Der Verlierer zahlt
Wer seine Geldbörse mit einer österreichischen Bankkarte verliert, ist unter Umständen arm dran. Eine eklatante Sicherheitslücke bei bestimmten Instituten sorgt dafür, dass man sich auch ohne PIN und TAN am Konto des Inhabers bedienen kann.
- Daniel AJ Sokolov
- Christiane Rütten
Eigentlich soll der SecureCode Online-Einkäufe sicherer machen. Anstatt einem Online-Händler die gesamten Kontoinformationen für eine Lastschrift mitzuteilen, übermittelt man lediglich die Nummer der Bankkarte, mit der man bezahlen möchte. Anschließend authentifiziert man sich bei dem Server seiner Bank mit SecureCode und Passwort und autorisiert die Zahlung. Daraufhin erhält der Händler garantiert sein Geld.
Hinter der Transaktion verbirgt sich ein Protokoll namens 3-D Secure [1]. Es ist bei verschiedenen Kreditinstituten im Einsatz, etwa unter den Namen „MasterCard SecureCode“ und „Verified by Visa“. Auch die österreichische Maestro hat das Verfahren unter dem Namen „Maestro SecureCode“ für Online-Zahlungen adaptiert. Von der Phishing-Gefahr durch die Umleitung zum Bankserver einmal abgesehen, ist es aus technischer Sicht hinreichend sicher.
Den SecureCode muss man bei seinem Kreditinstitut einmalig freischalten. Wie jedoch die ausgebende Bank sicherstellt, dass ihn nur der Karteninhaber einrichten kann, bleibt der Bank überlassen – und genau hier liegt der Hund begraben. Aufgrund einer Sicherheitslücke in diesem Authentifizierungsprozess bei bestimmten österreichischen Banken können unehrliche Finder einer Bankkarte unter Umständen einen Maestro SecureCode erstellen und damit auf Online-Einkaufstour gehen.
Online-Anmeldung
Ein solcher SecureCode ist innerhalb weniger Minuten online eingerichtet. Zur Identifizierung muss man die sechszehnstellige Kartennummer, Geburtsdatum und Namen des Inhabers sowie eine E-Mail-Adresse übermitteln. Zur Authentifizierung genügen bei den betroffenen Banken Datum und Betrag zweier mit der Karte an Maestro-Terminals innerhalb der vergangenen zwei Monate durchgeführten Zahlungen.
Dummerweise enthalten verlorene Portemonnaies in der Regel nicht nur diverse Ausweisdokumente, sondern oft auch die ein oder andere Quittung. Wir haben den Verlust einer Geldbörse im Familienkreis des Autors nachgestellt: Mit den in der Geldbörse enthaltenen Informationen konnten wir erfolgreich einen Maestro SecureCode einrichten. Eine Testspende an Ärzte ohne Grenzen hat die Bank klaglos abgewickelt. Mit dem Maestro SecureCode hätten wir aber auch in über 15 000 weiteren Online-Shops ohne Wissen des Kontoinhabers dessen Geld verplempern können. Es dauerte fünf Tage, bis die Zahlung auf Kontoauszügen auftauchte.
Hätte der Finder Betrugsabsichten, wäre das Geld erst einmal weg gewesen. Die zur Registrierung des SecureCode verwendete E-Mail-Adresse könnte durchaus Hinweise auf den Täter liefern, doch auch hier hat der Betreiber des betroffenen Registrierungssystems geschlampt: Das System akzeptierte eine anonyme Wegwerfadresse von Mailinator.com, dem wohl bekanntesten Vertreter einer ganzen Reihe solcher Anbieter.
Bankenlandschaft
Österreich ist bislang das einzige deutschsprachige Land, dessen Banken und Online-Shops den Maestro SecureCode anbieten. Für den Test verwendeten wir eine Maestro-Karte der BAWAG/PSK-Gruppe mit aufgeprägter Kartennummer. Zu dem Verband gehören auch die Easybank, die Verkehrskreditbank und die ehemalige Sparda Wien.
Von c’t auf das offene Scheunentor angesprochen, zeigte sich die BAWAG/PSK-Pressestelle überrascht und verwies auf die Paylife Bank GmbH (vormals Europay Austria). Das Unternehmen steht im gemeinsamen Eigentum der wichtigsten österreichischen Banken und betreibt das Bankomat- und Maestro-System in Österreich. Paylife betonte, dass den Banken verschiedene Verfahren zur Erstellung des Maestro SecureCode angeboten würden. Es sei die Entscheidung der jeweiligen Bank, welchen Authentifizierungsprozess sie verwendet. Man informiere die Kreditinstitute über die Vor- und Nachteile hinsichtlich der Sicherheit, heißt es weiter. Schadensfälle mit für fremde Karten eingerichtetem Maestro SecureCode seien in Österreich bislang nicht aufgetreten.
Welche Banken das gleiche Verfahren wie die BAWAG/PSK verwenden, wollte man uns aber nicht verraten. Beispielsweise die Bank Austria oder die Erste Bank geben Maestro-Karten ohne aufgedruckte Kartennummer aus. Mit solchen Karten ist für die Einrichtung des SecureCode ein Besuch in der Bankfiliale, der Empfang eines Briefes oder der Zugriff auf den Kontoauszug erforderlich. Karten des Paylife-Konkurrenten CardComplete sind ebenfalls weniger gefährdet, da dort ein Aktivierungscode auf dem Postweg übermittelt wird.
Selbstschutz
Inhaber einer österreichischen Maestro-Karte können sich schützen, indem sie sich selbst einen SecureCode einrichteten, was allerdings mit Gebühren seitens der kontoführenden Bank verbunden sein kann. Besteht bereits ein solcher Code, lässt er sich nicht von Dritten erneut einrichten. Auch sollten weder Zahlungsbelege noch Kontoauszüge beziehungsweise Monatsabrechnungen gemeinsam mit der Karte verwahrt werden. Aus technischen Gründen und aufgrund geringen Kundeninteresses werde Maestro SecureCode in Österreich im November dieses Jahres ohnehin eingestellt, so Paylife. Diese Entscheidung habe jedoch nichts mit Sicherheitsüberlegungen zu tun.
Bei Kreditkarten genügen übrigens zur Freischaltung in der Regel die Kreditkartendaten. Das führt aber nicht zu einer geringeren Sicherheit, weil Betrüger mit diesen Daten ohnehin nach Belieben einkaufen können. Online-Shops, die das neue Verfahren anbieten, akzeptieren allerdings höchstens drei Einkäufe ohne SecureCode.
