Gefällt dir dieser Artikel?

EC-Karten Sicherheit: bequem und unsicher zahlen

erschienen in der Kategorie Technik, am 23.06.2012
Schnatterente
Vielen ist inzwischen bekannt, dass man sich beim Abheben von Geld, an Automaten, vor sogenanntem Skimming schützen sollte. Die Medien warnten in den letzten Jahren vor derartigen Betrugsversuchen und erklärten, wie man sich schützen und Bedrohungen erkennen kann.

Was vielen aber nicht klar ist, ist die Tatsache, dass auch das elektronische Bezahlen an der Kasse, mithilfe von Chip- und Magnetkarten, ein sehr gefährlicher Vorgang ist.

Der allgemeine Grund für diese Aussage ist der folgende: Banken und sonstige Kreditinstitute geben in der Regel nur Geld für Sicherheitsmechanismen aus, die sie selbst schützen. Geht es um den Schutz ihrer Kunden, werden Kosten und Mühen gern gescheut. Und als wäre dieser Fakt nicht schlimm genug, erzählen die Verantwortlichen ihrer Kundschaft oft noch kackdreist, die Systeme seien absolut sicher. Gern ignoriert man auch bekannte Sicherheitslücken, wenn klar ist, dass man selbst im Schadensfall nicht haften muss.

Um diese Aussagen zu untermauern, werde ich jetzt ein bisschen weiter ausholen, bevor ich auf aktuelle Sicherheitsprobleme elektronischer Zahlsysteme eingehe.

PIN-Codes

Als erstes Beispiel für, aus Sicht von Banken gelungene, Sicherheitssysteme, möchte ich auf PIN-Codes eingehen. Diese vierstelligen Geheimzahlen sollen uns vor Betrügern schützen. Sie schützen aber vor allem auch die Banken, denn wenn doch mal ein Konto leer geräumt wird, ist der Kontoinhaber in der Beweispflicht. Und es ist nahezu unmöglich zu beweisen, dass man die PIN nicht auf die EC-Karte oder auf einen Zettel im geklauten Portemonnaie geschrieben hatte. Banken argumentieren, dass die Wahrscheinlichkeit, dass der Dieb den richtigen Code erraten hat, so klein ist, dass der Verbrecher ihn schlicht irgendwoher bekommen haben muss. Eine Erstattung des geklauten Geldes steht meist nur in Aussicht, wenn man bereit ist, die Bank zu verklagen. Beträgt der Schaden nur 100 Euro, werden das wohl die wenigsten auf sich nehmen, man bedenke die hohen Kosten für Anwälte und Gerichtsverfahren.

Mancher möge jetzt argumentieren, dass eine Zahlungsbestätigung durch Unterschreiben noch viel unsicherer sei und somit keine gute Alternative zum PIN-Code darstelle, doch ist es im Allgemeinen so, dass die Bank in diesem Fall in der Beweispflicht steht. Sie muss nachweisen, dass es sich bei einer quittierten Zahlung wirklich um die Unterschrift des Kontoinhabers handelt. Schafft sie das nicht, muss sie blechen.

Auch die PIN-Codes an sich waren über viele Jahre sehr unsicher. Als sie eingeführt wurden, entschieden sich die Verantwortlichen dafür, keine PIN-Codes mit führenden Nullen zu verteilen, weil sie Angst hatten, dass viele Leute denken würden, sie müssten die Null nicht mit eingeben. Des Weiteren entschied man sich, die DES-Verschlüsselung zur Erzeugung der PINs zu verwenden. Auf Basis von Bankleitzahl, Konto- und Kartennummer, erzeugte der besagte Algorithmus 16 Bit (also 16 Nullen und Einsen). 16 Bit entsprechen im Hexadezimalsystem, in dem nicht von 0 bis 9, sondern von 0 bis F gezählt wird (0123456789ABCDEF), 4 Ziffern. Da normale Menschen aber mit einer solchen Zählweise nur wenig anfangen können und herkömmliche Nummernpads nur über die Zahlen von 0 bis 9 verfügen, entschied man sich, die Werte A bis F auf die Zahlen 0 bis 5 abzubilden. Man muss kein Genie sein, um festzustellen, dass somit die Zahlen von 0 bis 5 ein viel wahrscheinlicheres Vorkommen in PIN-Codes aufweisen als die übrigen.

Unterm Strich lag die Wahrscheinlichkeit dafür, die richtige PIN zu erraten, nicht mehr bei 1:10000, wie man es bei vierstelligen PIN erwarten würde, sondern bei 1:216. Natürlich gilt es auch noch zu beachten, dass man stets drei Versuche hatte, womit wir bei 1:72 wären. Sollte es mal eine Lotterie geben, bei der meine Chancen so aussehen, steig ich auf jeden Fall ein.

Inzwischen sind diese Sicherheitsprobleme behoben. Die Ziffern der PIN-Codes sind gleichwahrscheinlich und auch führende Nullen sind erlaubt. Dennoch steht die Historie hier stellvertretend für die Art und Weise wie Kreditinstitute mit den Themen Datenschutz und Datensicherheit umgehen.

Auch heute ist noch anzuprangern, dass man die PIN bei den meisten Banken nicht ändern, geschweige denn eine längere Zahlenfolge einstellen kann.

Im Folgenden werde ich auf aktuellere Sicherheitsprobleme eingehen.

Nachgemachte Kartenlesegeräte

Neben dem bekannten Skimming an Geldautomaten, ist es zurzeit auch üblich, Geschäften nachgemachte Kartenlesegeräte unterzujubeln.

Das Ganze funktioniert ungefähr so: Ein Kleinkrimineller, der sein Taschengeld aufbessern will, geht in ein Geschäft oder (besonders beliebt) eine Tankstelle, fotografiert das dort vorhandene Kartenlesegerät und erfasst dessen genaue Bezeichnung. Großkriminelle Kollegen im Ausland besorgen sich dann das gleiche Geräte und modifizieren es so, dass es zukünftig sämtliche Karten in einen eingebauten Speicher kopiert. Zusätzlich wird die PIN entweder gespeichert oder mit einer kleinen Kamera (ähnlich wie beim Bankautomaten-Skimming) abgefilmt. Nach einigen Wochen wird das Gerät wieder durch das ursprüngliche ersetzt - weder Kunden noch Ladeninhaber haben den Betrug bemerkt. Im Ausland werden dann Kopien der eingelesenen Karten erstellt und beliebige Beträge werden abgehoben.

In der Regel wählen die Betrüger die Beträge so klein, dass sich eine weitere Fahndung durch Ermittlungsbehörden aus Kosten-/Nutzen-Gründen nicht lohnen würde. Wegen 100 Euro eine Fahndung im Ausland anzukurbeln hat wenig Sinn.

Die Methode erfreut sich zunehmender Beliebtheit und lässt sich besonders gut umsetzen, wenn man einen Komplizen hat, der im Zielgeschäft arbeitet. Die Daten werden übrigens auch deswegen ins Ausland gebracht, weil deutsche Geldautomaten die meisten nachgemachten Karten als Fälschung erkennen und einbehalten.

Zahlen mit einer beliebigen PIN ist möglich

Forschern der Cambridge University ist es gelungen, einen sogenannten Man-in-the-middle Angriff gegen herkömmliche Bezahlsysteme durchzuführen.

Ein Man-in-the-middle-Angriff liegt immer dann vor, wenn sich ein Angreifer in die Kommunikation zweier Gesprächspartner einklinkt und den Gesprächsverlauf nach Belieben beeinflussen kann. Man stelle sich vor, dass Bob eine Nachricht mit dem Inhalt "Heute Abend bei mir oder bei dir?" an Carol schicken will. Alice, die Exfreundin von Bob, findet das alles gar nicht schön und will den beiden den Abend ruinieren, indem sie dafür sorgt, dass beide zu Hause bleiben und auf den anderen warten. Hierfür fängt Alice Carols Antwort "Bei mir!" ab und ersetzt diese durch "Ich komm bei dir!" (Alice ist nicht nur böse, sondern auch ein kleines bisschen versaut).

Aber zurück zu EC-Karten. Wie bereits erwähnt, ist es den Britten also gelungen, einen Man-in-the-middle-Angriff gegen elektronische Zahlsysteme durchzuführen. In diesem Fall sind die Kommunikationspartner aber keine Menschen, sondern Geräte. Um genau zu sein nämlich ein Kartenlesegerät und eine EC-Karte. Um den Mittelmannsangriff durchzuführen, haben die Forscher die EC-Karte manipuliert und mit einem Computer verbunden, der den Man-in-the-middle-Angriff durchführt.

Eine normale Kommunikation zwischen dem Kartenlesegerät und der EC-Karte würde ungefähr so aussehen:

Der Verkäufer gibt einen Betrag in die Kasse ein, der Kunde steckt die Karte ins Lesegerät und bestätigt die Zahlung durch Eingabe seiner Geheimzahl.

Kartenlesegerät: Hallo EC-Karte, ich würde dich gern um 100 Euro erleichtern. Da hat grad jemand 1337 als PIN eingegeben, kommt das so ungefähr hin?

EC-Karte: Jo, sieht gut aus, buch mal schön ab.

Kartenlesegerät: Prima.

Soweit also zum üblichen Ablauf einer Zahlung, die durch Eingabe der PIN bestätigt wird. Uns ist aber auch bekannt, dass es möglich ist, eine Zahlung durch eine Unterschrift zu bestätigen. Und genau das nutzten die Forscher der Cambridge University aus. Sie sorgten mithilfe eines Computers dafür, dass bei der EC-Karte nicht die Nachfrage ankommt, ob die eingegebene PIN richtig ist, sondern die Information, dass der Kunde die Zahlung mit seiner Unterschrift bestätigt hat. Daraufhin gibt die EC-Karte wiederum die Erlaubnis aus, Geld abzubuchen, welche an das Kartenlesegerät weitergeleitet wird, das immer noch im Glauben ist, die PIN wäre geprüft worden. De facto kann ein Betrüger also mit jeder x-beliebigen Karte und jeder PIN Zahlungen tätigen. Sowohl für den Verkäufer als auch für die Bank sieht es so aus, als wäre die Zahlung durch Eingabe des PIN-Codes bestätigt worden, was, wie oben erwähnt, oft dazu führt, dass sich die Bank weigert, den Schaden zu begleichen.

Wie gut das funktioniert, wird im folgenden Video gezeigt:



Schön ist auch die Reaktion der Banken, die alle mehr Interesse daran haben, darauf hinzuweisen, dass es sich um einen generellen, industriellen Fehler handelt, der nicht nur bei den hauseigenen Karten auftritt, sondern auch bei denen aller anderen Banken. Für Schadensbegrenzung interessiert man sich hingegen nicht so wirklich, denn dieser Angriff sei so kompliziert, dass er vermutlich nicht vorkomme und außerdem haftet man ja nicht selbst für die entstandenen Schäden.

Zumindest in Großbritannien hat der Gesetzgeber diesem Vorgehen jetzt in gewisser weise Einhalt geboten: Wenn Banken bekanntermaßen unsichere Verfahren anbieten und betreiben, müssen sie zukünftig auch dafür haften.

Wir haben gesehen, dass EC-Karten mit den heutigen Mitteln leicht missbraucht werden können. Da drängt sich die Frage auf: Wie geht es weiter? Wird der elektronische Zahlungsverkehr jetzt endlich sicherer?

Nein. Es wird schlimmer.

Bezahlen per NFC-Funkverbindung

Bezahlen per Funk? Ja, das ist jetzt möglich. Im asiatischen Raum haben sich die Leute auch schon längst daran gewöhnt, dass sie ihre Karte beim Einkaufen nur noch kurz an ein NFC-Lesegerät halten müssen. Near Field Communication (NFC) ist ein mit RFID verwandter Standard, zur Funkübertragung von Daten, über besonders kurze Distanzen. In Deutschland gewinnen die Funk-Smartcards auch an Verbreitung, die Sparkassen verteilen sie beispielsweise an ihre Kunden.

Natürlich weist diese Technologie viele Mängel auf, wie das folgende Video zeigt.



Trotz der vielen Pixel im Video glauben wir dem ARD und dem "hauseigenen Hacker" jetzt einfach mal, dass das wirklich alles so stimmt. Ich persönlich frage mich, was für einen gewaltigen Vorteil uns die Zahlerei per Funk überhaupt bringen soll? Ist es so viel besser eine Karte an ein Lesegerät zu halten, anstatt sie reinzustecken?

Wer so eine Karte hat und sich schützen möchte, sollte sich nach einer Metallhülle umsehen (gibt's z.B. bei Amazon). Es kann, nebenbei bemerkt, auch nicht schaden den neuen elektronischen Personalausweis in einen faradayscher Käfig zu stecken, denn dieser funkt auch via NFC.

Online Banking

Zum Schluss möchte ich euch noch das Online-Banking vermiesen. Dazu aber nur zwei, drei Sätze.

Als es mit dem Online-Banking losging, führten die Banken TAN-Listen ein und hielten diese für sicher. Nach einigen Jahren merkte man, dass das Verfahren nicht so toll ist, und fing an, den TANs Nummern zu geben (iTAN). Kurze Zeit später dachte man sich, dass es toll und voll sicher wäre, die Transaktionsnummern per SMS zu versenden (mTAN). Dies ist das aktuell meist genutzte Verfahren. Inzwischen benutzen weite Teile der Bevölkerung Smartphones. Smartphones, für die man recht einfach Viren und Trojaner entwickeln kann.

Zusätzliche Sicherheit verspricht wahrscheinlich auch die Tatsache, dass die meisten Banken die Länge der Onlinebanking-Passwörter auf fünf Zeichen beschränken?!


Nur Bares ist Wahres.

Geschnatter

10 Kommentare, selbst mitschnattern << < Seite 2/2 > >>
Anonym, am 22.02.2014 um 01:26 Uhr
Das mit den Hüllen ist quatsch und funktioniert nicht.
Anonym, am 21.10.2015 um 13:17 Uhr
Eine Sache hast du nicht mit erzählt:
Als das mit den EC-Karten und den PINs losging, war es so, dass auf der Karte einfach ein Counter für die Fehlerversuche gespeicht wurde. Mit einem Lese-Schreibgerät (für damals 40 DM oder so), konnte man den Counter einfach wieder zurücksetzen.
Somit hatte man unbegrenzt viele Versuche zum Knacken der PIN.
Videorevs, am 11.12.2015 um 14:20 Uhr
Ja, EC-Karte (Eurocheque Karte) heißt seit 2007 girocard. Die Deutschen brauchen oft ein wenig länger um neue dinge zu begreifen....

Gegen Skimming sollen ja neuere Verfahren geschützt sein. V-Pay statt Maestro z.B. Dafür geht V-Pay nur in Europa nicht außerhalb.

Natürlich ist der Blogbeitrag so alt das eigentlich nichts mehr Aktuell ist... die genannten Lücken sind ja geschlossen....


Das aktuellste ist natürlich NFC...

Richtig ist das man die Kartennummer und Gültigkeitsdauer mit passendem Smartphone oder Computer einfach auslesen kann. Dabei sollte man bedenken das wenn jemand die Karte klaut er noch viel viel mehr Daten bekommt... auch ohne NFC.... Kartennummer, Gültigkeitsdauer, Name, Kontrollziffer, Unterschrift.... und dank Brieftasche sicher auch Adresse etc....

Das Risiko des Auslesens ist daher GERINGER als der Verlust der Karte durch Diebstahl...

Hinzu kommt folgender Sachverhalt.
Wird nur mit der Kartennummer und Gültigkeitsdatum im Internet gezahlt, trägt das Risiko der Händler.
Das Geld ist also nicht verloren beim Online Missbrauch.

Und nur Online wären die Daten überhaupt zu gebrauchen... im Geschäft wohl eher nicht ;)

Auch der Diebstahl ist sicherer als viel Bargeld in der Tasche... denn in der Regel muss nach dem 3. mal Zahlen mittels NFC die PIN eingegeben werden... hat man bereits 3x ohne PIN Eingabe gezahlt, dann kann der Dieb also vor Ort gar nicht damit Bezahlen....

Bei Beträgen über 25.-EUR wird zudem IMMER die PIN angefragt.

Wer NFC mittels Smartphone benutzt kann zudem weitere Sicherungen einbauen. Hier haben DEUTSCHE angst das andere ihr Handy Hacken... bisher noch nicht vorgekommen... Schadsoftware auf Handys Installieren sich Nutzer in 99% der fälle eh selber.


Nur Bares ist Wahres.... sagte der Taschendieb und freute sich über den Batzen Bargeld in der Tasche der nicht Zurückverfolgbar ist :D