direktbanknews.de - täglich aktuell
ein Service von direktbankvergleich.de
Wegweiser: Direktbankvergleich > Blog > Manipulation bei PIN-Abfrage: Entwarnung für deutsche Kartenbesitzer? Manipulation bei PIN-Abfrage: Entwarnung für deutsche Kartenbesitzer?
Dass 2010 nicht als das „Jahr der Chipkarte“ in die Geschichte eingehen wird, steht wohl spätestens seit gestern fest: Britischen Forschern ist es gelungen, das sogennante EMV-Verfahren mit einem simplen Trick auszuhebeln und das Bezahlen ohne korrekte PIN zu ermöglichen. Das girocard-System steht damit zum zweiten Mal in diesem Jahr in der Kritik – und den Schlagzeilen.
Was steckt hinter dem Trick der britischen Forscher? Das EMV-Verfahren (benannt nach Euro-, Master- und Visacard) ermöglicht es, dass die Chipkarte, egal ob girocard oder Kreditkarte, mit dem Terminal „kommuniziert“. Ein einfaches Beispiel: An der Kasse wird man entweder dazu aufgefordert, seine PIN-Nummer einzugeben, oder die Transaktion per Unterschrift zu bestätigen. Welche dieser beiden Arten der Verifikation stattfindet, entscheidet das Terminal und teilt dies der Karte mit. Wird die Eingabe einer PIN gefordert, wartet das Terminal auf die Bestätigung der Karte, ob die eingegebene PIN akzeptiert wird.
Das Team um Ross Anderson hat jetzt gezeigt, dass durch eine sogenannte „Man-in-the-Middle-Attacke“ die Kommunikation manipuliert werden kann. Dem Karten-Terminal kann vorgetäuscht werden, die Karte habe die PIN akzeptiert, während der Karte suggeriert wird, das Terminal verlange nur eine Unterschrift zur Verifikation. Das Tückische – egal welche PIN jetzt eingegeben wird, das Terminal spuckt einen Beleg aus, der die Verifizierung per PIN bestätigt.
Der Zentrale Kreditausschuss (ZKA) reagierte diesmal schneller auf die lauter werdenden Stimmen und gab heute bereits Entwarnung. Das deutsche girocard-System sei durch EMV-Spezifikationen sicher vor derartigen Manipulationsversuchen, die Vorspiegelung einer korrekten PIN-Prüfung sei nicht möglich. Dass der ZKA diese Antwort geben würde, hatte Ross Anderson vorausgesagt – und die Aussage angezweifelt.
Auch wenn eine endgültige Klärung noch aussteht, müssen Verbraucher nicht in Panik verfallen. Im Gegenteil: Lag bisher ein Fall von Kartenmissbrauch vor, bei dem der Gauner anscheinend im Besitz der korrekten PIN-Nummer war, wiesen die Banken in den meisten Fällen die Schuld dem Kartenbesitzer zu. Dies zu beweisen, dürfte den Banken nach den neusten Erkenntnissen deutlich schwerer fallen. Als Verbraucher sollte man das jedoch keineswegs als „Freifahrtschein“ sehen – wer die grundlegenden Sicherheitsmaßnahmen beim Bezahlen und Geld abheben per Chipkarte einhält, fährt immer noch am sichersten.
Bookmarken bei
   
 Newsletter abonnieren
» zurück zu der NachrichtenübersichtDieser Beitrag wurde am 16. 2. 2010 um 17:41 Uhr verfasst und in den Kategorien  Deutschland | Geldautomaten | Kreditkarten | Sicherheit | Verbraucherschutz eingetragen. Sie können zu diesem Artikel Kommentare verfassen und die Kommentare können per RSS Feed nachverfolgt werden. Keine Kommentare »Verfassen Sie eine Antwort
|
