interne Weitergabe der elektronischen Unterschrift

priv. Schlüssel + Kennwort (und priv. Schlüssel im Netzlaufwerk)

saiboto

Betreff:

interne Weitergabe der elektronischen Unterschrift

 ·  Gepostet: 27.01.2014 - 10:52 Uhr  ·  #101165
Hallo Forum,

wie mir gerade zu Ohren gekommen ist, gibt es bei uns im Unternehmen eine Abteilung die
es mit der elektronischen Unterschrift etwas leichtsinnig nimmt.

Bewusst sind bei uns nur leitende Positionen bei der Bank bevollmächtigt.
Unsere Verwaltungskräfte etc. stellen normalerweise nur ein.

Nun hat es sich ein Inhaber eine EU / Vollmacht aber ganz einfach gemacht,
und gibt die Zahlungen nur noch mündlich frei.
Die MA unterschreibt dann mit seinem Stick und dem Kennwort.

Mal abgesehen von den betriebsinternen Konsequenzen:

Wer macht sich hier eigentlich wie strafbar?
Spricht man hier schon von einer "Unterschriften-Fälschung" ?

(Bitte keine Vermutungen)

Wäre es dennoch möglich die EU in Form einer kurzfristigen Vollmacht von Person A nach Person B
zu geben? Wenn auch nur für den Fall einer Urlaubsvertretung?
Es gibt aber noch immer bei uns MA die Vollmachten für alle Konten haben, also hier im Fall einspringen, und
über Zahlungen entscheiden dürfen.

Eine Sache zum Thema noch:
Kürzlich sind wir dazu übergangen manche privaten Schlüssel im persönlichen Netzlaufwerk zu positionieren,
anstatt dass jedes Mal der USB-Stick benutzt werden muss.
Manche MA können somit über den Terminalserver von außerhalb Zahlungen direkt freigeben.
Ich halte es auch dann für sicherer, wenn mit dem Stick nicht sachgemäß umgegangen wird.
(Steckengelassen und verfügbar für jeden)
Es ist sichergestellt dass nur die Person über NTFS/Freigaberechte auf die Schlüsseldatei zugreifen kann.
Einen negativen Beigeschmack hat die Sache aber für mich. Der Schlüssel ist ständig "verbunden".
Wird das Passwort durch einen Keylogger abgefangen, wäre der Schlüssel auch durch den Trojaner nutzbar.


Wie sichert ihr euch ab, bzw. wie versucht ihr die Sache etwas komfortabler zu gestalten, aber trotzdem die Sicherheit
nicht zu verlieren?


Grüße Tobias

onlbanker

Betreff:

Re: interne Weitergabe der elektronischen Unterschrift

 ·  Gepostet: 27.01.2014 - 11:01 Uhr  ·  #101167
Die Antwort findest du in der EBICS Teilnahmevereinbarung mit der Bank. Die solltest du im Vertragsregister der Firma finden, denn die werden i.d.R. mit der Firma geschlossen, nicht mit dem Teilnehmer. Kommt ein bisschen auf die Vertragsgestaltung und Bedingungen an. Im EBICS Bereich gibt es da m.W. sehr wenig normierte Verträge im Umlauf.
Strafbar ist das nicht. Der Teilnehmer muss ja sein Passwort weitergegeben haben. Und wenn er dazu nicht unter Gewaltandrohung gezwungen wurde liegt keine Straftat vor.
Und zivilrechtlich liegt auch kein relevantes Fehlverhalten vor, solange kein Schaden entstanden ist. Falls doch kommt es auf den Vertrag und die Bedingungen an, welche Partei in welche Weise fahrlässig oder grob fahrlässig war und daher welche Haftung trägt.

Holger Fischer

Betreff:

Re: interne Weitergabe der elektronischen Unterschrift

 ·  Gepostet: 27.01.2014 - 11:13 Uhr  ·  #101169
Hallo Tobias,

vielleicht macht man der Führungskraft es anders etwas deutlicher:
Er hat seinen Mitarbeiter da einen Stapel unterschriebene Blankoschecks hingelegt und vertraut darauf, dass die nur das Eintragen, was dieser ihnen zuruft. Entweder ist er sehr naiv, oder hat sehr gute, vertrauenswürdige Mitarbeiter!

Auch für den Mitarbeiter ist das nicht ganz unproblematisch. Wenn die Führungskraft die Zahlungen immer nur auf Zuruf veranlasst, gibt es keinerlei Dokumentation ob und wer die Zahlung wirklich veranlasst hat. Wenn die Führungskraft so freizügig mit der Unterschrift umgeht, muss das nur jemand mitbekommen und selber eine Zahlung veranlassen. Wer war es denn dann? .....
Wenn Ihr eine funktionierende Innenrevision habt, würde ich es an diese weiter geben.

Viele Grüße

Holger

onlbanker

Betreff:

Re: interne Weitergabe der elektronischen Unterschrift

 ·  Gepostet: 27.01.2014 - 11:15 Uhr  ·  #101171
Zitat geschrieben von Holger Fischer
Wenn Ihr eine funktionierende Innenrevision habt, würde ich es an diese weiter geben.

Ich habe den Verdacht, dass er das selbst ist :)