressestelle (per digital signierter Mail) haftet in diesem Fall dann doch die Bank nach § 675m (4) BGB, so wie es sein sollte. Aus den AGB herauslesen ohne Kenntnis des Gesetzestextes kann das der Kunde aber nicht. Der Absatz (2) zeigt, dass ein Unterschied gemacht wird zwischen einem gestohlenen Authentifizierungsmerkmal und einem kopierten. Bei Angriffen mittels Trojaner dürfte der erste Absatz somit nicht anzuwenden sein. UPDATE: Bestätigt von der Postbank-Pressestelle. Vor solchen Angriffen kann sich ein Normalnutzer meines erachtens nicht schützen – der einzige Schutz ist, dass die Bank den Schaden trägt, wenn die Sorgfalt beachtet wurde (also PIN nicht aufgeschrieben, die nutzlose Antivirensoftware aktuell gehalten etc.)

Durch die neuen AGB kann man meiner Ansicht nach also beim Onlinebanking für Vorfälle haften, die man nicht vermeiden kann, z. B. in der Post gestohlene Briefe. Ergänzung: Auf eine Stellungnahme von Postbank und Sparkasse warte ich noch, die Comdirect verweist wieder auf Einzelfallprüfung und Kulanz. In den alten AGB habe ich keine eindeutige Regelung zur Haftung gefunden.

Fazit: Die Frankfurter Sparkasse 1822 ist wenigstens bei der Kartenzahlung fair. Sowohl Postbank als auch Comdirect nutzen meiner Meinung nach auf unfaire Weise sowohl das neue Gesetz voll aus als auch die tolle Gelegenheit, den Kunden unbemerkt ein paar nette neue Überraschungen in die AGB zu setzen. Keiner kann ernsthaft erwarten, dass ein Kunde einen solchen Wust an kleingedrucktem Text tatsächlich liest. Ich finde es daher auch schade, dass AGBs einer solchen Länge zulässig sind.

An dieser Stelle bleibt auch nur, unseren Politikern für diese tollen Regelungen zu danken. Denn nach Art. 61 Abs. 3 der EU-Richtlinie dürfen Mitgliedsstaaten durchaus diese Haftungsgrenze nach unten anpassen.

Wer noch weitere, bedeutende Fiesheiten kennt oder juristisch fundiertes und mit Quellen belegtes Wissen beitragen kann, ist herzlich dazu eingeladen, unten die Kommentarfunktion zu nutzen. Auch Hinweise auf Banken mit fairen AGB nehme ich entgegen, bitte aber mit Link auf eine online einsehbare Version der neuen AGB.

Sicherheitshalber der Hinweis: Ich bin kein Jurist, außerdem bin ich noch ein Mensch, und Menschen können sich irren. Ich werde Fehler natürlich korrigieren, wenn ich davon erfahre.

Kopierschutz stinkt (SecuROM bei Overlord)

2008-06-29 3 Kommentare

Ich habe mir gestern die Demo von einem Computerspiel namens Overlord heruntergeladen, welches von Codemasters herausgegeben wird. Selbst diese Demo ist jedoch mit einem Kopierschutz namens SecuROM versehen. (Nachdem StarForce so weit verschärft wurde und einen derart schlechten Ruf bekam, dass die Käufer mit StarForce geschützte Produkte boykottierten, sind die Hersteller wohl auf SecuROM umgeschwenkt. Der Hersteller SecuROM aber offenbar StarForce immer ähnlicher gemacht.) Dieser Kopierschutz verweigerte bei mir den Start – „Ein benötigtes Sicherheitsmodul kann nicht aktiviert werden.

Es war also wieder einmal allein ein Kopierschutz daran Schuld, dass ein legal erworbenes Spiel (wer es überlesen hat: Es war eine frei verfügbare Demoversion!) Probleme macht. Ein Link in der ansonsten nichtssagenden Fehlermeldung („Dieses Programm kann nicht gestartet werden (5024)“) klärt auf:

SecuROM™ has determined that a Process Explorer program is running in the background.

Das ganze gibt es noch in der Variante „some File Monitor program“ und noch vielen vielen anderen. Interessant daran war, dass ich die entsprechenden Programme längst beendet hatte. (Wie ich später erfuhr, bleiben dabei wohl Treiber im Speicher zurück.) Erst nach einem kompletten Systemneustart lief das Spiel dann endlich.

Die Fehlermeldungsseiten sind durchnummeriert, und so kann man sich auch andere Fehlermeldungen anschauen. Besonders interessant ist zum Beispiel Nummer 7001, „an emulation tool has modified your PC settings“. Wenn ich einen Emulator installiere, dann darf der Sachen verändern, im Gegensatz zu irgendeinem Kopierschutztreiber, den ich nicht haben will und dessen Installation ich nicht zugestimmt habe. Als „Lösung“ wird vorgeschlagen, manuell in der Registry bestimmte Einträge zu löschen, „um das Problem mit dem Start des Spieles zu lösen“, wobei betont wird, dass die modifizierten Einträge nicht durch SecuROM verursacht wurden, und man keine Verantwortung für Schäden übernimmt, die durch befolgen der Anleitung entstehen. Das „Problem mit dem Start des Spieles“ ist natürlich auf den Kopierschutz zurückzuführen, und zwar ausschließlich, weil die geänderten Einstellungen das Spiel sicherlich nicht beeinträchtigen.

Anonsten darf man sich zwecks Fehlerbehebung gerne an den SecuROM Support wenden. Dazu lässt man das Programm eine Analyse erstellen, welche man dann an SecuROM schicken soll. Die Analysedatei soll keinerlei persönliche Daten enthalten. Nachprüfbar ist es leider nicht, da die Datei irgendwie kodiert ist, aber in der üppigen Größe von 256 KB (ein viertel Megabyte!) könnte man problemlos alle interessanten Infos unterbringen. Und was zu persönlichen Daten zählt, ist Einstellungssache. Unter Umständen verraten ja auch Prozessnamen schon einiges, und zumindest die E-Mail-Adresse hat SecuROM ja auch (durch die Anfrage).

Diese Probleme sind umso ärgerlicher, wenn einem bewusst wird, dass sie nur durch den zusätzlichen, unnötigen Kopierschutz entstehen. Ohne Kopierschutz würde das Spiel problemlos laufen. Das dürfte auch auf die sicherlich schon existierenden geknackten Versionen zutreffen, wieder einmal sind ehrliche Käufer die Verarschten.

Mein Rechner wird normalerweise nur alle ein bis zwei Wochen wirklich neu gestartet (wofür gibt es den „Ruhezustand“ aka Suspend to Disk), und Tools wie Filemon und ProcExp nutze ich fast jeden Tag, zum Beispiel um von irgendwelchen Prozessen benutzte Dateien zu entsperren oder festzustellen, welches Programm gerade intensiv meine Festplatte zumüllt (und ihm dann ausschließlich die eine Datei wegzunehmen). Wie sich einige vielleicht schon denken können, kenne ich nun ein Spiel, welches ich mir sicherlich nicht kaufen werde, auch wenn es sonst ganz nett aussieht.

Ich bezweifle, dass auf der Packung des Spieles steht, dass das Spiel nur benutzt werden kann, wenn man Emulatoren deinstalliert, seinen Rechner genau nach Vorgaben des Herstellers einrichtet und auf sämtliche Debuggingtools verzichtet. Ich bezweifle also, dass Käufer so einer Einschränkung wirksam zustimmen. So wie ich das sehe, dürfte es sich um einen Sachmangel handeln, der eine Rückgabe des Spiels (auch nach Öffnen der Verpackung!) erlauben würde (aber ich bin kein Anwalt).

Da ich schon befürchtet habe, dass ein Kopierschutztreiber mitinstalliert werden könnte, las ich die EULAs besonders aufmerksam. Unabhängig davon, ob diese überhaupt nach deutschem Recht wirksam sind (bei Demoversionen könnte das im Gegensatz zu Verkaufsversionen der Fall sein), bezweifel ich stark die Zulässigkeit von Klauseln wie dieser:

Angesichts des dauerhaften Schadens, der Codemasters bei unzulänglicher Durchsetzung der Bedingungen dieser Vereinbarung entstünde, stimmen Sie der Berechtigung von Codemasters zu, auch ohne Kaution, sonstige Sicherheiten oder Nachweis erlittenen Schadens Wiedergutmachung in Bezug auf Verletzungen der Vereinbarung zu fordern, die über die Mittel hinausgehen können, die Codemasters unter der anwendbaren Rechtsprechung zustehen.

Wenn ich es richtig verstehe, räumt sich Codemasters das Recht ein, bei Verstößen gegen den „Vertrag“ völlig beliebige „Schadensersatzansprüche“ geltend zu machen, und zwar unabhängig davon, was denen überhaupt zusteht. Naja, in Großbritannien, wo der Gerichtsstand sein soll, ist ja so einiges möglich. Ob aber so eine Gerichtsstandsvereinbarung gegenüber Privatpersonen zulässig ist, wage ich anzuzweifeln. Zur Installation eines Kopierschutzes fand ich jedoch nichts, habe also nicht zugestimmt.

Ich habe keine Ahnung, ob und was für Treiber ohne meine Zustimmung auf meinem System installiert wurden und wie ich sie wieder wegbekomme. Laut dem nach Spielende gestarteten Process Explorer lief die eigentlich beendete Overlord.exe immer noch, und kurz danach hat sich mein halbes Windows aufgehängt, nachdem beim Zugriff auf meine mit ext2 formatierte und per Spezialtreiber eingebundene externe Platte wohl was schiefgegangen ist. Kann natürlich reiner Zufall sein (erlebt hatte ich sowas bisher nicht), könnte aber auch mit dem gerade frisch installierten Kopierschutz zusammenhängen. Und während ich den Ext2-Treiber manuell installiert habe und er sich auf meinem Rechner aufhalten darf, trifft das auf SecuROM-Treiber nicht zu. Wenn es also eine Inkompatibilität gibt, liegt die volle Schuld dafür bei SecuROM und SecuROM allein. Der Ext2-Treiber war vor SecuROM da.

UPDATE: Ein Leser hat in einem Kommentar darauf hingewiesen, dass der Kopierschutz auch noch eine Shell Extension installiert, die in bestimmten Fällen den Explorer zum Absturz bringt. Vermutlich dient die dazu, bei kopiergeschützten Spielen zusätliche Einträge im Kontextmenü anzuzeigen. Da ich darauf nicht besonders Wert lege (im Gegensatz zu einem sauberen, schnellen und stabilen System), habe ich die Dateien (Plural, es gab nämlich noch eine zweite Version, „CmdLineExt03.dll“) entfernt, und um eine Neuinstallation zu erschweren einen gleichnamigen Ordner angelegt (und noch ein wenig die Registry aufgeräumt). Mal schauen ob es hilft. Interessant ist, wie sich selbst dieses eigentlich nicht sicherheitskritische Modul mit einem unauffälligen Namen getarnt wird, statt offen und ehrlich „SecuROMContextMenu.dll“ oder so zu nehmen.

Citibank Telefon-Phishing

2008-06-25 1 Kommentar

Vor einigen Tagen habe ich etwas Interessantes mitbekommen:

Jemand erhielt einen Anruf, bei dem die Anruferin behauptete, von der Citibank zu sein, und irgendwelche Kontoangaben überprüfen wollte. So fragte die Dame aus dem Callcenter nach dem Geburtsdatum, welches bei der Citibank auch Teil der Kontonummer ist. Da die angerufene Person jedoch wusste, dass Betrüger gerne solche Informationen herausfinden wollen, bekam die Anruferin keine Antwort, sondern nur die Gegenfrage, worum es den ginge. Dies wollte sie jedoch nicht sagen, nannte aber ihren Namen und bejahte die Frage, ob sie aus der Filiale xyz anrufe, woraufhin die angerufene Person das Gespräch mit dem Hinweis, man werde dort anrufen, beendete.

Ein Anruf bei der erwähnten Filiale ergab die Antwort, dass dort keiner mit diesem Namen arbeitet, besonders gewillt, dem möglichen Betrug nachzugehen, war die Filiale jedoch nicht.

So weit, so gut, möchte man meinen, ein erfolgloser Telefon-Phishingversuch, selten, aber nicht unbekannt. Eine Nachfrage bei der zuständigen Stelle der Polizei ergab, dass der Beamtin solche Anrufe bekannt waren – aber keineswegs als Betrugsmasche, sondern als echte Anrufe von einer Bank, die wohl eine Versicherung verkaufen wollte.

Auf eine erneute Nachfrage bei der Citibank wurde dies dann für möglich gehalten.

Entweder es hat sich also um einen Betrugsversuch gehandelt, der aber der Bank ziemlich egal war, oder der Anruf war wirklich von der Bank.

Den zweiten Fall fände ich persönlich bedenklicher: Statt den Kunden beizubringen, sorgsam mit persönlichen Daten umzugehen, werden sie darauf trainiert, diese Daten über das Telefon an irgendwelche Anrufer, die behaupten, von der Bank zu sein, herauszugeben.

Dies gilt auch für den Fall, dass der Anruf nicht von der Citibank kam, denn der betroffenen Person wurde gesagt, dass solche Anrufe durchaus vorkommen können.

Als nächstes könnte die Citibank ja gleich auch noch anfangen, E-Mails verschicken, mit der Bitte, Name, Adresse, Kontonummer, Online-PIN und 10 TANs einzugeben, um die Kontodaten zu prüfen.

Egal welcher der Fälle zutrifft, die Citibank hat sich nicht gerade mit Ruhm beckleckert und wird wohl in Zukunft mindestens einen Kunden weniger haben.

Auch für mich steht nach dieser verantwortungslosen Aktion eine weitere Bank fest, bei der ich wohl kein Konto haben werde, zumal die Citibank bereits dafür bekannt geworden ist, dass sie ziemlich unsichere TAN-Listen erzeugt hat, und das, was man so im Internet findet, ist auch nicht gerade Vertrauen erweckend. UPDATE: Und noch ne Runde, diesmal hat sich die Citibank USA die PINs klauen lassen. Da ist es ja schon grob fahrlässig, bei denen ein Konto zu haben.