Jemand den ich kenne, hat sich neulich ein DVD ausgeliehen. Nichts besonderes heutzutage.
Allerdings wunderte er sich zu Hause, wieso er diesmal keinen Ausleihschein (auf dem die ausgeliehnen DVDs vermerkt sind) unterschreiben musste.
– Also fragte er einen alten Bekannten, der einmal in dieser Videothek gejobbt hatte.
Seine Antwort: (Sinngemäß) Die Angestellten werden dazu ermuntert Ausleihvorgänge am System vorbei durchzuführen. Dies hat zur folge, das Statistiktechnisch weniger Umsatz gemacht wird, wodurch der/die Inhaber/-in weniger Steuern zahlen muss.
Wenn du keinen Ausleihschein unterschrieben hast, tauchst du auch nicht im System auf.
Dies versetzte ihn etwas in schrecken, den ein Ausweis dieser Videothek sieht so aus:
Auf der Vorderseite ist nur der Barcode (die Kundennummer als Barcode), auf der Rückseite ist die Kundennummer als Dezimalzahl (z.B. 1234).
Keine Name, Foto etc.
Zur Verdeutlichung habe ich hier mal den Vorgang bildlich festgehalten, Erklärungen der einzelnen Teilbilder sind unter dem Bild.
Zur Besprechung der Sicherheitslücken, die dadurch zustande kommen, kommen wir später.
So ist der Vorgang, wenn alles legal abläuft:
1) Kunde gibt Angestellten seinen Ausweis mit Barcode sowie die DVDs die er ausleihen will.
2a) Angestellte scannt den Barcode ein, Namen und Alter erscheinen auf dem Display. Ebenfalls scannt der Angestellte die Barcodes der DVDs ein, die mit dem Datensatz des Kunden verknüpft werden.
3a) Kunde muss einen Ausleihschein auf dem die ausgeliehenen DVDs stehen unterschreiben und erhält seinen Ausweis sowie die DVDs.
Der Ausleihschein verbleibt in der Videothek.
So ist der Vorgang, wenn Betrogen wird:
1) Kunde gibt Angestellten seinen Ausweis mit Barcode sowie die DVDs die er ausleihen will.
2b) Angestellte scannt den Barcode ein, Namen und Alter erscheinen auf dem Display. Ebenfalls scannt der Angestellte die Barcodes der DVDs ein, die nicht mit dem Datensatz des Kunden verknüpft werden.
– Es wird also nur eine Art “Leerbuchung” vorgenommen, die keinen Umsatz erzeugt. Beim Kunden aber das Gefühl suggeriert er wurde “erfasst”. Was somit in diesem Fall auch gleichzeitig als Diebstahlabschreckung gewertet werden kann.
3b) Kunde erhält nur seinen Ausweis und die DVDs zurück.
Das in diesem Laden so Steuerhinterziehung betrieben wird, störte ihn da eher weniger.
Was ihn mehr störte ist, das jeder der sich einen beliebigen zufälligen Barcode auf seinen Ausweis macht, einfach so DVDs ausleihen und behalten kann.
Vorrausgesetzt er musste keinen Ausleihschein unterschreiben.
Der geprellte (echte) Kunde aber keine Chance hat zu beweisen, das nicht er es war der die DVDs ausgeliehen hat.
Deshalb entwickelte sich bei der Abgabe der DVDs folgender Dialog:
Kunde: Warum musste ich kein Dokument bei der Ausleihe unterschreiben, so könnten auch andere Leute mit meiner Karte DVDs ausleihen.
Chefin: *Pause* *angespantes Nachdenken* Wenn es hektisch ist und der Laden voll, lassen wir es aus zeittechnischen Gründen.
(Als er die DVDs ausgeliehen hat, war er der einzige Kunde im Laden laut seiner Aussage. Aber wir wissen ja sowieso schon das Sie etwas sagen muss, um ihre Steuerbetrügerein zu kaschieren. Anmerk. der Redak.)
Kunde: Wer hat den Schaden wenn jemand mit meiner Karte DVDs ausleiht und nicht zurückbringt?
Chefin: Den Schaden hätten Sie, weil Sie es nicht beweisen können das Sie es nicht gewesen sind.
(Es gibt keinen Weg zu beweisen, das man etwas nicht getan hat. Deswegen heißt es auch “Im Zweifel für den Angeklagten.” Anmerk. der Redak.)
Kunde: Was passiert wenn ich meinen Ausweis verliere?
Chefin: Sie können die Karte kostenlos sperren lassen.
Kunde: Was wäre wenn jemand mein Ausweis gefälscht hätte und damit DVDs ausleiht.
(Überreicht ihr einen selbst angefertigen Barcode, der mit dem auf seinem Ausweis identisch ist, auf einem Zettel.)
Kunde: Ich wette, wenn Sie den einscannen passiert genau das gleiche, als wenn Sie meine Kundenkarte einscannen.
(Chefin scannt ein.)
*piep*
Chefin: *sichtlich negativ überrascht* Nee, geht nicht.
Kunde: Kann ich mal um den Thresen kommen und mir das angucken?
(Kunde setzt sich in Bewegung. – Chefin scannt hektisch nochmal ein.)
*piep*
Chefin: *gelassen* Oh! Jetzt geht es!
Chefin: Aber wenn Sie es drauf anlegen (meint: DVDs klauen/nicht zurückbringen, Anmerk. der Redak.) gibt es auch andere Wege.
*pause*
Chefin: Ende des Jahres (Wir haben jetzt Juli, Anmerk. der Redak.) stellen wir sowieso auf ein anderes System um.
Kunde: Wie wird das System den aussehen? Mit PIN/Chipkarten oder Barcode?
Chefin: Öh.. Weiß ich nicht genau…
Wir halten fest:
– Der Scanvorgang hat gleich beim 1. mal funktioniert. Wieso auch nicht? Barcodes sind simpel.
– Die Chefin weiß, das ihr System unsicher ist und es gibt wohl noch andere Wege kostenlos an DVDs zu kommen.
Zitat: Chefin: Aber wenn Sie es drauf anlegen gibt es auch andere Wege.
– Weiß die Chefin, das diese Wege durch ihre Betrügerein entstehen?
– Die Chefin will auf ein System umstellen. Das steht fest. Sie weiß aber nicht auf welches.. Ok.. Evtl. ist Sie da noch in der Planung. Trotzdem merkwürdig. Typische Marketingpropaganda also.
Die Fragen die wir uns nun stellen sind:
Gibt es irgendwo eine Funktion im Programm, das Datensätze nicht in die Datenbank aufgenommen werden?
– Wir wissen aus sicherer Quelle, das die Daten von Stammkunden und solchen die persönlich bekannt sind immer korrekt erfasst und abgerechnet werden.
Dies erscheint auch Steuerprüfungstechnisch gesehen logisch. Jeder Betrieb hat seine Stammkunden. Und da mein Bekannter bisher auch immer so einen Leihschein unterschreiben musste (Die Nichterfassungen sind willkürlich.) wird das Betrugssystem sehr gut versteckt.
Werden gar pauschal alle DVDs erstmal nicht mit dem Kunden verbunden!?
Die vielen Leerbuchung müssten doch auffallen…
– Heißt das, das wenn ich nicht persönlich bekannt bin, einfach so DVDs klauen kann ohne Angst haben zu müssen aufzufliegen, weil die Videothekenbetreiber keine Ahnung haben wo sich gerade ihre DVDs befinden und dies auch nicht nachprüfen können?
– Das würde auch erklären, wieso man noch den, eigentlich überflüssigen, Ausleihschein unterschreiben muss. -> Sämtliche Bestellvorgänge werden später nocheinmal manuell ins System eingegeben.
– Bedeutet es, das ich mir einen beliebigen Barcode machen kann, DVDs ausleihen und wenn ich auf Name/Alter angesprochen werde mir irgendeine Ausrede einfallen lasse und anschließend mit den DVDs untern Arm herauspazieren kann und den Schaden trägt der Kunde, dessen Kundennummer ich zufällig gewählt habe?
ist die grafik mit paint?
sieht gut aus ..
willst mir nen paar raumschiffe designen? *fg*
Du hast recht, ist mir noch gar nicht aufgefallen, aber sowohl die Ausweise in der Videothek, als auch bei der Regionalbibliothek sowie FH sehen so aus.
Vielleicht sollte man einfach mal seinen Ausweiss faelschen, nen Kumpel reingehen lassen und dort mal nachfragen wieso das moeglich war.
Mal gucken, wenn ich mit dem Schulstress fertig bin ;-)
PW
Moin ich bin der ueber den die Geschichte ist. Das mit dem Ausweis faelschen ist so eine sache. (Habe ich mit Khark auch schon drueber diskutiert) Wenn du was mit nem gefaeltem Ausweis entleihst und nach fuenf minuten wieder kommt und die Situation aufklaerst ist alles gut gelaufen. Aber was passiert wenn der “Schwindel” vorher auffliegt? Dann stehst du als Betrueger da und kannst deine eigentlich guten Absichten nicht beweisen…
Ich hatte mir schon ein paar Barcodes ausgedruckt. (z.b. meine KdNr +1 ) War mir dann aber doch zu riskant. Was ist wenn der gefaelschte Barcode einer Simone gehoert ich aber maennlich bin. Oder der Kunde 69 jahre als sein muesste..
Otti
Eben..
Deswegen hab ich ja auch hingeschrieben:
Es gibt keinen Weg zu beweisen, das man etwas NICHT getan hat.
Genau aus diesem Grund muss die Polizei Beweise finden wenn sie will, das jemand auch verurteilt wird. Aus selbigen Grund werden Geständniss immer überprüft (anhand von Detailfragen, Augenzeugen etc.).
Der einzige Beweis, das jemand etwas nicht getan hat, ist, das es keinen Beweis gibt, das er es getan hat.
Und jetzt Beweis mir mal jemand, das er/sie nie: Eine Coladose geklaut /Frauen/Männer belästigt/Kinder vergewaltigt hat.
– Die Liste lässt sich beliebig erweitern..
Der einzige Weg, der mir einfallen würde, wäre vorher zu einem Notar o.ä. zu gehen, die von Berufs wegen zu Ehrlichkeit “verdonnert” sind und aufgrund dessen vor Gericht glaubwürdig sind.
Mal davon abgesehen:
Wenn du auffliegst, kann dir der/die Besitzer/-in der Videothek alle DVD-Diebstähle der letzten x-Monate/Jahre unterstellen.
– Und hier greift dann wieder obige Ausführung…
@otti: oder Kundennummer gar nicht existiert?
zu solchen Versuchen: man könnte ja vorher mit dem Chef das ganze abklären – und dann testet man. Wer seinen Laden für sicher hält, wird sich so einem Test sicher nicht verwehren … Problem ist nur, wenn Chef seine Mitarbeiter dann unterrichtet…
Naja, das Problem ist, das die Betreiberin dem garantiert nicht zustimmen wird.
Sie betreibt mit dieser Masche ja Steuerhinterziehung :D
Und schonmal eine Firma erlebt, die dir erlaubt einfach so ihr Netzwerk auf Schwachstellen hin zu überprüfen, weil Sie sagt es sei sicher??
– Ich habs mal versucht. Mit dem Ergebniss das ich ein paar Tage später wieder dem internationalen Praktikantenmarkt zugeführt wurde :D
(Ok.. Da spielten auch andere Gründe mit rein.)