Chaos Communication Congress '97
Hamburg, Eidelstedter Bürgerhaus, 27. - 29.12.1997
Chaos-Knoten

[an error occurred while processing this directive]

EC-Karten Unsicherheit

Entwicklung und Status

Referent: A. Müller-Maguhn, A. Bogk, B.O. Gramberg, M. Kuhn


Mißbrauch von EC-Karten findet in relevantem Umfang statt. Häufige Szenarien dabei sind Abbuchungen über Geldautomaten nach Verlust oder Diebstahl der Karte. Diese Abbuchungen können nur unter Kenntnis der Geheimzahl (PIN) vorgenommen werden. Bei dem Versuch des Kunden, den so entstandenen Schaden ersetzt zu bekommen, wird er seitens der Banken mit der Behauptung konfrontiert, nur er selbst könne die PIN an den Mißbraucher weitergegeben haben und sei somit für den Schaden haftbar.

Dieses Argument gründet sich auf die Annahme, daß die dem EC-System zu Grunde liegende Technologie der Benutzerauthentifizierung sicher ist. Bisher schlossen sich die Gerichte oft dieser Argumentation an. Damit lag die Beweislast im Falle eines EC-Karten-Mißbrauchs bei den Kunden und Benutzern der EC-Karte: Sie mußten dem Gericht glaubhaft machen, die PIN nicht weitergegeben zu haben.

Im Gegensatz zu dieser Annahme wurden in den letzten Jahren verschiedene Manipulationsmöglichkeiten bekannt, und es kam im Jahre 1997 erstmals zu einer Abkehr eines Gerichts von dieser Praxis. Grundlage dafür war ein Gutachten, das die Behauptung belegte, die Informationen auf der EC-Karte reichten aus, die PIN zu dieser Karte zu ermitteln. Damit wären die Banken für den entstanden Schaden haftbar. B.O. Gramberg, Verfasser zweier Gutachten zum Thema, vertrat diesen Standpunkt: Der EC-Schlüssel ist geknackt, und somit kann man aus der Karte eine gültige PIN ermitteln.

Den Banken ist das bekannt, aber keiner sagt was. Die Schadenssumme liegt jenseits der 400 Millionen DM im Jahr. Diese Thesen gründet er auf ein Sitzungsprotokoll aus Bankkreisen, die Schwäche der der Authentifizierung zugrundeliegenden Verschlüsselungsverfahren und die den Banken entstehenden Kosten bei der Umgestaltung der Verfahren. Unabhängig von diesen Erkenntnissen werden den Kunden weiterhin die Risiken der Technologie aufgebürdet, indem sie für den Mißbrauch haften.

Ziel der Bemühungen ist eine Haftungsbeschränkung und eine Offenlegung der Informationen rund um Mißbrauch, Schadenshöhen etc. Als Weg dorthin schlägt Gramberg Öffentlichkeitsarbeit, Erstellung einer Datenbank für Mißbrauchsfälle und Anfertigung von Gutachten vor. Bogk ging auf Einzelheiten der gegenwärtig verwendeten EC-Karten-Authentifizierung ein. Technische Details findet man unter http://www.ccc.de/Library/HPA/EC/index.html.

Andreas Poethke



[ Start | Inhalt | Impressum | Hinweise | Fahrplan ]

Copyleft © 1997 by Chaos Computer Club
Veröffentlichung ausdrücklich erwünscht, Belegexemplar erbeten.