HOME

Bankgeschäfte: Wie EC-Karten sicherer werden

Der Betrug mit EC- und Kreditkarten nimmt seit Jahren zu, die Banken versuchen, die Kartenzahlsysteme sicherer zu machen. Ein alter Bekannter soll helfen: Der Chip, den man von Geldkarten kennt, lässt sich für Sicherheitssysteme nutzen - von Verschlüsselung bis Biometrie. Es müssten nur alle mitmachen.

Von Peter Ilg

Der moderne Betrüger klaut heutzutage keine Bezahlkarten mehr. Er geht viel unauffälliger vor und verschafft sich die Informationen, die auf dem Magnetstreifen von EC- und Kreditkarten gespeichert sind, und die Geheimzahl. Skimming heißt der neueste Clou der digitalen Bankräuber. Die Informationen des Magnetstreifens werden dabei auf einen Kartenrohling kopiert, und die Pin wird ausgespäht. Mit diesen Informationen wird das Konto des ahnungslosen Betrogenen geplündert. Der fühlt sich sicher, schließlich steckt seine Karte im Portemonnaie. Dass er abgezockt wurde, merkt er erst viel später. Doch dann ist sein Konto vielleicht schon leer. Im vergangenen Jahr sind die Angriffe auf Geldautomaten im Vergleich zum Vorjahr um fast 50 Prozent gestiegen. Der Schaden liegt bei über 20 Millionen Euro. Den tragen die Banken selbst. Kein Wunder, dass sie die digitale Geldwelt sicherer machen wollen. Denn: Die Sicherheitsrisiken sind bislang der Magnetstreifen und die Persönliche Identifikationsnummer (Pin).

In Japan setzen Banken zur Identifizierung der Kartenkunden biometrisches Venenscannen ein. Die Geräte analysieren die Blutbahnen des Kunden in der Handfläche oder in einem Finger und zahlen erst Geld aus, wenn das System die Person anhand des Venenmusters eindeutig erkannt hat. Andere japanische Banken verwenden ebenfalls den Vergleich biometrischer Merkmale, um den Zugang zum Konto sicherer zu machen, etwa Fingerabdrücke. Das System der Biometrie ist einfach: Das jeweilige Merkmal wird aufgenommen und digital im Chip auf der Bankkarte hinterlegt. Will nun ein Kunde Geld abheben, weist er sich mit seinem Merkmal aus. Im Hintergrund läuft dann eine Software ab, die beide Merkmale miteinander vergleicht.

Bei biometrischen Sicherheitssystemen kann man nicht ausschließen, dass Fehler auftreten, weil sich die Merkmale ändern. Schon eine feuchte Hand kann dazu führen, dass die Person anhand ihres Fingerabdrucks nicht identifiziert wird. "Die Wahrscheinlichkeit dafür ist zwar gering. Doch bei den deutschen Banken besteht die Befürchtung, dass die Fehlerraten zu hoch und die Kunden verärgert sind, wenn sie zurückgewiesen werden", sagt Dr. Olaf Henniger vom Fraunhofer-Institut für Sichere Informationstechnologie in Darmstadt. Das Institut hat Ende Juli einen Experten-Workshop zum Thema Sicherheit und Trends bei Chipkarten und Bezahlsystemen veranstaltet, an dem Experten aus Wirtschaft und Forschung teilnahmen. Neue Sicherheit mit bekannter Technik - mit diesen wenigen Worten lässt sich zusammenfassen, was in Darmstadt diskutiert wurde.

Der bewährte Geldkarten-Chip

Um EC-, Kreditkarten und das Onlinebanking sicherer zu machen, wird ein Chip auf den Karten genutzt. Seit Jahren gibt es diese Technologie bei Geldkarten. Auf dem Chip sitzt ein Mikroprozessor, der Informationen verarbeiten kann. Bei EC- und Kreditkarten kann der Chip zur Authentifizierung genutzt werden . Dabei wird die Echtheit der Karte überprüft. "Der Geldautomat sendet der Karte eine Zufallszahl, die anhand eines geheimen Schlüssels, der auf dem Chip gespeichert ist, verschlüsselt an den Geldautomaten zurückgeschickt wird. Wenn das erwartete Ergebnis herauskommt, ist die Karte authentifiziert", beschreibt Henniger das Verfahren. Die neu gewonnene Sicherheit besteht darin, dass der geheime Schlüssel kopiergeschützt ist und bei jeder Kartenprüfung andere Daten übertragen werden. Somit kann kein Duplikat wie beim Skimming erzeugt werden.

Den Magnetstreifen durch den Chip zu ersetzen, daran arbeiten die Deutschen Kreditinstitute. Viele geben auch schon Karten heraus, auf denen ein Mikroprozessor installiert ist. Man erkennt ihn leicht an den vergoldeten quadratischen Kontakten auf der Vorderseite der Plastikkarten. Olaf Hennigers neue Kreditkarte, die Anfang des Jahres von seiner Sparkasse kam, war so ausgestattet. Nur bringt das noch nichts, denn viele Akzeptanzstellen haben keine Lesegeräte dafür installiert - und bis das soweit ist, können noch Jahre vergehen.

Schutz vor Phishing

Phishing-Straftaten haben nach Angaben des Bundeskriminalamts zwar nicht so stark wie Skimming zugenommen. Doch eine Steigerung von mehr als 20 Prozent sind Grund genug, auch bei Onlinebanking und Internetbrokerage über neue Sicherheitsvorkehrungen nachzudenken. Phishing werden Versuche genannt, über gefälschte Adressen an Daten eines Internet-Benutzers zu gelangen. "Um Phishing- und Trojaner-Angriffe aus dem Internet zu verhindern, haben wir im Mai die elektronische Signaturkarte eingeführt", sagte Detlev Mergemeier beim Fraunhofer-Expertenforum. Trojaner sind Programme, die Datendiebe unbemerkt auf dem Rechner ihres Opfers installieren und so Pin-Codes ausspähen. Mergermeier ist bei der GAD, dem IT-Kompetenzcenter für rund 450 Volks- und Raiffeisenbanken (VR) im Norden und Westen Deutschlands, für Sicherheitsfragen im Electronic-Banking zuständig.

Für die sichere Abwicklung von Banktransaktionen via Internet benötigt der Kunde seine EC-Karte mit Signaturfunktion und ein spezielles Kartenlesegerät mit Display, den so genannten Secoder. Für die Signatur wird der Chip genutzt. Eine Transaktionsnummer (Tan) ist in diesem Falle nicht mehr notwendig. "Das Verfahren gibt es schon länger, es heißt HBCI, wurde allerdings nur von wenigen Bankkunden angenommen, weil hochwertige Kartenleser dafür notwendig waren", weiß der Fraunhofer-Mann Henniger. Bei der diesjährigen Cebit wurde das Lesegerät Secoder präsentiert, das vom Zentralen Kreditausschuss zertifiziert ist und nur noch rund 30 Euro kostet.

Andere Kreditinstitute nutzen den Chip auf der EC- oder Kreditkarte zur Generierung von Tan-Nummern, um Homebanking sicherer zu machen. In die Berechnung der Tan fließen der zu überweisende Betrag und die Kontonummer des Empfängers ein, sodass die Nummer nur für eine bestimmte Überweisung verwendbar ist und nicht missbraucht werden kann. Auch in dem Fall braucht der Kunde ein Kartenlesegerät, das aber kostengünstiger als der Secoder ist.

Digitale Signatur auf der EC-Karte

Ab dem nächsten Jahr soll die Karte der VR-Banken auch für die sichere Datenübertragung mittels digitaler Signatur an die Finanzbehörden genutzt werden können, etwa bei der elektronischen Steuererklärung via Elster, wie das Programm des Finanzamtes heißt. Auch bei den VR-Banken ist es das erklärte Ziel, den Magnetstreifen auf EC- und Kreditkarten durch die sicherere Chip-Funktion zu ersetzen.

Japan moppelt doppelt

"In deutschen Kreditinstituten werden ebenfalls biometrische Technologien erprobt, die Bankgeschäfte sicherer machen können", so Henniger. So richtig zu vertrauen scheinen die Japaner ihren biometrischen Lösungen allerdings nicht, denn die PIN-Prüfung wird durch die Biometrie nicht ersetzt, sondern ergänzt: Erkennt das System persönliche Identifikationsnummer und biometrisches Merkmal, dann kann der Kunde unbegrenzt über sein Guthaben verfügen. Wenn die biometrische Prüfung fehlgeschlagen ist, hat er einen eingeschränkten Verfügungsrahmen - wird aber nicht abgewiesen. "Mit dieser Lösung gewinnen Kunde und Kreditinstitut zusätzliche Sicherheit durch die Biometrie, verlieren aber nicht den persönlichen Schutz, den eine Geheimzahl bietet", urteilt Sicherheitsexperte Henniger.

Themen in diesem Artikel