Szenario im Bereich der Kriminalität/Geldverkehr

Hallo,

Es geht um einen Szenario im Bereich der ditigalen Kriminalität, eine Schreibidee die mir schon lange im Kopf herumspukt. Ich würde mich freuen wenn ich meine Idee im informationstechnischen Sinn mit eurer Hilfe an die Realität anpassen könnte, da ich auf diesem Gebiet keine Kenntnisse habe.
Ein gewisses Vorverständnis ist vorhanden (Programmierkenntnisse, Mathematik…)

Also, es geht um folgendes (Stichworte):
Hacker, Computerkriminalität, Vortäuschen von Geldüberweisungen, Einrichtung von „Phantom-Konten“…, Vortäuschung einer Bank die es nicht gibt.

Ich schreibe mal kurz, wie ich mir informationstechnisch eine Geldüberweisung vorstelle. Zur Vereinfachung erstmal ohne Internet – eine einfache Überweisung eines Geldbetrages vom Konto a der Bank B(A) auf das Konto b der Bank B(B).

Was ist ein Konto a bei einer Bank B(A)?
Ich stelle mir vor, dass a einfach ein Datensatz in einer genormten Datenstruktur einer Datenbank A ist, die auf einem Grossrechner G(A) der Bank B(A) liegt.

Ich führe mal folgende Bezeichnungen ein:

A := eine Kontendatenbank
a := ein international? genormter Datensatz in der Kontendatenbank A (= ein Konto)
B(A) := Bank mit der Kontendatenbank A
G(A) = Grossrechner der Bank B(A) auf dem sich die Kontendatenbank A befindet.

Eine Überweisung eines Geldbetrages x des Kontos a der Bank B(A) auf ein Konto b der Bank B(B) stelle ich mir als einen Datentransfer zwischen den Grossrechnern G(A) und G(B) vor, in denen nach einer bestimmten Vorschrift die Datensätze (= die Konten) a und b in den Datenbanken A und B abgeglichen werden in Abhängigkeit des zu überweisenden Geldbetrages x…

Dieser Datentransfert zwischen den Grossrechnern der zwei beteiligten Banken müsste in einem bestimmten Protokoll stattfinden, einem Geldtransferprotokoll.

Fragen:
Ist diese Vorstellung ungefähr richtig?
Wenn ja, wie heisst dieses Protokoll?
Gibt es verschiedene Geldtransferprotokolle, oder weltweit nur ein einziges? (so wie http für das WWW)

Es geht weiter:
Ein Guthaben auf einem Konto ist also nichts weiter als eine Zahl in einem Datensatz.

Jetzt kommt der Hacker ins Spiel.
Ich stelle mir vor, dass der Hacker es geschafft hat, die Datenverbindung zwischen den Grossrechnern G(A) und G(B) anzuzapfen und mit seinem persönlichen Rechner zu verbinden. Er kennt das Geldtransferprotokoll und hat ein Programm geschrieben, welches ein Konto a’ (einen Datensatz) der Datenbank A vortäuschen kann. Er füllt dieses virtuelle nicht-existente Konto a’ mit konsistenten Daten und einem ansehnlichen Geldbetrag. Mit seinem Programm kontaktiert er die Bank B(B) über die angezapfte Datenverbindung und führt eine Überweisung des Scheinkontos a’ auf seinem Rechner auf ein existierendes Konto b der Bank B(B) aus. Dabei werden alle Datenabgleiche durch das Programm des Hackers perfekt ausgeführt, so dass auf dem Konto b nach der Überweisung ein schöner Geldbetrag eingegangen ist.

Dies wäre eine Teilidee.

Es ginge noch weiter.

Ich stelle mir die Frage, ob es theoretisch möglich ist, die Existenz einer Bank vorzutäuschen.

Als Analogon denke ich an die Rootserver der Domainnamen des Web, welche die Zuordnung der Domainnamen mit IP-Adressen durchführen, so dass es möglich wird, Webseiten durch Eingabe einer Domain zu kontaktieren (und nicht durch Angabe einer IP-Nummer).

Ähnlich stelle ich mir eine Art „Bankrootserver“ für europäische Banken vor (eventuell auch weltweit), in denen jede Bank mit ihren spezifischen Daten gespeichert ist, um eine gewisse Datenkonsistenz und Sicherheit beim internationalen Geldverkehr zu gewährleisten.

In diesem Sinne stelle ich mir ein neues Programm des bösen Hackers vor, der auch diesen Rootserver anzapfen kann, die Datenstrukturen kennt, die dieser Bankrootserver mit den europäischen (weltweiten?) Banken austauscht. Er hat ein weiteres Programm geschrieben, welches diesen Rootserver simuliert, in dem er nun neue Banken einführen (simulieren) kann, die es nicht gibt.

Mit diesen beiden Programmen – Kontosimulation mit Geldtransferprotokoll, Banksimulation mit adäquatem Datenaustausch – könnte er europaweit/weltweit viel Unsinn anrichten.

Sind meine Vorstellungen vom Prinzip her richtig, oder liege ich da komplett falsch?

Falls ich voll daneben liege, könnte mir jemand die Technik des Geldverkehrs vereinfacht erklären, oder mir Literatur dazu empfehlen?

Vielen Dank, wer bis zum Ende durchgehalten hat.

Gruss - Ulrich

hi,

literaturliste?
das standardwerk für banker in d-land?

Wirtschaftslehre des Kreditwesens. von Wolfgang Grill, Hans Perczynski, und Hannelore Grill

Zahlungsverkehr (Kreditkarten, Lastschriften, Überweisungen) findest Du hier:

Zahlungssysteme im Electronic Commerce. ePayment im Onlineshop. von Marc Höft

und hier

Die elektronische Signatur. Eine Analogie zur eigenhändigen Unterschrift von Jörg-Matthias Lenz und Christiane Schmidt

Passend könnte sein:

Direct Banking. Wie virtuelle Institute das Bankgeschäft revolutionieren von Uwe Swobod

und

Der bankbetriebliche Zahlungsverkehr von Gerald R. Riedl

und

Bankinformatik 2004. Strategien, Konzepte und Technologien für das Retail-Banking

und

Protocols for Secure Electronic Commerce von Ahmed Sehrouchni und Mostafa H. Sherif

und

Der Überweisungsvertrag. Eine rechtliche Analyse unter besonderer Berücksichtigung der Rechte und Pflichten aus dem Verhältnis zwischen Überweisendem und überweisendem Kreditinstitut von Tina G Koziol

eher antiquarisch wären:

Nationaler und internationaler Zahlungsverkehr von Helmut Lipfert

und

Der Zahlungsverkehr von Karl Sewering

Ebenfall älter:

Risiken des automatisierten Zahlungsverkehrs beim Einsatz von POS (ESC), Geldautomaten und BTX

Zahlungsverkehrsabkommen der Spitzenverbände in der Kreditwirtschaft. Bankbetriebliche und bankrechtliche Bedeutung von Christian Hennig

Wo Du die kriegst, musset selber suchen, aber so, wie Du Dir die Sache vrstellst gehts definitiv nicht.

google in diesem zusammenhang auch mal nach der swift. ich glaube kaum, dass die einen fake in ihr verzeichnus aufnehmen würden, aber da kannste ja vielleicht nen netten mord oder ne erpressung einbauen*gg*

fazit: alles in allem eine romanidee -mehr nicht . in der praxis nicht möglich

grüße

uwe

Hallo,

schau mal hier:
http://www.zahlungsverkehrsfragen.de/

Grüße
Sebastian

Hallo,

schau mal hier:
http://www.zahlungsverkehrsfragen.de/

Vielen Dank!

Grüsse

Hallo,

literaturliste?

Gerne, danke.

Wo Du die kriegst, musset selber suchen, aber so, wie Du Dir
die Sache vorstellst gehts definitiv nicht.

Völlig unerheblich. Irgendwo musste ich ja anfangen mit meiner Frage. Falsche Vorstellungen lassen sich revidieren.

google in diesem zusammenhang auch mal nach der swift. ich
glaube kaum, dass die einen fake in ihr verzeichnus aufnehmen
würden, aber da kannste ja vielleicht nen netten mord oder ne
erpressung einbauen*gg*

fazit: alles in allem eine romanidee -mehr nicht . in der
praxis nicht möglich

Mal sehn was sich mit realitätsnäheren Vorstellungen machen lässt. Um die zu erlangen, brauche ich jetzt einige (oder viel) Zeit.

Vielen Dank!

Gruss

Hallo ich nochmal,

da die Beschreibung in zahlungsverkehrsfragen.de sehr ausführlich ist und viele Möglichkeiten berücksichtigt, hier die Schilderung des heute meistverbreiteten Standardprozesses, teilweise etwas vereinfacht und davon ausgehend, dass die Konten des Auftraggebers und des Empfängers nicht bei der selben Bank sind und die beiden Banken auch kein internes Clearing über wechselseitige Konten haben. Die Reihenfolge der Schritte kann an einigen Stellen auch abweichen.
Nicht berücksichtigt ist auch, dass es noch Clearingstellen gibt, die z.B. Zahlungen innerhalb eines Bankenbereichs (der Sparkassen unter sich z.B.) abwickeln.

Auftraggeber reicht Überweisungsauftrag ein
Wenn Papier, dann einlesen durch Belegleser
Wenn Papier, dann Prüfung der Unterschrift
Wenn e-Banking, dann Prüfung der Autorisierung (TAN, elektr. Signatur)
Weiter zur Zahlungsverkehrsanwendung der Bank
Prüfung (Kontonummer existent etc.,)
Disposition (genug Guthaben bzw. Linie?)
Buchung auf dem Auftraggeberkonto
Übertragung zusammen mit anderen Zahlungstransaktionen an die LZB (Datenübertragung, Magnetbänder gibt es, falls überhaupt, nur noch extrem selten)
Das LZB-Konto der Auftraggeberbank wird mit dem Saldo aller Zahlungstransaktionen belastet bzw. erkannt (falls mehr Zahlungsausgänge als -eingänge, dann Belastung, falls mehr Eingänge als Ausgänge, dann Gutschrift)
Falls Empängerbank in anderem Bundesland: Übertragung der Transaktion von der LZB des Auftraggeberbankbundeslandes an die LZB des Empfängerbankbundeslandes
Clearingstelle sortiert die Transaktionen
Empfängerbank erhält die Transaktionsdaten zusammen mit vielen anderen Transaktionen per Datenübertragung
Empfängerbank erhält im Sammelverfahren Gutschrift des Überweisungsbetrags auf ihrem LZB-Konto (nicht einzeln, sondern der Betrag fließt in den Gesamtsaldo ein, siehe oben)
Empfängerbank verarbeitet die eingehenden Transaktionen und schreibt den Überweisungsbetrag dem Konto des Empfängers gut (Buchung).

„Fördsch!“, wie man in Sachsen sagt.

Die diversen Konten (LZB etc.) werden innerhalb der Banken ständig abgestimmt, es ist unmöglich, dort unbemerkt Zahlungen einzuschleusen, die quasi aus dem Nichts kommen, dies würde zu einer Differenz führen, der dann sofort nachgegangen wird.
In Deinem Beispiel würde festgestellt, dass auf dem Empfängerkonto eine Gutschrift gebucht wurde, auf der Gegenseite (Nostrokonto LZB) aber die Buchung fehlt. Schleust man auch dort eine Buchung ein, stimmt der Saldo des LZB-Nostrokontos nicht mehr mit dem ein, der von der LZB kommt. Egal, wie man es macht, wenn nicht wirklich Geld fließt, wird es irgendwo eine Differenz geben.

Übrigens: Der ganze oben beschriebene Vorgang läuft bei einigen Banken extrem schnell ab, wenn man die Zahlung elektronisch einreicht. Wenn ich bei der Commerzbank über HBCI eine Überweisung einreiche, ist das Geld oft schon eine Stunde später beim Empfänger, weil die Commerzbank eine direkte Anbindung des HBCI-Servers an das Zahlungsverkehrssystem und natürlich von dort weiter an die LZB hat und die Aufträge sehr zeitnah verarbeitet. Wie schnell die Zahlung beim Empfänger zu sehen ist, hängt natürlich auch davon ab, wie schnell die Empfängerbank die eingehenden Transaktionen verarbeitet, bucht und die Umsätze auch angezeigt werden.

Grüße
Sebastian

Hallo!
Unter ARD.de kam am 20.7.06 ein Bericht (leider nur für Anfänger) zur Sicherheit im Onlinebanking mit einigen akt. Literaturhinweisen.

Dein Thema ist aufschlußreich: Entweder bist du als Online-Banking-User in Sorge dein Konto könnte geplündert werden, oder
du sammelst Infos um selbst zuknacken und dann den Banken ein sicheres Programm anzubieten. Auf jeden Fall gehst du ganz clever an diese Sache heran.
Ich (User) befasse mich ständig mit dem Problem „Onlinesicherheit“. Gespräche mit EDV’lern der Banken haben (noch) zu keiner „Erhellung“ geführt. Diese Leute sind von Ihren Vorständen verdonnert nur das zu sagen, was die Banken-Lobby vorgibt (verständlich). Selbstverständlich nutze ich für meine Onlinebankingaktionen legale Tricks um mich über das übliche „bekannte“ hinaus abzusichern. Aber hierüber werde ich an dieser Stelle nicht berichten. Dennoch 100% Sicherheit wird es niemals geben.
Herzliche Grüße

Hallo,

… und dann den Banken ein
sicheres Programm anzubieten.

Dieses Programm bzw. das Verfahren gibt es bereits: HBCI mit Chipkarte und einem Class II Chipkartenterminal.

Dies wird auch von vielen Banken angeboten, nur wird es von der Masse der Online-Banking-Kunden nicht angenommen, weil es Geld kostet (Anschaffung der Erstausstattung) und weil die TANs ja so viel einfacher und bequemer sind.

Würde die Masse der Kunden höhere Sicherheit haben wollen, wäre sie auch weiter verbreitet. Nicht die Banken sind also das Problem, sondern die Kunden. Wer heute extrem hohe Sicherheit haben will, der bekommt sie auch.

Selbstverständlich nutze
ich für meine Onlinebankingaktionen legale Tricks um mich über
das übliche „bekannte“ hinaus abzusichern. Aber hierüber werde
ich an dieser Stelle nicht berichten.

Schade, das hätte mich interessiert. Vielleicht hätte ich noch was lernen können.

Dennoch 100% Sicherheit
wird es niemals geben.

Das ist richtig, aber nahezu 100%, was, gemessen am Bedrohungspotential, ausreicht.

Grüße
Sebastian

Hallo!

Unter ARD.de kam am 20.7.06 ein Bericht (leider nur für
Anfänger) zur Sicherheit im Onlinebanking mit einigen akt.
Literaturhinweisen.

Danke, ich werde mal schaun ob ich die Literaturhinweise finde.

Dein Thema ist aufschlußreich: Entweder bist du als
Online-Banking-User in Sorge dein Konto könnte geplündert
werden, oder
du sammelst Infos um selbst zuknacken und dann den Banken ein
sicheres Programm anzubieten.

Weder, noch. Aber ich habe damit gerechnet, dass man mir die Schreibidee nicht unbedingt abkauft. Nicht jeder, der sich für Waffen interessiert, will Waffenbauer werden oder hat Angst umgebracht zu werden.

Auf jeden Fall gehst du ganz clever an diese Sache heran.

Danke für die Blumen, aber „clever“ - ich glaube, jemand, der die Fähigkeiten und Kenntnisse dazu hat, im Alleingang Sicherheitsschwachstellen im elektronischen Geldverkehr aufzuspüren und bessere Programme zu konzipieren, braucht sich nicht zur Nachhilfe an ein Internetforum zu wenden.

Dennoch 100% Sicherheit wird es niemals geben.

Das denke ich auch. Umso spannender wäre der noch ungeschriebene Krimi, wenn er sich auf korrektes technisches Wissen stützt.

Gruss

Hallo Sebastian,

vielen Dank für deine vereinfachte Darstellung. Damit hast du mir sehr geholfen, meine Vorstellung zu korrigieren und einen einfachen Einblick in den Ablauf einer Überweisung zu haben.
Das hilft mir sicher auch beim Verständnis, wenn ich versuche in Details einzusteigen.
Mal sehn wie ich da später einen Hacker einbauen kann

Grüsse

Hallo!
Endlich ist hier im Forum etwas (konstruktives) los.
Ganz aktuell: Capital 16/2006: Online-Sicherheit:
Private Abwehrstrategie
Online-Sicherheit: 20 Banken im Test. Man glaubt es (vielleicht) nicht:
„relative“ höchste Sicherheit: Deutsche Bank, geringste Sicherheit: Volkswagenbank.
Herzliche Grüße