Jeder bezahlt seine Rechnungen, der eine online über das Internet, der andere klassisch per Überweisungsformular. Letztendlich wird alles in digitale Daten umgewandelt und zur Bundesbank übertragen. Doch wie sicher ist das eigentlich? Ohne Verschlüsselung geht heute nichts mehr. Bei uns in der Firma spielt Sicherheit und Verschlüsselung eine große Rolle.
Selbst wer dem ganzen Onlinebanking nicht vertraut, muß dennoch seine Daten zur Bank bringen. Üblicherweise macht man das auf Überweisungsformularen. Diese werden dann eingescannt und es erfolgt eine automatische Schriftenlesung. Doch alles, was nicht erkannt wurde, muß von Menschen nachbearbeitet werden. Ist das sicher?
Nun, Menschen machen Fehler. Das ist nun einmal so. Deshalb gibt es Computerprogramme, die solche Fehler erkennen sollen. Eine IBAN hat zum Beispiel ein spezielles Format und ist prüfzifferngesichert. Eine deutsche IBAN beginnt zum Beispiel immer mit DE, hat exakt zweiundzwanzig Stellen und natürlich die Prüfziffer. Das sollte ziemlich sicher sein und in der Regel ist es das auch. Nur wie gesagt, es sind Menschen, die die Maschinen bedienen. Und wenn man plötzlich eine Überweisung über fünfzigtausend Euro auf dem Bildschirm hat, ist man da nicht der Versuchung erlegen, beim Empfänger seine eigene IBAN einzutragen? Die meisten Menschen sind ehrlich, aber eine Gefahr ist das schon. Und so werden solche Änderungen dann noch von einer zweiten Person kontrolliert und so fällt der Betrug auf, und ein Mitarbeiter wird seinen Job verlieren. Ich habe so etwas noch nie erlebt, dennoch haben wir auch solche Sicherheitsmaßnahmen. Was hin und wieder vorkommt, daß ein Mitarbeiter einen Betrag falsch liest. Manchmal sind die Ziffern auch wirklich schwer zu erkennen. Daher gibt es oft eine Zweiterfassung der Beträge, oder es wird von einem Belegstapel eine Abstimmsumme gebildet. Schwierig ist auch immer der Verwendungszweck, speziell wenn er handgeschrieben ist. Wenn dort Rechnungsnummern angegeben sind, so kann der Zahlungsempfänger die Überweisung vielleicht nicht richtig zuordnen und es kommt zu einer Mahnung. Anders als bei einer IBAN oder bei dem Betrag kann man beim Verwendungszweck programmtechnisch keine weiteren Prüfungen hinterlegen. Man hilft sich oft, indem man eine visuelle Kontrolle durchführt. So bekommt man auch beim Verwendungszweck eine gute Qualität und die Überweisung kann sicher ausgeführt werden. Aber wie geht es dann weiter? Die erfaßten Daten werden dann in eine elektronische Datei zusammengefaßt, und da lauern wieder Gefahren. Warum muß man die Daten mühsam vom Bildschirm abtippen und dort manipulieren? Man kann doch seine eigene IBAN in eine fertige Datei einfügen. Administratoren haben meist solche Berechtigungen oder können sich diese verschaffen. Daher werden üblicherweise Vorkehrungen getroffen, um Dateien gegen Manipulation zu sichern. Dazu gibt es verschiedene Möglichkeiten. Man kann die Dateien verschlüsseln oder mit einem Hash versehen. Und natürlich sollen die Administratoren standardmäßig nicht an die Daten kommen, sondern nur mit einem speziellen Zugang. Absolute Sicherheit wird es nie geben, aber durch eine gewisse Kontrolle und einem geschulten Auge bei der Auswahl des Personals kann man auch hier erreichen, daß es zu keinen Vorfällen kommt. Ich habe jedenfalls noch nie gehört, daß ein Administrator eine Zahlungsdatei manipuliert hat. Zur Sicherheit gehört aber auch, daß Daten sicher ihr Ziel erreichen und nicht zwischendurch verlorengehen oder zu spät gesendet werden. Dazu müssen alle Systeme immer funktionieren. Besonders kritische Systeme gibt es daher oft in zweifacher Ausführung. Fällt ein System aus, übernimmt das andere. So ist das jedenfalls in der Theorie. Damit das auch in der Praxis funktioniert, werden regelmäßig Notfälle simuliert, bei denen das automatische Umschalten auf das Backupgerät getestet wird. Diese Tests werden sorgfältig geplant und die Testdurchführung wird akribisch protokolliert. Da geht nichts schief.
Es werden auch regelmäßige Audits durchgeführt, um die Sicherheit zu bewerten.
Auch in meiner Firma führen viele Kunden regelmäßige Audits bei uns durch. Das bedeutet jedesmal viel Vorbereitung und Streß.
Bei diesen Audits wird hin und wieder auch die Softwareentwicklung unter die Lupe genommen. Was nützen die besten und ausfallsichersten Systeme, wenn die Software abstürzt oder gar fehlerhafte Dateien erzeugt? Ich bin selbst Softwareentwickler und muß da das eine oder andere Audit über mich ergehen lassen. Und natürlich versuche ich immer, gute Software zu schreiben. Manchmal gelingt mir das auch. Und damit nichts passiert, falls ich doch mal einen Fehler übersehen habe, wird die Software vor dem produktiven Einsatz intensiv getestet. Dafür gibt es normalerweise ein eigenes Testsystem, in der alle neuen Programme und alle Änderungen gründlich getestet werden. Auch die Bundesbank betreibt ein Testzentrum, so daß man Zahlungsdateien dorthin übertragen kann. Unsere Firma nutzt diese Möglichkeit sehr intensiv. Als Entwickler soll man auch nicht seine eigene Software testen. Deshalb gibt es normalerweise ein Testteam, welches sich um diese Tests kümmert. Alle Fehler werden aufgenommen, bewertet und vom Entwicklerteam behoben. Danach beginnt der Testzyklus von vorn. Wenn dann alles so funktioniert wie erwartet, werden die Programme in die Produktion übernommen. Da die Systeme im Prinzip rund um die Uhr laufen, erfolgen größere Installationen meist an einem Wochenende. Nach dem Abschluß der Arbeiten gibt es einen Funktionstest, damit die Systeme am Montag wieder einwandfrei funktionieren. Sicherheit steht also immer im Vordergrund.
Denkt an die Bonus-Zahl! Um den Bonus zu finden, müßt ihr nicht alle Dosen der Serie finden. Einige Bonus-Zahlen befinden sich in mehreren Dosen.
