Wie man den Tresor einer Post-Filiale aufbekommt

Eben hab ich gerade was verpennt.

Ich war gerade über Mittag in einer Postfiliale. Ich hatte bei DHL eine beschädigte Paketsendung reklamiert und die hatten mir geschrieben, ich soll das Paket samt Inhalt in der nächsten Post-Filiale abgeben. War aber etwas komplizierter, die kannten sich dort damit auch nicht aus und mußten erst das Formular suchen und mal telefonisch nachfragen. Während ich vorne mit dem Handy in der Hand am Tresen stand, weil ich die E-Mail von DHL und deren Case-Nummer herausgesucht hatte, verschwanden die zum Telefonieren und Beratschlagen alle nach hinten, hinter ein Regal, und ließen mich vorne alleine warten.

Wie ich so da vorne stehe und die E-Mail nochmal durchlese, fällt mir so unterschwellig was auf. Die haben da die ganze Zeit mit einem großen, auffälligen, ganz langen Tresorschlüssel herumhantiert, der immer von Kollege zu Kollege gereicht wurde, und jeder hat ihn irgendwo abgelegt, bis der nächste ihn sich geschnappt hat. Und durch die Diskussion und das Hin und Her waren die so abgelenkt, daß sie im Eifer den Schlüssel auf den Tresen gelegt hatten. Direkt vor meine Nase.

Ich denke noch, daß die aber fahrlässig umgehen, denn den Schlüssel hätte ich problemlos einstecken können. Von der Post war keiner da, der das hätte sehen können, und den Kunden hinter mir, wäre es wohl auch nicht aufgefallen. Nicht, daß ich klauen würde, aber als Security-Heini geht mir sowas halt durch den Kopf, denn die Sicherheit von Tresoren gehört ja so ganz am Rande auch zu meinem Thema, und erst kürzlich hatte ich mal als Security Consultant in einer Firma herausgefunden, daß man ohne weiteres die Tresorschlüssel greifen konnte (was auch nichts mehr machte, weil die Tresore wiedeholt unbeaufsichtigt unverschlossen standen). Da man aber nicht weiß, wo da die Überwachungskameras hängen und einen die Kunden hinter einem ja eventuell doch bemerken, ist das doch mit hohem Risiko verbunden, und einen Nutzen hat es nicht. Denn sie würden das Fehlen des Schlüssels sofort bemerken und Gegenmaßnahmen treffen.

Zu spät, erst als der wieder da war und den Schlüssel – ohne drüber nachzudenken – ganz normal wieder eingesteckt hat, ist mir ein Licht aufgegangen. Ich stand doch sowieso und unverfänglich mit dem Handy in der Hand da und habe auf das Display geschaut, es später sogar den Post-Leuten zum Lesen mal rübergereicht. Ich hätte nur den Auslöser zu drücken brauchen und hätte ein Foto des Schlüssels gehabt – und selbst wenn mich eine Überwachungskamera dabei beobachtet hätte, da wäre nichts verdächtiges zu sehen gewesen. Mit so einem Foto könnte man in aller Ruhe einen Nachschlüssel feilen und eine Weile warten können – etwa bis alle Überwachungskameraaufnahmen gelöscht worden wären. Weil die Postfiliale in einem kleinen S-Bahnhof sitzt und nach außen nur durch Glasscheiben umfaßt ist, könnte man da ruckzuck und in weniger als einer Minute nachts durch die Scheibe, Tresor ausräumen und wieder weg.

Falls da überhaupt was verwertbares und nicht nur Einschreibebriefe drin ist. Keine Ahnung, ob sie darin auch ihr Geld haben.

Zugegeben, das ist keine systematisch ausnutzbare Schwäche, sondern ein singulärer Zufall gewesen. Ging mir aber so durch den Kopf. Im Internet verkloppen sie Sicherheitslöcher und Passworte für Geld. Könnte man auch das Foto eines Tresorschlüssels verkaufen?

Und hätte ich gegen irgendwelches Recht verstoßen, wenn ich den Schlüssel fotografiert und hier gebloggt hätte?

Wäre ich als Security-Heini dort gewesen, hätte ich „Änderungsbedarf” vermerkt.

Ganz neu ist die Idee freilich nicht. ACHTUNG: Hier ist der Blog-Artikel zu Ende. Das Thema ist beendet. Weiterlesen nur für die, die es wirklich wissen und lesen wollen. Wer’s nicht wissen will, möge sich also nicht beschweren!

Dazu fällt mir nämlich wieder mal eine Anekdote zum „großen Kryptologen” Beth ein – eine, die ich noch nicht gebloggt habe (zumindest könnte ich mich nicht daran erinnern, sie schon mal erwähnt zu haben):

Als ich damals Hiwi und neuer Mitarbeiter am Institut war, fuhr Beth noch einen alten, gammeligen Jetta. Das war ihm peinlich, deshalb parkte er den immer irgendwo abseits, wo man es nicht sieht, und vermied es, mit anderen Leuten zum Auto zu gehen.

Irgendwann hatte er aber genug „Nebeneinkünfte” beisammen und kaufte sich einen schönen, satten, dicken, fett ausgestatteten Audi Kombi. Sah so richtig gut und dick nach Firmenchef aus. Hat wirklich was her gemacht.

Und wie Beth eben so war, hat er in der ihm eigenen Art keine Gelegenheit ausgelassen, mit seinem neuen Auto anzugeben wie Schweinskopfsülze. Er hat den neuen Wagen dann immer direkt vor dem Institut geparkt, und die Leute dann angesprochen, ob sie noch aus irgendwelchen Gründen mit zum Auto kommen könnten. Andauernd kam er auf das Thema, was für einen tollen Audi er jetzt fahre, Audi hier, Audi da.

Nu hatten die damals auch ganz neu diese klobigen Autoschlüssel mit Fernbedienung, die inzwischen jeder hat. Aber noch mit zusätzlichem normalen Metallschlüssel unten dran, noch nicht so zum Einklappen wie heute. Da ging’s weiter. Die Fernbedienung, wie toll und wie wichtig. Die müsse dringend kryptographisch geprüft werden, niemand könne das außer uns, und die Autoindustrie hätte nur auf uns gewartet. Regelrecht besessen war er von dem Audi. War auch ganz wichtig für ihn, denn kurz vorher hatte ich mir auch ein neues Auto gekauft, ebenfalls einen silbernen Kombi mit Dachreling. Nur ein einfacher Ford Escort, nicht mal halb so teuer, sah aber viel besser aus als sein alter Jetta (und nicht allzuviel schlechter als sein neuer Audi), was ihn auch gewurmt hat. Kann nicht sein, daß die Mitarbeiter besser oder fast so gut fahren wie der Prof. Weshalb es für ihn ganz wichtig war, daß sein Audi so eine Fernbedienung hatte und mein Ford nicht. Ich hatte damals nur so einen ganz popeligen Standardschlüssel, Stück Metall mit Griff.

Allerdings hatte er auch Panik. Daß ihm jemand seinen Audi klauen würde. Er hatte nämlich herausgefunden, daß die Fernbedienung stark genug war, von seinem Büro aus die Türen zu entriegeln, weil er ja (unerlaubt) direkt vor dem Institut parkte. Ihn quälte unablässig der Gedanke, daß er versehentlich oder beim Herumspielen an die Fernbedienung kommen, das Auto öffnen und es ihm dann jemand stehlen oder sonstigen Unfug damit treiben könnte. Das war sein wunder Punkt. Und so uneingeschränkt toll war das dann auch nicht, zumal ich dann gelegentlich damit erwiderte, daß mir sowas nicht passieren könnte.

Um besser angeben zu können, hatte er sich außerdem angewöhnt, in Vorlesungen und Vorträgen so gespielt beiläufig seinen Schlüsselbund auf den Overhead-Projektor zu legen oder eben seinen Autoschlüssel statt eines Kulis als Zeigeinstrument zu verwenden. Damit jeder sehen konnte, daß er einen der dicken Schlüssel mit Fernbedienung hatte. Hat unglaublich genervt. Aber er hat nicht damit aufgehört.

Nun war sein Schlüssel aber nicht wie die modernen ein Teilrelief-Schlüssel, sondern noch so ein altmodisch vollgefräster. Das heißt, wenn er den auf den Projektor gelegt hat, konnte man die genaue Form sehen, der ganze Hörsaal.

Wir haben ihm dann mal nach einer Vorlesung zugeraunt, wir hätten genau gehört, daß gerade in dem Augenblick, als er seinen Schlüssel wieder auf dem Projektor hatte, eine Kamera ausgelöst hat. Jemand hätte seinen Schlüssel fotografiert um ihn nachzufeilen und sein Auto zu stehlen.

Da hat er einen wahnsinnigen Schrecken und regelrechte Panik bekommen. Es hat ihn als einen der weltweit führenden Kryptographen, für den er sich hielt, extreme Angst gemacht, daß es sich herumsprechen könnte, daß ausgerechnet er seinen „geheimen Schlüssel” auf so blöde Art offenbart.

Wir haben nie herausgefunden, ob er die Schlösser hat austauschen lassen. Aber von dem Tag an war Ruhe mit der Angeberei und er hat nie wieder seinen Schlüsselbund auf den Overhead-Projektor gelegt. Und er hat eingesehen, daß mein einfacher Ford seinem Audi doch nicht so unterlegen war, wie er sich das wünschte. Beim Ford-Schlüssel konnte man mit dem Schattenwurf nämlich nichts anfangen. Womit der Ford-Schlüssel sich als robuster gegen den Licht-Angriff erwiesen hatte, er wurde durch einen Overhead-Projektor nicht kompromittiert. Auch ne kryptographische Erkenntnis…