Datenschutz ELK-WUE

Voraussetzung für die Nutzung des Online-Bankings durch kirchliche Stellen ist:

Anwendung des HBCI-Verfahrens

Einsatz eines Chipkartenlesers mindestens der Klasse II, d.h. die Pin wird nicht an der Tastatur des PC's, sondern am Chipkartenleser eingegeben.

Kennwortschutz für die Onlinebankingsoftware auf dem lokalen PC und verschlüsselte Speicherung der Daten (siehe auch Verschlüsselungsverordnung).

Sind diese Bedingungen gegeben, können die verwendeten Verfahren als freigegeben betrachtet werden.

Durch die oben genannten Massnahmen ist ein Missbrauch weitgehend ausgeschlossen. Kommt es allerdings doch zu Problemen, hat diese Sicherheit eine Kehrseite, über die sich die an dem Verfahren beteiligten im Klaren sein sollten.
Dies wird in den folgenden Abschnitten genauer ausgeführt.

Die digitale Signatur kann zu einer Beweislastumkehr führen!

Das elektronische Verfahren "digitale Signatur" verknüpft Online-Transaktionen mit einer bestimmten Person, ohne dass diese aus eigener Kraft gewährleisten kann, dass nur sie und niemand sonst ihre Signatur anwendet. Dennoch werden ihr die mit ihrer Signatur gezeichneten Transaktionen zugerechnet. Die signierende Person muss darauf vertrauen, dass das EDV-System der Bank, das Übertragungsverfahren und der von ihr verwendete PC nicht manipuliert sind. Dazu folgende Anmerkungen:

1. Die digitale Signatur ist nicht mehr, wie die eigenhändige Unterschrift, eine Verkörperung eines charakteristischen Bewegungsablaufs einer Person, den sie unter ihrer vollen Kontrolle hat, sondern eher vergleichbar mit einem Stempel, der in einer mit einer Zahlenkombination gesicherten Kassette aufbewahrt wird.

2. Würde niemand außer der betreffenden Person die Zahlenkombination kennen und wäre ausschließlich diese ständig im Besitz der Kassette mit dem Stempel und wäre nie eine Kopie des Stempels angefertigt worden, könnte ein Stempelabdruck logischerweise nur von ihr vorgenommen worden sein. Wollte die betreffende Person dies bestreiten, müsste sie darlegen, dass eine der vorstehenden Annahmen falsch ist, was sehr schwer oder sogar unmöglich sein kann.

3. Die Absicherung einer digitalen Signatur ist nicht unüberwindbar. So lassen sich mit sogenannten Keyloggern Kennwörter ausspähen, womit unbefugt in Konten Einblick genommen werden kann. Eben deshalb muss eine Chipkarte verwendet werden und muss das Kennwort für die Chipkarte am Leser eingegeben werden und nicht am PC. Das erschwert einen Angriff erheblich. Weitere Risiken können der Seite Electronic Banking der Wikipedia entnommen werden.
Gelingt ein solcher Angriff aber doch, und das ist die Kehrseite des Ganzen, hat der Inhaber/die Inhaberin der Signatur ein erhebliches Glaubwürdigkeitsproblem, wenn sie bestreitet, bestimmte Online-Transaktionen vorgenommen zu haben.
Zudem steht umgehend der starke Verdacht im Raum, dass innerhalb der Stelle manipuliert wurde.

Der Vorteil des Online-Bankings liegt zunächst auf Seiten der Stellenleitung; Arbeit wird schneller und kostengünstiger erledigt. Es besteht jedoch auch eine Fürsorgepflicht seitens der Stellenleitung. Durch die Einführung des Verfahrens werden die Mitarbeiter dem zusätzlichen Risiko ausgesetzt, dass andere Verfügung über ihre Signatur erlangen können. Bei der eigenhändigen Unterschrift bestand dieses Risiko nicht. Bestreiten deshalb Mitarbeiter ihre digitale Signatur, muss für die Stellenleitung der Grundsatz gelten, dass bis zum Beweis des Gegenteils diese tatsächlich nicht signiert haben. Es wäre unverantwortlich, würde sich die Stellenleitung einfach auf die Seite der logischen Eindeutigkeit des Verfahrens stellen und die Beweislast auf die Mitarbeiter abwälzen. Diese müssten dann versuchen aufzuweisen, dass die praktische Installation des Verfahrens Sicherheitslücken hatte, dies wäre ihnen auch aufgrund ihrer EDV-Kenntnisse in aller Regel schlicht nicht möglich. Eine Aussage, dass ein praktisch vorliegendes System keine Sicherheitslücke hat ist jedoch auch einem Sachverständigen grundsätzlich nicht möglich. Es gehört zu den organisatorischen Pflichten einer Stelle, Online-Banking in einer Weise zu betreiben, dass die Beweislast, die an einer digitalen Signatur hängt, deutlich verringert wird, etwa indem durch zusätzliches Controlling der Frage nach der Zurechenbarkeit die Spitze genommen wird.
Dazu folgende Anmerkungen:

1. Die Duldung von Nachlässigkeiten, wie etwa ein Verlassen des Arbeitsplatzes ohne Entnahme der Chipkarte aus dem Leser, das Notieren der PIN-Nummer auf der Chipkarte, das Weitersagen der PIN (Vertretungsfall!) oder das "Ausleihen" der Chipkarte sind für den Inhaber/die Inhaberin der Signatur ein Freibrief, Transaktionen mit der Behauptung zu bestreiten, dass sie von jemandem anders durchgeführt wurden.

2. Werden Nachlässigkeiten geduldet, könnte sich die Meinung breit machen, dass beim Einsatz digitaler Signaturen ein Abstreiten der Verantwortlichkeit relativ einfach dadurch möglich ist, indem man eine Nachlässigkeit einräumt.

3. Die Stelle, die von einer Bank digitale Signaturen ausgehändigt bekommt wird damit in aller Regel für alle damit geleisteten Unterschriften finanziell verantwortlich gemacht. Das betreffende Geldinstitut hat keinen Einfluss auf die Handhabung und den Umgang mit den ausgegebenen digitalen Signaturen. Es wird sich deshalb auf die "fast absolulte" Sicherheit des Verfahrens berufen, wenn die Signaturinhaber sicherstellen, dass niemand außer ihnen die PIN der Chipkarte kennt und niemand in den Besitz der Chipkarte kommt.

4. Kommt bezüglich einer Signatur der Verdacht auf, dass diese kompromittiert sein könnte, genügt ein einfaches Austauschen aller Signaturen nicht. Es muss dann systematisch untersucht werden, wie es dazu kommen konnte. Gegebenfalls sind auch auf Vermutungen hin zusätzliche Sicherheitsmaßnahmen, technisch oder organisatorisch, zu treffen.

1. Ein hängen gebliebener Verdacht, sich in finanziellen Dingen nicht korrekt verhalten zu haben, kann zu einer lebenslangen Belastung werden. Die eigenhändige Unterschrift, insbesondere wenn ausführlich mit Vor- und Nachnamen unterschrieben wird, schützt recht gut davor, für Dinge verantwortlich gemacht zu werden, die man nicht getan hat. Die digitale Signatur stellt in dieser Hinsicht die Anwender schlechter. Es sei auch darauf hingewiesen, dass die von den Geldinstituten herausgegebenen Verfahren nicht einer qualifizierten Signatur nach dem Signaturgesetz entsprechen.

2. In aller Regel sind Mitarbeiterinnen und Mitarbeiter EDV-Anwender, also Personen, die von PCs und Netzwerken genau soviel verstehen, wie sie für die Erledigung ihrer Arbeit brauchen. Mit einer elektronischen Signatur agieren in einem Bereich, den sie aus eigener Kraft nicht mehr durchschauen und wo sie sicherheitskritische Folgen bestimmter Handlungen oder Aktionen nicht mehr sicher abschätzen können. Hinzu kommt, dass das hinter einer digitalen Signatur stehende kryptologische Konzept in aller Regel nicht hinreichend verstanden ist. Trotzdem werden die Mitarbeiter für ihre digitalen Unterschriften in gleicher Weise verantwortlich gemacht wie beim gewachsenen vertrauten Umgang mit der eigenhändigen Unterschrift und deren Einfachheit sowie Überschaubarkeit.

3. Eine Mitarbeiterin oder ein Mitarbeiter kann bei einer digitalen Signatur nicht wie bei der eigenhändigen Unterschrift auf den Aufweis einer Fälschung hoffen, sondern sich allenfalls mit Hilfe glücklicher Umstände direkt entlasten, etwa wenn es für den protokollierten Zeitpunkt Zeugen dafür gibt, dass diese Person nicht signiert haben kann. Demgegenüber würde eine gefälschte eigenhändige Unterschrift im forensischen Kontext mit hoher Wahrscheinlichkeit nachgewiesen. Unterzeichnende können ferner diese Wahrscheinlichkeit aus eigener Kraft weiter steigern, indem sie ausführlich unterschreiben, also mit ausgeschriebenem Vor- und Nachnamen.

4. Würde eine digitale Signatur bestritten, könnte ein Nährboden für Verdächtigungen geschaffen werden, wer es gewesen sein muss. Bestimmte Personen, etwa Systemzuständige oder besonders edv-kundige Mitarbeiter, könnten besonders in Verdacht geraten, da es diesen aufgrund ihrer EDV-Kenntnisse wohl am ehesten zuzutrauen wäre, zu erkennen, wie man eine Kopie einer digitalen Signatur erlangt.

5. Auch wenn sich Mitarbeiter völlig korrekt verhalten, kann nicht völlig ausgeschlossen werden, dass sich ihre digitale Signatur unter Transaktionen findet, die sie nicht veranlasst haben. Damit können Betroffene in ein belastendes und ihnen vielleicht lange nachhängendes Glaubwürdigkeitsproblem geraten: Wurde ihnen tatsächlich ihre digitale Signatur entwendet oder waren sie es vielleicht doch selbst? Ein grundsätzliches Problem ist dabei auch, dass es niemandem möglich ist, nachzuweisen, sich immer korrekt verhalten zu haben, also beispielsweise beim Verlassen des Arbeitsplatzes immer die Chipkarte aus dem Leser genommen zu haben.

1. Kein Ersatz der Chipkarte durch eine Diskette, einen USB-Stick oder gar eine lokale Speicherung des privaten Schlüssels. Die allermeisten Stellen sind mit der Konfiguration eines "wirklich sicheren" PC überfordert. Dies muss durch die Verwendung externer Geräte kompensiert werden.

2. Umgehende Beschaffung eines Ersatzes für eine digitale Signatur, wenn auch nur der geringste Verdacht besteht, dass diese kompromittiert sein könnte.

3. Erweitertes Controlling durch regelmäßige und zeitnahe Einblicknahme in Kontobewegungen von mindestens einer weiteren Person. Eine zusätzliche Kontrolle kann für andere Mitarbeiter in Problemfällen eine erhebliche Entlastung bedeuten, da sich die Verantwortung dann auf mehrere Personen verteilt. Die kontrollierende Person selbst darf nicht in der Lage sein, Kontobewegungen vorzunehmen; sie wird insofern auch selbst kontrolliert, als den Protokollen des Bankrechners entnommen werden könnte, ob sie tatsächlich regelmäßig Einblick genommen hat.

4. Einhaltung der

Verschlüsselungsverordnung

Virenschutzverordnung

Datensicherungsverordnung

5. Beachtung der entsprechenden Umsetzungsvorschläge:

Umsetzung Verschlüsselungsverordnung

Umsetzung Virenschutzverordnung

Umsetzung Datensicherungsverordnung

Die Einhaltung der genannten Verordnungen setzt in aller Regel die Bestimmung einer systemzuständigen Person voraus./tp>