Schwachstellen in neuer Kreditkartengeneration
Wissenschaftler der Cambridge Universität haben unter Laborbedingungen demonstriert, wie sich die Kommunikation der Karte belauschen lässt. Ein Betrüger könnte mit den Daten eigene Kreditkarten herstellen und damit bezahlen.
Das ARD-Fernsehmagazin Plusminus berichtet über Schwachstellen von Kreditkarten, die mit der neuen Chip-Technologie ausgestattet sind. So haben Wissenschafter der Cambridge Universität unter Laborbedingungen demonstriert, wie sich die Kommunikation der Karte mit einem präparierten Chip-Karten-Terminal abhören lässt. Mit den so gewonnen Daten könnte ein Betrüger später eigene Kreditkarten herstellen und damit bezahlen.
Die neue Kartengeneration mit Chips soll den herkömmlichen Magnetstreifen ablösen und besser vor Missbrauch schützen. Derzeit gibt es drei unterschiedliche Sicherheitsverfahren zur Echtheitsprüfung einer Karte: Static Data Authentication (SDA), Dynamic Data Authentication (DDA) und Combined Dynamic Data Authentication (CDA). Die Kreditwirtschaft setzt auf ihren Karten hauptsächlich SDA und DDA ein. Bei SDA wird eine Kombination aus festen Kartendaten mit einem RSA-Schlüssel des Herausgebers signiert.
Da diese Signatur statisch ist, kann sie bereits bei der Herstellung in den Chip eingebracht werden, was Kosten spart. Zudem ist der SDA-Chip nicht in der Lage, eigene kryptografische Operationen durchzuführen. Deshalb wird bei der PIN-Prüfung im Offline-Verfahren, also wenn keine direkte Verbindung zum System des Kartenausstellers besteht, die auf dem Terminal eingegebene PIN im Klartext an die Karte zur Verifizierung geschickt.
Hier setzt der Angriff der britischen Wissenschaftler an: Um an die PIN und Kreditkartendaten zu gelangen, belauschen sie die Kommunikation zwischen Terminal und Karte. Dazu muss aber ein spezielles Gerät zwischen Karte und Terminal geschaltet werden. Die mitgeschnittenen Daten kann ein Betrüger auf den Magnetstreifen eigener Karten schreiben und damit einkaufen gehen – die PIN hat er ja ebenfalls. Der Missbrauch funktioniert unter anderem deshalb, weil so genannte Point of Sales (POS) neben Chipkarten auch weiterhin Karten mit Magnetstreifen unterstützen müssen.
Bei Karten, die keinen Chip haben, sind ähnliche Betrugsversuche ohnehin schon gang und gäbe. Ein unverdächtiges Gerät wird vor dem Schlitz des Automaten angebracht und liest den Magnetstreifen aus. Die PIN wird per Kamera oder eine spezieller Tastatur mitprotokolliert. So gesehen haben die Kartenherausgeber mit der neuen Technik nicht viel gewonnen. Allerdings wird es nun bei Karten mit PIN für den Kunden im Missbrauchsfall schwerer nachzuweisen, dass er mit seinen Daten sorgsam umgegangen ist. Beim bisherigen Verfahren reicht in der Regel ein Unterschriftenvergleich, um den Betrugsversuch aufzudecken.
Vor dem Missbrauch schützen die sichereren Karten mit dem DDA-Verfahren, die eine Kombination fester Karten- und dynamischer Terminaldaten mit einem eigenen, nicht auslesbaren RSA-Key zur Echtsprüfung signieren können. Die Daten lassen sich so nicht kopieren, und die PIN geht auch nur verschlüsselt über die Leitung. Der Zentrale Kreditausschuss empfiehlt für die Geldkarte deshalb auch nur den Einsatz der DDA-Karten, bei Kreditkarten gibt es jedoch keine Empfehlung. Dort obliegt es dem jeweiligen Institut, welche Karten es einsetzt.
So setzen derzeit nur die Volks- und Raiffeisenbanken und einige Sparkassen Kreditkarten mit DDA-Chip ein. Nach Angaben von Plusminus plant die HypoVereinsbank die Einführung. Karten mit SDA-Chip geben unter anderen die Deutsche Bank, DaimlerChrysler und Volkswagen heraus. Die BMW Bank und ING-DiBa wollen in ihren kommenden Karten ebenfalls nur SDA-Chip einsetzen. Die Citibank und Commerzbank setzen auch weiterhin nur auf Magnestreifen.
Siehe dazu auch: (dab)
- Kreditkarten PIN & Chips, Beitrag von Plusminus
- Chip and PIN (EMV) Point-of-Sale Terminal Interceptor, Beschreibung des Angriffs
