Kein Geld am Bankautomaten wegen Sicherheitschip
Zahlreiche Kunden der Postbank hatten am Wochenende Probleme beim Versuch, mit EMV-Chips ausgestattete EC- und Kreditkarten zum Geldabheben am Automaten zu benutzen. Nach der Ursache wird noch geforscht.
- Daniel Bachfeld
Zahlreiche Kunden der Postbank hatten am Wochenende Probleme beim Versuch, mit EMV-Chips ausgestattete EC- und Kreditkarten zum Geldabheben am Automaten zu benutzen. Ein Teil der Karten sei von den Automaten abgewiesen worden, sagte ein Sprecher der Postbank gegenüber dpa. Die Geldautomaten selbst hätten tadellos funktioniert. Experten würden derzeit nach der Ursache suchen, warum einige der Karten mit dem sogenannten EMV-Chip von den Automaten nicht angenommen würden.
Wie viele Kunden betroffen sind, konnte der Sprecher gestern nicht sagen. Nach Angaben von Hartmut Schlegel, Sprecher der Postbank handelt es sich aber nicht um ein alleiniges Problem der Postbank. Schlegel zufolge will der Zentrale Kreditausschuss (ZKA) zu diesem Thema heute Stellung nehmen
Die EMV-Technik soll die Karten vor dem illegalen Kopieren etwa mittels Skimming schützen und den bisher üblichen Magnetstreifen ersetzen. Das EMV-Verfahren bedient sich kryptografischer Methoden, mit der ein Kartenterminal die Echtheit einer Karte verifizieren und mit ihr kommunizieren kann. Derzeit gibt es drei unterschiedliche Sicherheitsverfahren zur Echtheitsprüfung einer Karte: Static Data Authentication (SDA), Dynamic Data Authentication (DDA) und Combined Dynamic Data Authentication (CDA). Die Bank- und Kreditwirtschaft setzt auf ihren Karten hauptsächlich SDA und DDA ein.
Bei SDA wird eine Kombination aus festen Kartendaten mit einem RSA-Schlüssel des Herausgebers signiert. Da diese Signatur statisch ist, kann sie bereits bei der Herstellung in den Chip eingebracht werden, was Kosten spart. Allerdings ist der SDA-Chip nicht in der Lage, eigene kryptografische Operationen durchzuführen. Deshalb wird bei der PIN-Prüfung im Offline-Verfahren, also wenn keine direkte Verbindung zum System des Kartenausstellers besteht, die auf dem Terminal eingegebene PIN im Klartext an die Karte zur Verifizierung geschickt.
SDA-Chips sind insbesondere in Großbritannien verbreitet, wo Skimmer diese Schwachstelle bereits ausnutzen: Um an die PIN und Kartendaten zu gelangen, belauschen sie die Kommunikation zwischen Terminal und Karte. Dazu muss ein spezielles Gerät zwischen Karte und Terminal geschaltet werden – ein Aufsatz auf dem Einsteckschlitz. Die mitgeschnittenen Daten kann ein Betrüger auf den Magnetstreifen eigener Karten schreiben und damit einkaufen gehen – die PIN hat er ja ebenfalls.
Der Missbrauch funktioniert unter anderem deshalb, weil Verkaufstellen (Point of Sales, POS) neben Chipkarten auch weiterhin Karten mit Magnetstreifen unterstützen müssen. Daher bieten auch prinzipiell die in Deutschland eingesetzten sichereren Chips mit DDA-Verfahren keine hundertprozentige Sicherheit. Denn die Karten sind immer noch parallel mit einem kopierbaren Magnetstreifen ausgestattet, um damit auch im Ausland abheben und bezahlen zu können, wo der EMV-Standard bislang noch nicht unterstützt wird. Seit 2005 gilt jedoch die sogenannte Haftungsumkehr. Danach muss immer derjenige Partner für Betrugsfälle im Kartensektor haften, der nicht EMV-fähig ist – das kann die Bank oder das Geschäft sein.
Siehe dazu auch:
(dab)
