Softwareupdate für Chips könnte EC-Karten-Problem lösen [2.Update]
Der Zentrale Kreditausschuss prüft derzeit, ob eine Neukonfiguration der von einem Programmierfehler betroffenen Chips möglich ist. Derweil behelfen sich viele Händler mit dem Überkleben der Chips, damit ihre Kunden zahlen können – was laut dem ZKA keine gute Idee ist.
- Daniel Bachfeld
Der Zentrale Kreditausschuss (ZKA), der Interessenvertreter der deutschen Kreditwirtschaft, prüft derzeit nach eigenen Angaben, ob eine Neukonfiguration der von einem Programmierfehler betroffenen Chips möglich ist. Die Voraussetzungen für ein solches Softwareupdate müssen allerdings erst noch geschaffen werden. Denkbar sind unter anderem Updaterechner in Bankfilialen, an denen Kunden die Software des Chips ihrer Karte aktualisieren lassen können oder ein Update über den Bankautomaten beim Einstecken. Das wäre zwar ebenfalls eine Herkulesaufgabe, würde aber den Austausch der rund 30 Millionen betroffenen Karten verhindern.
Abhebungen an deutschen Geldautomaten sollen auch mit fehlerhaften Karten wieder weitgehend möglich sein. Allerdings hatte das ZKA schon am Montag behauptet, dass alle Automaten umgestellt seien. Genaue Zahlen über die Umstellung der Händlerterminals gibt es bislang nicht. Unklar ist auch, wie viele Kunden wirklich von dem Problem beim Bezahlen betroffen sind, denn die Karten werden nur in Terminals mit neuester Software zurückgewiesen – davon gibt es zwar nach offiziellen Angaben 200.000, aber Terminals mit älterer Software scheinen zu überwiegen.
Ob die eigene Karte betroffen ist, [Update] lässt sich offenbar nur am Datum feststellen. Laut Deutschem Sparkassen- und Giroverband (DSGV) sind Kreditkarten betroffen, die einen Chip tragen und vor März 2009
ausgegeben wurden. Ec-Karten (girocards), die nach Juni 2009 ausgegeben wurden, sollen "definitiv nicht betroffen" sein.
Der Aufdruck in der rechten oberen Ecke auf der Rückseite der Karte gibt indes keinen Aufschluss darüber, welchen Chip die Karte wirklich enthält. Nach Angaben von Giesecke und Devrient, dem zweiten großen Hersteller von EMV-Chips und Karten, kennzeichnet der Aufdruck nur, von welchem Hersteller Bestandteile im Kartenkörper verbaut sind. So lieferte G&D bespielsweise auch nur Kartenkörper aus, die von Banken mit den fehlerhaften Chips des Herstellers Gemalto bestückt wurden.
Der DSGV plant nach eigenen Angaben ein Update der betroffenen Karten, was weniger Zeit benötige und für Kunden den Vorteil habe, dass sich die PIN nicht ändere. Wie das Update genau funktionieren soll, verrät der DSGV jedoch auch nicht. Die Karten sind gegen Manipulationen gesichert, sodass dazu vermutlich die Updates signiert sein müssen oder ein spezieller Befehl die Karte für Updates freischaltet. Laut Branchinsidern muss ein derartiges Update auf jeden Fall in einer sicheren, kontrollierten Umgebung erfolgen.[/Update]
Der ZKA warnt unterdessen davor, den Fehler durch Überkleben des Chips beheben zu wollen. Dies könne Karte und Lesegerät des Geldautomaten beschädigen. Mehrere Händler sollen sich Berichten zufolge aber mit Tesafilm behelfen, damit die Kunden im Geschäft bezahlen können. Erkennt das Gerät den Chip nämlich nicht, greift es auf den Magnetstreifen zurück. Bis Anfang nächster Woche sollen aber alle Terminals ohnehin umgestellt sein, sodass dieser "Workaround" in Deutschland überflüssig wird. Die Terminals nutzen dann die unsicheren Methoden.
Das ZKA behauptet zwar in seiner Pressemitteilung, dass "die Kartensicherheit dabei zu jedem Zeitpunkt in vollem Umfang gewahrt bleibt", allerdings hat sie bisher keine Antwort darauf gegeben, wer für Schäden haftet, die nun etwa durch Skimming auftreten. Das sichere EMV-Verfahren sollte ja gerade solche Angriffe verhindern – und seit 2005 gibt es eine Haftungsverschiebung von Skimming-Schäden hin zu Händlern, die EMV nicht unterstützen.
Einzig im Ausland könnte der Tesafilmtrick den Händlern bei zickigen deutschen Karten noch helfen. Laut ZKA versucht die deutsche Kreditwirtschaft derzeit mit den verschiedenen Partnern in den Hauptreiseländern, Möglichkeiten zu finden, wie auch dort kurzfristig eine weitere Akzeptanzverbesserung erreicht werden kann – offiziell gehört Tesafilm vermutlich nicht dazu.
[2.Update]: Hinweisen zufolge soll das Update der Karten über die Geldautomaten der Institute erfolgen. Dazu muss die EMV-Anwendung auf der Karte mittels eines geheimen Schlüssels für Veränderungen freigeschaltet werden. Der erforderliche Schlüssel wird über einen sicheren Kanal in die Geldautomaten übertragen. Dafür will man das bereits bewährte OPT-Verfahren (Online-Personalisierung von Terminals) einsetzen.
Alle Nachrichten sind dabei kryptographisch gesichert, und der Chip-Schlüssel wird selbst nur verschlüsselt übertragen. Die Integrität der Nachrichten wird über einen Message Authentication Code gesichert. Dieser Weg zum Beheben des aktuellen Chipkartenfehlers soll unter Laborbedingungen bereits funktionieren.[/2.Update]
Siehe dazu auch:
- EC-Karten-Problem entspannt sich nur langsam
- Chip-Softwarefehler ist Grund für EC-Karten-Ärger
- Kein Geld am Bankautomaten wegen Sicherheitschip
- Das Jahr 2010 sorgt für IT-Probleme
(dab)