Passwörter gehören heute zum täglichen Leben. Sie sichern den Zugang zu privaten oder geschäftlichen Daten ab. Eine Eigenschaft von Passwörtern ist, daß sie nur dem Eigentümer, nicht aber allen Anderen bekannt sind. Und diese (wichtige!) Eigenschaft gefällt nicht jedem, und so versucht man, diese Eigenschaft aufzuheben. Den Satz "Wir benötigen Ihr Passwort" fand ich auf einer Internetseite, und dies war keine von Kriminellen gebaute Seite.
Deutschlandticket
Ich wollte ein Deutschlandticket kaufen, also dieses hier:
Von dieser Seite aus kann man das Deutschlandticket kaufen, indem man auf "Jetzt buchen" klickt. Danach kommen einige Hinweise bevor man zur Eingabe der persönlichen Daten kommt. Dann gebe ich die IBAN ein und erkläre mich mit einer Abbuchung (Lastschrift) von diesem Konto einverstanden. Nach einer Präsentation meiner Eingaben und einigen juristischen Dingen kommt dieser Hinweis:
Als Erläuterung und zur Begründung gab es folgende Hinweise auf der gleichen Seite:
Bitte beachten Sie den folgenden Text: "Die Bestätigung dient Ihrer und unserer Sicherheit und erhöht den Schutz vor Datenmissbrauch."
Jeder kann so etwas schreiben, aber das Gegenteil dieser Aussage ist richtig. Dieser Vorgang erhöht nicht meine Sicherheit, und es schützt auch nicht vor Datenmißbrauch.
Denn das ist der nächste Schritt:
Ich möchte Sie auf folgenden Satz hinweisen: "Mit Klick auf den Weiter-Button willige ich ausdrücklich ein, dass meine IBAN, Vor- und Nachname und meine E-Mail-Adresse an die Tink Germany GmbH, Gottfried-Keller-Str. 33, 81245 München, übermittelt werden, um mit dem Online-Banking-Login meinen personalisierten Kontozugriff zu bestätigen.". Der personalisierte Kontozugriff ist ein Zugriff auf mein Konto unter Verwendung der Zugangsnummer und meines Passwortes. Um exakt diesen Zugriff geht es: Tink greift auf mein Konto zu und ich soll sagen, daß dieser Zugriff von mir stammt..
Und weiter geht es:
Mein Bankkonto ist bei der HypoVereinsbank, aber das ist eine andere Geschichte. Die Internetadresse dieser Seite ist aber keine Adresse der HypoVereinsbank.
Auf dieser Seite soll ich die Zugangsdaten für mein Bankkonto eingeben, also die Banking Nummer und das zugehörige Passwort. Dabei stammt diese Seite weder von der HypoVereinsbank noch von der Deutschen Bank (und auch die Deutsche Bahn geht mein Passwort für mein Konto schon mal gar nichts an).
Bitte beachten Sie auch folgenden Satz auf dieser Seite: "Ich akzeptiere die Nutzungsbedingungen der Tink Germany GmbH und willige in die Verarbeitung meiner personenbezogenen Daten durch Tink Germany zum Zweck der Erbringung des Kontoinformationsdienstes ein". Ich darf also erklären, daß die Deutsche Bahn bzw. die Tink Germany GmbH diese Zugriffsdaten von mir erhalten haben und ich mit dieser Übermittlung einverstanden bin.
Danach erfolgt ein Zugriff auf mein Bankkonto und die Bestellung des Deutschlandtickets konnte abgeschlossen werden. Nun gibt es eine 2-Faktor-Authentisierung1), d.h. auf meinem Handy tauchte in der Bank-App die Frage auf, ob ich diesen Zugriff erlauben würde. Und da ich dieses Deutschlandticket kaufen will, gestatte ich den Zugriff auf mein Bankkonto durch die Firma Tink Germany GmbH. Damit haben sie noch nicht das Geld für das Ticket, dies erfordert einen weiteren Zugriff auf mein Konto, die Lastschrift, die dann auch etwas später erfolgte. Jetzt hat die Deutsche Bahn die 49€ von meinem Konto auf ihr Konto übertragen. Etwas später erhielt ich eine Mail der Deutschen Bahn mit einer Bestätigung des Kaufs des Tickets. Nun brauchte ich nur noch auf dem Handy in der DB App die Abonummer eintragen und erhielt den QR-Code des Deutschlandtickets.
Passwörter
Passwörter dienen dem Schutz des persönlichen Eigentums. Dazu sollen sie möglichst viele Stellen haben, aber trotzdem leicht zu merken sein. Sie sollen Klein- und Großbuchstaben, Ziffern und vielleicht auch Sonderzeichen enthalten, um das Erraten des Passwortes zu erschweren. Und sie sollen geheim sein (und bleiben), denn sie sollen nur mir bekannt sein, aber nicht jemandem anderen, wem auch immer.Und schon gar nicht gehören sie in das Wissen der Deutschen Bahn. Wobei die Deutsche Bahn dieses Wissen ja auch noch an ein privates Unternehmen weitergibt.
Mit der Weitergabe des Passwortes ist dieses Passwort nicht mehr geheim.
Datenschutz
Was sagt eigentlich der Datenschutzbeauftragte der Deutschen Bahn zu einer solchen Abfrage?Gefahren
Was kann schon passieren, wenn die Deutsche Bahn alle Daten hat, um auf mein Bankkonto zuzugreifen? Als Erstes fällt einem ein, daß dann die Deutsche Bahn Geld von meinem Konto abbuchen kann, denn mit diesem Wissen hat sie den unbegrenzten Zugriff auf mein Konto. Diesen Vorgang würde ich natürlich bemerken und sofort die Überweisung rückgängig machen, sofern dies möglich ist.Aber sie können mit einem solchen Zugriff die Zu- und Abflüsse auf meinem Konto einsehen. Und mit diesen Daten können sie dann machen, was immer sie wollen. Sie kennen doch den Spruch "Daten sind das neue Öl".
Ein Staatsunternehmen will das Passwort für meinen Bankzugang haben. Und gibt dies dann weiter an ein Privatunternehmen, das dann auf mein Bankkonto zugreift. Eine einfache Abbuchung des Betrages von 49€ für das Deutschlandticket per Lastschrift reicht diesem Unternehmen nicht. Und dies soll meiner Sicherheit dienen.
Konsequenz
Ich musste dieses Vorgehen akzeptieren. Oder ich verzichte auf das Deutschlandticket. Also habe ich das Passwort eingegeben. Mittlerweile habe ich das Passwort geändert.Anmerkungen:
1) Siehe "Zwei-Faktor-Authentisierung" auf der Seite der Wikipedia und beim Bundesamt für Sicherheit in der Informationstechnik (BSI)
