OLG Frankfurt, Az. 23 U 38/05

»Geldautomaten sind sicher«, schreiben die Zeitungen und fassen damit ein Urteil des Oberlandesgerichts Frankfurt vom 30. Januar 2008 zusammen. Geklagt hatte eine Verbraucherzentrale, es ging um Abhebungen mit geklauten Karten. Unter den Tisch fiel manchmal dieser Satz:

»Das Gericht lehnte weitere Beweiserhebungen ab, die die Verbraucherschutzzentrale zur Möglichkeit von anderen Manipulationsmöglichkeiten beantragte, z.B. zur Frage der Verwendung von auf der Karte gespeicherten Daten zur PIN-Verfikation.«

(gesehen z.B. hier.) Spontanreaktion: Aber genau auf solche Manipulationsmöglichkeiten kommt es doch an!

Nun, das Urteil gibt es online, man kann aber anscheinend nicht direkt darauf linken, sondern muss hier nach dem Aktenzeichen suchen. [Update: für Volltext guckstu hier. [Upupdate: Leitsätze und Volltext jetzt dort.]] Deshalb stellte ich die entscheidenden Passagen hier im Klartext ins Netz. Falls das verboten ist, verklagen Sie bitte den Herrn im Impressum. 😉 Wer lieber das Original liest, es geht auf Seite 13 unten los.

»Der Kläger ist der Auffassung, das Gericht habe allenfalls über etwa 5 % der entscheidungserheblichen Themen Beweis erhoben. Es sei erforderlich, dass im Rahmen einer Ergänzungsbegutachtung auch Themen wie Ungleichverteilung der PIN, Erraten, DES-Codierungsschlüssel, PIN auf Karte, Masterschlüssel, Häufigkeit des Schlüsselwechsels, Geldautomatensicherheit, Funktionsstörungen des Geldautomatens, Übermittlung, Angreifbarkeit der Switch-Stellen, Softwaredefekte, MM-Merkmal, Wirkungsweise des Zufallszahlengenerators, Institutsschlüssel (key-management), Sicherheitskriterien bei PIN-Generierung, -Berechnung und -Prüfung, Zufallsgenerator, Hard- und Softwarestruktur zur Übermittlung der PIN an das Rechenzentrum unter Angabe sämtlicher auch ausländischer Knoten, Protokolle zur Übermittlung der Transaktions- und Verifizierungsdaten, Ort der PIN-Verifikation, Verwendung von auf der Karte gespeicherten Daten zur PIN-Verifikation, Erzeugung, Verteilung und Ort der Schlüsselspeicherung, Möglichkeit der Manipulation der Antwort des Rechenzentrums, Verifikation der PIN im Ausland und der fremder Institute, Sicherheitslücken auf Grund des Einsatzes von Fremdfirmen im Bereich der Datenübermittlung geklärt werden und smart attacks. Es sei überdies erforderlich, dass sachverständigerseits Autorisierungsprotokolle und Journalstreifen auch aus „einem angemessenen Zeitraum davor und danach“ und die (gestohlenen) Karten geprüft werden. Außerdem müsse der Sachverständige die Funktionsfähigkeit der benutzten Geldautomaten prüfen und statistische Daten erheben, damit festgestellt werden könne, ob es in Zusammenhang mit den benutzten Geldautomaten, den Auszahlungsbanken oder der Beklagten zu Schadensfällen in nennenswerter Zahl gekommen sei. Dem Sachverständigen müsse Zugang zu den Geldautomaten, zum Rechenzentrum der Beklagten, zu den Kommunikationsknotenpunkten und zu allen Örtlichkeiten gewährt werden, an denen Fremdfirmen Dienstleistungen für die Beklagte zur Durchführung des Datenverkehrs erbringen, damit er prüfen könne, ob das Sicherheitssystem einwandfrei funktioniere. Der Kläger beantragt weiterhin, die im Tatbestand genannten ausländischen Wissenschaftler als Zeugen zu hören und zu diesen Themen Gutachten einzuholen. Schließlich beantragt er, alle Zedenten als Zeugen zu hören.«

Bis hierhin verstehe ich alles. Diese Fragen hätte ich auch gestellt, genau diese Dinge möchte man in einer Sicherheitsuntersuchung wissen oder wenigstens mal näher betrachten. Man schaut sich die Sicherheitsmechanismen an, man schaut sich den Rest des Systems an und man wirft einen Blick auf die Umgebung des Systems und die Prozesse, die drumherum ablaufen. Danach kann man vielleicht ein Urteil über seine Sicherheit abgeben. Zedenten sind übrigens diejenigen, denen im vorliegenden Fall erst die Karte und dann Geld weggekommen war und die ihre Ansprüche an die klagende Verbraucherzentrale abgetreten hatten.

Und hier ist die Begründung, mit der das Gericht das Ansinnen des Klägers abweist:

»Diese Beweisaufnahme hat aus verschiedenen Gründen nicht zu erfolgen. Dem stehen praktische und prozessuale Gründe entgegen. Eine Beweisaufnahme wird nach einem so langen Zeitablauf zu einem Teil der Themen gar nicht mehr möglich sein. Der Kläger hält sich nicht an den von ihm rhetorisch zugestandenen Umstand, dass nur der Schutzmechanismus der Beklagten zum Zeitpunkt der Abhebungen Gegenstand des vorliegenden Rechtsstreits ist. Es geht tatsächlich ausschließlich um die damals von der Beklagten verwendeten Debitkarten und deren damaliger Sicherheitsarchitektur. Diesen Umstand negierend trägt der Kläger aber ausführlich auch zu anderen Kartentypen anderer Emittenten mit anderen Sicherheitsmaßnahmen zu späteren Zeitpunkten vor. Er stellt nicht nachvollziehbare örtliche Bezüge her, wie dem Umstand zu entnehmen ist, dass es in keinem der Fälle einen Bezug zu einem früheren Land des Ostblocks gibt. Aus der Aussage des Zeugen Z1 ergibt sich, dass bei allen streitgegenständlichen Kartentypen (SparCards und EC-Karten) dasselbe Verschlüsselungssystem verwandt wird, so dass im vorliegenden Verfahren zu berücksichtigende Unterschiede mit maßgeblicher Bedeutung für die Sicherheit nicht vorliegen. Der Kläger berücksichtigt nicht, dass die streitgegenständlichen Karten nicht über einen RFID-Transponder und (nach der überzeugenden Aussage des Zeugen Z1) auch nicht über einen Chip verfügen. Soweit er darauf hinweist, er könne nicht ausschließen, dass die von ihm vorgelegten streng vertraulichen Dokumente zur PIN-Berechnung und –Prüfung sicherheitsrelevante Informationen enthalten mit der möglichen Folge, dass diese Dokumente auch Kriminellen bekannt geworden seien, ist dieses Vorbringen unschlüssig, weil der Kläger nicht vorträgt, wann denn diese Dokumente über den vorgesehenen Kreis hinaus bekannt geworden sind. Auch der Datenübermittlungsablauf bietet keine Anhaltspunkte für sicherheitsrelevante Mängel. Vom Geldautomaten gelangen die Daten an den Zentralrechner, der u.a. überprüft, ob der Datensatz einschließlich der verschlüsselten Nummer irgendwie verfälscht worden ist. Die Switch-Stellen werden durch HSMs (Hardware Security Module) geschützt, die die PINs gar nicht entschlüsseln. Dass im streitgegenständlichen Zeitraum keine effektive Sicherung der Schnittstellen durch die HSMs vorhanden gewesen sei, wird nicht behauptet. Hinsichtlich der declimalisation table attacks ist der Kläger nicht in ordnungsgemäßer, konkreter Form dem Vorbringen der Beklagten entgegengetreten, dass diese Angriffsform eine Dezimalisierungstabelle als Parameter voraussetze und dies bei dem von ihr verwendete Verfahren nicht der Fall sei. Außerdem erfolgte die entsprechende Veröffentlichung erst im Februar 2003. Bezüglich des Einsatzes von Fremdfirmen hat die Beweisaufnahme, wie bereits ausgeführt, ergeben, dass die Firma … das Rechenzentrum für die Beklagte betreibt und das vom ZKA zertifizierte ICFS-Verfahren einsetzt. Sicherheitslücken sind insoweit nicht erkennbar. Der Kläger behauptet keine Mangelhaftigkeit dieses tools. Soweit der Kläger Funktionsstörungen der involvierten Geldautomaten für möglich hält, fehlt es an einem Vortrag zu den technischen Auswirkungen. Im Übrigen kann nicht davon ausgegangen werden, dass ein Sachverständiger jetzt noch feststellen könnte, ob die Geldautomaten am Tag der Abhebungen in ihrer Funktion gestört waren. Dem Senat erscheint es auch nicht erforderlich, dass die gestohlenen Karten, falls noch existent, untersucht werden. Eine äußerliche Veränderung der Karte, z.B. durch Notieren der PIN, würde eher gegen als für die Rechtsposition des Klägers sprechen. Soweit der Kläger fordert, es solle geprüft werden, ob die Karten manipuliert oder elektronisch verändert worden seien, ist ein stringenter Bezug zur hier maßgeblichen Frage der Eruierung der PIN nicht gegeben. Wie der Sachverständige ausgeführt hat, ist die einzelne Karte für die Sicherheit des Triple DES-Verfahrens ohne Erkenntniswert. Der Kläger hat auch aus datenschutzrechtlichen Gründen keinen Anspruch darauf, dass ihm Auszahlungsprotokolle und Journalstreifen betreffend Abhebungsvorgänge Dritter vorgelegt werden. Bezüglich der streitgegenständlichen Abhebungen ist nicht dargetan, inwieweit diese Unterlagen geeignet sind, „Probleme im Bereich des Geldautomaten auszuschließen“. Der Kläger hat auch keinen Anspruch darauf, dass die Beklagte zum Zwecke der Auswertung durch einen Sachverständigen statistische Daten zu Schadensfällen eruiert und zur Verfügung stellt. Schließlich ist es für den Senat nicht nachvollziehbar, dass es erforderlich sei, die Sicherheit des MM-Merkmals zu prüfen. Dieses unsichtbare Merkmal schützt vor dem Einsatz von Kartendubletten. Ein Zusammenhang mit der PIN ist nicht erkennbar.

(…)

Um Missverstöndnisse auszuschließen weist der Senat darauf hin, dass er Sicherheitsbedenken und z.B. die Beunruhigung auf Grund von Pressemeldungen, wonach es gelungen sei, Ladenkassen so zu manipulieren, dass Kundendaten abgezapft werden können, gut verstehen kann. Es handelt sich dabei jedoch um dokumentierte, kriminaltechnisch zu untersuchende Vorfälle aus jüngster Zeit, die mit den streitgegenständlichen Kartendiebstählen ebensowenig wie andere vom Kläger geschildert Vorfälle in Zusammenhang stehen.«

Ich überlasse es unseren Leserinnen und Lesern, Einwände gegen diese Argumentation zu formulieren oder sie von mir aus auch zu unterstützen. Es liegt in der Natur dieses Blogs, dass juristische Spitzfindigkeiten hier weniger passend sind als die technische Betrachtung, aber erlaubt ist alles, was interessant ist.