EC-Karten Unsicherheit
Entwicklung und Status
Referent: A. Müller-Maguhn,
A. Bogk, B.O. Gramberg, M. Kuhn
Mißbrauch von EC-Karten findet in relevantem Umfang statt.
Häufige Szenarien dabei sind Abbuchungen über Geldautomaten nach
Verlust oder Diebstahl der Karte. Diese Abbuchungen können nur unter
Kenntnis der Geheimzahl (PIN) vorgenommen werden. Bei dem Versuch des
Kunden, den so entstandenen Schaden ersetzt zu bekommen, wird er seitens der
Banken mit der Behauptung konfrontiert, nur er selbst könne die PIN an
den Mißbraucher weitergegeben haben und sei somit für den Schaden
haftbar.
Dieses Argument gründet sich auf die Annahme, daß die dem EC-System
zu Grunde liegende Technologie der Benutzerauthentifizierung sicher
ist. Bisher schlossen sich die Gerichte oft dieser Argumentation
an. Damit lag die Beweislast im Falle eines EC-Karten-Mißbrauchs
bei den Kunden und Benutzern der EC-Karte: Sie mußten dem Gericht
glaubhaft machen, die PIN nicht weitergegeben zu haben.
Im Gegensatz zu dieser Annahme wurden in den letzten Jahren verschiedene
Manipulationsmöglichkeiten bekannt, und es kam im Jahre 1997 erstmals
zu einer Abkehr eines Gerichts von dieser Praxis. Grundlage dafür
war ein Gutachten, das die Behauptung belegte, die Informationen
auf der EC-Karte reichten aus, die PIN zu dieser Karte zu ermitteln.
Damit wären die Banken für den entstanden Schaden haftbar. B.O.
Gramberg, Verfasser zweier Gutachten zum Thema, vertrat diesen
Standpunkt: Der EC-Schlüssel ist geknackt, und somit kann man aus
der Karte eine gültige PIN ermitteln.
Den Banken ist das bekannt, aber keiner sagt was. Die Schadenssumme
liegt jenseits der 400 Millionen DM im Jahr. Diese Thesen gründet er
auf ein Sitzungsprotokoll aus Bankkreisen, die Schwäche der der
Authentifizierung zugrundeliegenden Verschlüsselungsverfahren
und die den Banken entstehenden Kosten bei der Umgestaltung der
Verfahren. Unabhängig von diesen Erkenntnissen werden den Kunden
weiterhin die Risiken der Technologie aufgebürdet, indem sie für
den Mißbrauch haften.
Ziel der Bemühungen ist eine Haftungsbeschränkung und eine
Offenlegung der Informationen rund um Mißbrauch, Schadenshöhen
etc. Als Weg dorthin schlägt Gramberg Öffentlichkeitsarbeit,
Erstellung einer Datenbank für Mißbrauchsfälle und
Anfertigung von Gutachten vor. Bogk ging auf Einzelheiten der
gegenwärtig verwendeten EC-Karten-Authentifizierung ein. Technische
Details findet man unter http://www.ccc.de/Library/HPA/EC/index.html.
Andreas Poethke