Web Cyberfahnder
  Cybercrime    Ermittlungen    TK & Internet    Literatur    intern    Impressum 
Dezember 2010
27.12.2010 Meldungen
     
zurück zum Verweis zur nächsten Überschrift Vorratsdatenspeicherung EMV offline

 
Der Antragsteller kann nicht verlangen, dass die in elektronischer Form zum Handelsregister eingereichten Anträge und Eingaben ihm in ausgedruckter Form zur Bearbeitung vorgelegt werden. Ein Eingriff in seine richterliche Unabhängigkeit ist mit der angegriffenen Weigerung nicht verbunden. <Rn 13>
 
Der Begriff "Maßnahme der Dienstaufsicht" im Sinne des § 26 Abs. 3 DRiG ist nach ständiger Rechtsprechung des Dienstgerichts des Bundes im
Interesse eines wirkungsvollen Schutzes der richterlichen Unabhängigkeit weit zu fassen. Es genügt jede Einflussnahme der Dienstaufsicht führenden Stelle, die sich auch nur mittelbar auf die Tätigkeit des Richters auswirkt. Erforderlich ist lediglich, dass ein konkreter Bezug zu der Tätigkeit des Richters besteht ...
<Rn 15>
 
Eine Verletzung der richterlichen Unabhängigkeit kommt durch Maßnahmen in Betracht, die dazu bestimmt oder geeignet sind, die richterliche Rechtsfindung durch psychischen Druck oder auf andere Weise unmittelbar oder mittelbar zu beeinflussen. Ausgehen kann ein solcher Einfluss auch von Anordnungen der Dienstaufsicht im Zusammenhang mit der Benutzung von Geräten und Hilfsmitteln, die der Richter für seine Arbeit benötigt. In den Schutzbereich der richterlichen Unabhängigkeit sind nach ständiger Rechtsprechung des Dienstgerichts des Bundes nämlich nicht nur die Endentscheidung, sondern alle der Rechtsfindung auch nur mittelbar dienenden - vorbereitenden und nachfolgenden - Sach- und Verfahrensentscheidungen einbezogen ... <Rn 19>
 
Aus der Unabhängigkeit - Art. 97 GG - des Richters folgt, dass er grundsätzlich seine Arbeit nicht innerhalb fester Dienstzeiten und nicht an der Gerichtsstelle erledigen muss ( BGH, Urteil vom 25. September 2002 - RiZ(R) 2/01, NJW 2003, 282; Urteil vom 16. November 1990 - RiZ(R) 2/90, BGHZ 113, 36, 38 f.). Das gilt aber nicht, wenn die Ausführung der ihm obliegenden Dienstgeschäfte die Anwesenheit an der Gerichtsstelle erfordert. Denn die richterliche Unabhängigkeit ist kein Standesprivileg der Richter ( BGH, Urteil vom 27. September 1976 - RiZ(R) 3/75 <Auszug>, BGHZ 67, 184, 187). Erfordert die Bearbeitung der gemäß den Anforderungen des Gesetzgebers in elektronischer Form vorliegenden Eingaben zum Handelsregister die Anwesenheit des Richters an seinem computergestützten Arbeitsplatz, liegt darin keine Beeinträchtigung der richterlichen Unabhängigkeit durch die Dienstaufsicht. <Rn 24> (2)
 

10-12-42 
Die Stellungnahme des Deutschen Richterbundes zur ausstehenden Neuregelung der Vorratsdatenspeicherung ist klar, deutlich und zutreffend (1). Sie könnte von mir sein.

 

 
 

10-12-44 
Die PIN-Verifikation anhand des EMV-Chips lässt sich im Rahmen einer Offline-Prüfung durch einen Man-in-the-Middle-Angriff aushebeln, behauptet eine britische Studie (3), auf die verweist (4).

Der EMV-Chip ist - nach dem nur in Deutschland verbindlichem Maschinenlesbaren Merkmal - die weltweit propagierte Wunderwaffe, um Zahlungskarten zu sichern und den leicht auslesbaren und kopierbaren Magnetstreifen zu ersetzen. Er enthält ein kleines eigenes Betriebssystem und gesicherte Daten.

Zweifeln lässt mich daran bereits, dass der Chip mit eigener "Intelligenz", also Verarbeitungslogik ausgestattet wird. Sie eröffnet die prinzipielle Möglichkeit, manipuliert, also umprogrammiert zu werden. Meine Zweifel weiter genährt haben die Meldungen vom Jahresanfang, dass fehlerhafte Chips einfach so von Geldautomaten geupdatet, also umprogrammiert werden können. Was Geldautomaten können, können grundsätzlich auch kriminelle Angreifer.

Die jetzt beschriebene Lücke betrifft die Fähigkeit des EMV-Chips, ohne Beteiligung des Rechenzentrums der kartenausgebenden Bank die eingegebene PIN zu verifizieren. Diese Funktion wird bei instabilen Online-Verbindungen (vor allem) im Einzelhandel benötigt.

Nach der Studie können im Offline-Verfahren die Daten aus dem EMV-Chip einer gestohlenen Karte ausgelesen und mit einem zwischengeschalten Gerät die Richtigkeit der vom Täter wahllos eingegebenen PIN vorgegaukelt werden. Dabei liegt die Schwachstelle darin, dass das Rechenzentrum am Ende auf die korrekte Prüfung im EMV-Chip vertraut, ohne seinerseits die PIN zu prüfen. Das ist eigentlich logisch.

Der EMV-Chip offenbart damit mehrere Mängel, die vorhersehbar waren:

Er ist nachträglich programmierbar. Besser wäre es gewesen, wenn seine zentralen Funktionen fest verdrahtet und deshalb unanfällig wären.

Er muss beschreibbare Teile haben (5). Die scheinen aber nicht hinreichend eingegrenzt zu sein.

Die Online-Autorisierung ist genial. Die daneben eröffnete Offline-Prüfung der PIN flunkert eine Scheinsicherheit vor. Man hätte statt dessen auch das Abbuchungsverfahren ohne PIN zulassen können und sollen.
 

richterliche Unabhängigkeit

10-12-43 
  Die richterliche Unabhängigkeit ist kein Standesprivileg, heißt es im Urteil des Bundesdienstgerichtshofes, also des BGH, vom Oktober (2). Sie ist eine notwendige Voraussetzung für die Funktionstüchtigkeit der Dritten Gewalt und reicht deshalb bis in den Bereich der Arbeitsumgebung hinein. Sie ist aber kein Freibrief für eine völlig rahmenlose Arbeitsgestaltung. Es gibt vom Gesetz vorgeschriebene Dienstgeschäfte, die an der Gerichtsstelle geleistet werden müssen, wie die mündlichen Verhandlungen und Entscheidungsverkündungen. Dasselbe gilt auch für das elektronische Handelsregister. Es wurde 2007 vom Gesetzgeber eingeführt und sieht keine manuelle Bearbeitung in Papierform vor. Deshalb gilt:

Dem Antragsteller steht ... ein Anspruch, zur Bearbeitung der Eingaben von der Geschäftsstelle generell mit papiernen Ausdrucken versorgt zu werden, nicht zu. ... Ein Anspruch des Richters gegenüber der Justizverwaltung auf eine über das vom Gesetz- und Verordnungsgeber vorgesehene Maß hinausgehende Gestaltung der Arbeitsgrundlagen besteht nicht. <Rn 22>

 

 
 

zurück zum Verweis Anmerkungen
 


(1) Sigrid Hegmann, Stellungnahme des Deutschen Richterbundes zur aktuellen Diskussion um die Vorratsdatenspeicherung, DRB Dezember 2010

(2) BGH, Urteil vom 21.10.2010 - RiZ(R) 5/09

(3) Steven J. Murdoch, Saar Drimer, Ross Anderson, Mike Bond, Chip and PIN is Broken, IEEE Computer Siciety 07.04.2010

(4) Peter Muehlbauer, Britische Banken wollen Cambridge-Universität zensieren, Telepolis 27.12.2010

(5)  Auch die dritte Spur des Magnetstreifens ist beschreibbar, um das Limit und die Fehlversuche zu speichern. Die Spuren 1 und 2 sind hingegen besonders stark magnetisiert, so dass sie nur mit nicht marktgängigen Spezialgeräten überschreibbar sind.
 

 

zurück zum Verweis Cyberfahnder
© Dieter Kochheim, 10.01.2011