Pseudosicherheit in Hotlines

"Ich hätte mal eine Frage zu meinem Vertrag." - "Gerne, da bräuchte ich einmal die Kundennummer." - "Moment, die 123456789 wäre das." - "Zur Sicherheit einmal zum Abgleich bitte die Adresse und das Geburtsdatum bitte." - "Die ABC-Straße 123 in 12345 Musterhausen und geboren bin ich am 01.04.1980." - "Vielen Dank, was kann ich für Sie tun?"

So oder so ähnlich dürften in sehr vielen Hotlines die Gespräche beginnen. Ich möchte etwas über meinen Vertrag wissen und muss dafür ein paar Daten angeben um zu verifizieren, dass ich wirklich der Vertragspartner bin. Allerdings frage ich persönlich in dem Fall: Wie viel Sicherheit bringt das eigentlich?

Nehmen wir mal mich als Beispiel und gehen von einer X-beliebigen Person aus, die Informationen über meinen Vertrag möchte. Die Kundennummer hat sie entweder auf einem Dokument bei mir gesehen oder "vergessen". Glücklicherweise kann man meistens aber auch ohne die Kundennummer den Vertrag zuordnen und auf die Informationen zugreifen.

Problem nummer eins: Die Adresse. Ein wirklicher Witz, wenn sie jemand tatsächlich nicht kennen sollte. Ich gebe mal einen kleinen Tip: Klickt mal oben unter dem Header auf "Impressum" und schon habt Ihr die Adresse. So sollte das bei jedem Blogger, wohnhaft in der Bundesrepublik Deutschland funktionieren, denn jeder Blog ist impressumspflichtig. (Vgl. §5 TMG und Begriffsdefinition "geschäftsmäßig". *)

Weiter also zum Geburtsdatum. Schon kniffeliger oder? Nehmen wir der Einfachhalt halber an, dass der "Angreifer" mit mir auf Facebook befreundet ist. Ein Klick in mein Profil und schon ist das Geburtsdatum bekannt. Sollte er nicht mit mir befreundet sein, ist es allerdings auch nicht allzu schwer herauszufinden wann ich geboren bin. Man schaut auf Twitter oder Facebook die öffentlichen Posts anderer Personen auf der Timeline an, wann sie zum Geburtstag gratulieren. Mein ungefähres Alter ist auch bekannt und somit lässt sich in 3-4 Anrufen die Information verifizieren.

Natürlich ist das immer noch etwas mehr Aufwand als einfach nur anzurufen und nach den Informationen zu fragen aber ganz ehrlich: Das kostet ca. 5 Minuten Aufwand und schon hat man alle benötigten Angaben um trotzdem wieder an die Infos zu kommen.

Was genau bringt das nun also an Sicherheit? Kein Stück. Also liebe Betreiber von Hotlines, die auf Vertragsangeben zugreifen können: Lasst es doch bitte den Anrufern eine Pseudosicherheit vorzugaukeln und führt entweder PINs ein, die euch dann auf das Sicherheitsniveau einer Bank hebeln oder aber gebt einfach keine relevanten Informationen über das Telefon heraus.

(Artikelbild © www.liligraphie.de / pixelio.de)

* Die Diskussion "geschäftsmäßig" vs. "gewerbsmäßig" erspart Ihr mir an dieser Stelle bitte und führt sie mit einem Anwalt. Danke!