[Chaos CD]
[Datenschleuder] [53]    Sicherheit– von EC-Karten
[Gescannte Version] [ -- ] [ ++ ] [Suchen]  

 

Sicherheit– von EC-Karten

Bereits seit Einführung der EC- oder auch EuroCheque-Karten gibt es das Problem des EC-Kartenmißbrauchs. Anders als bei Kreditkarten, wo bereits die Kenntnis der Kreditkartennummer zusammen mit dem Verfallsdatum genügt um z.B. Versandhausbestell-ungen zu tätigen, läuft der Mißbrauch hier etwas aufwendiger ab. EC-Karten dienen zum einen dem Nachweis, dass die Unterschrift auf dem EC-Check echt sowie der Benutzer gleich dem Inhaber ist - zum anderen zusammen mit dem 4 stelligen PIN-Code der Möglichkeit, an den europaweit vorhandenen EC-Automaten Geld abzuheben. Die Höhe des pro Vorgang abhebbaren Betrages hängt dabei ebenso wie andere Eckdaten und PIN-Code von den auf dem Magnetstreifen der Karte gespeicherten Daten ab. Auch wenn das Auslesen der Daten vom Magnetstreifen einer EC-Karte nach Ansicht der Banken ein Ausspähen von Daten nach Paragraph 202a (2. WiKg: Ausspähen von Daten) darstellt, weil die Karte nicht dem Inhaber sondern der jeweiligen Bank gehört (es handelt sich also um bankinterne Informationen) ist sowohl bekannt, welche Daten auf dem Magnetstreifen gespeichert sind - als auch mit welchem Algorithmus der PIN-Code zusammen mit den Daten des Magnetstreifens und weiteren Daten überprüft wird. Diese Informationen sind im Prinzip öffentlich und z.B. auch durch Einsicht der entsprechenden Patentschriften einsehbar. Allerdings soll es Fälle gegeben haben, in denen aufgrund anderer Straftatbestände beklagte Hausdurch-suchte des unrechtmässigen Besitzes dieser Unterlagen angeklagt wurden und den ‹legitimen– Besitz der Unterlagen darlegen sollten. Nach Darstellung von Systemersteller und Betreiber ist es mit vertretbarem technischen Aufwand nicht möglich, von den Daten des Magnetstreifens auf den PIN-Code zu kommen. Aus dieser Behauptung heraus resultieren die Allgemeinen Geschäftsbedin-gungen für die EC-Karte und das Rechtsverhältnis zwischen KundeIn und Bank. Entscheidender Punkt ist die ‹Sorgfaltspflicht– des Kunden für den Umgang mit dem PIN-Code der EC-Karte. Der Kunde ist angehalten, den PIN-Code niemandem mitzuteilen und vor allem ihn niemals zusammen mit der EC-Karte zusammen aufzubewahren. Geht dem Kunden bzw. rechtmässigen Inhaber die EC-Karte nun verloren (bzw. wird sie ihm geklaut) und mit dieser Karte wird Geld abgehoben, muss der Kunde der Bank beweisen, seiner Sorgfaltspflicht nachgekommen zu sein. Konkret muss der Kunde also beweisen, das z.B. in dem ihm geklauten Portemonaie kein Zettel mit dem PIN-Code der Karte war und der PIN-Code auch nicht auf der Karte selbst notiert war. Auch die sofortige Anzeige des Verlustes durch den Inhaber an Polizei und die Zentralstelle für Kartensperrungen nützt hier wenig: denn auch die Haftung der Bank bzw. des Betreibers greift natürlich nur, wenn der Kunde seiner Sorgfaltspflicht nachgekommen ist.
So liegen der Redaktion Datenschleuder bzw. dem Chaos Computer Club etliche Fälle ratsuchender KundInnen vor, denen die EC-Karte geklaut wurde, umittelbar danach Geld an verschiedenen Automaten abgehoben wurde und dieses Treiben erst durch Sperrung der Karte beendet wurde. Der so entstandene Schaden - meist schon einige Tausend Mark - wird von der Bank dem Kunden einfach in Rechnung gestellt: wie sollte den der Täter (Handtaschendieb) an den PIN-Code gelangt sein, wenn nicht durch einen Zettel mit dem PIN-Code in der Tasche bzw. dadurch, dass sie auf der Karte notiert war? Nach Mutmassung der Banken handelt es sich also um einen Fall, in denen der Kunde bzw. die Kundin nicht seiner Sorgfaltspflicht nachgekommen ist. Besteht das Opfer (KundeIn) nun darauf, dass dieses nicht der Fall war - er bzw. sie also seiner Sorgfaltspflicht nachgekommen sei, stellt die Bank / das Kreditinstitut in der Regel Anzeige gegen den Kunden wegen Falschaussage und Betruges. Der Vorliegende Fall wird dann als ‹typischer Lügenfall– bezeichnet, in denen der Kunde lediglich behauptet, das die Karte entwendet worden sei bzw. seiner Sorgfaltspflicht nachgekommen zu sein um so das entsprechende Geld entsprechend von der Bank zu ergaunern bzw. die Haftung der Bank unrechtmässig in Anspruch nehmen zu wollen. Vor Gericht sieht sich also der Kunde dann mit der Unmöglichkeit konfrontiert, zu beweisen daß dem entwendeten Portemonaie kein derartiger Zettel beilag bzw. dass er als Kunde schon seiner Sorgfaltspflicht nachgekommen ist - nur eben der Täter durch die auf Daten auf dem Magnetstreifen auf den PIN-Code gekommen ist. Das der Kunde zumindest ersteres nicht kann ist wohl klar. Auch der Beweis, dass sich der PIN-Code mit den Kartendaten ermitteln lässt gelang bisher nicht. Fast nicht. Nach einem Bericht von ARD-Ratgeber Technik, ausgestrahlt am 29.10.1995 hat der Darmstädter Professor Manfred Pausch bereits 1988 in einem Gutachten nahegelegt, das der PIN-Code ‹unter bestimmten Vorraussetzungen aus den Daten errechnet werden kann, die auf der EC-Karte gespeichert sind.– (dpa) Zumindest in einem Verfahren 1988, in dem Pausch als Gutachter auftrat, wurde die Dresdner Bank verurteilt einer Frau 900 DM zu erstatten, die nach dem Diebstahl ihrer EC-Karte von ihrem Konto abgehoben worden waren (AZ 36 C 4386/87). Dieses Urteil ist allerdings ganz sicher eine Ausnahme zur sonstigen Rechtssprechung. Es gibt mehrere ‹Standartgutachten– der Ersteller / Betreiber des Systems, deren Kernaussage die Nichterrechenbarkeit des PIN-Codes aufgrund der mathematischen Komplexität ist (siehe Anhang). Die in ARD-Ratgeber dargestellte Technik, in denen Pausch einige Daten des Magnetstreifen der Karten auf der X-Achse und die dazugehörigen PIN-Codes auf der Y-Achse eines Koordinationsystems zeigt um auf den Zusammenhang aufmerksam zu machen ist uns - zumindest nach Betrachtung des ARD-Beitrages - nicht klar.

Derweil versuchen wir gerade den besagten Professor Pausch, sein Gutachten und das 1988 erwirkte Urteil zu besorgen - hierzu in der nächsten Datenschleuder mehr.
Neben den technischen Unzulänglichkeiten des Systems (dazu später mehr) gibt es aber noch ein viel gravierenderes logisches Problem, das jedem Grund genug sein sollte, ein EC-Karten Kundenverhältnis zu meiden. In einem Beitrag von RTL-Extra vom 16.10.1995 wurde die Möglichkeit aufgezeigt, mit einer Mini-Kamera den Kunden dabei zu beobachten, wie er seinen PIN-Code eingibt. So ist es nicht nur möglich und denkbar, unmittelbar an einem EC-Automaten eine entsprechende Minikamera inkl. Sender etwa in der Gesamtgrösse ein 10er Packs 3 1/2 Zoll Disketten anzubringen um dann in einem wenig entfernten PKW den PIN-Code auf einem Videoband aufzuzeichnen und in Zusammenarbeit mit einem Handtaschenräuber mit der EC-Karte schnellstmöglich Geld abzuzocken. Der PIN-Code wird ja neuerdings nicht nur an EC-Automaten selbst, sondern auch an sogenannten POS-Terminals (Point of Sale) eingegeben - z.B. in Tankstellen, Warenhäusern und anderen Verkaufsstellen. Es soll Fälle gegeben haben, wo bestochene Tankstellenwärter schlicht die Raumüberwachungskamera des Verkaufsraums etwas besser ausgerichtet haben, so dass der sowieso vorhandene Videorekorder die Eingabe des PIN-Codes genau beobachtete. Oder eben eine zweite Kamera entsprechend installiert wurde. Die Kombination Tankstelle / Taschenräuber ist natürlich unsinnig - wie übrigens auch die Annahme der Täter müsse überhaupt in den Besitz der Karte gelangen. Um den vollständigen auf dem Magnetstreifen der Karte gespeicherten Datensatz zu bekommen genügt es ja, diese kurz in einen zweiten unter dem Tresen befindlichen Magnetkartenleser durchzuziehen ‹zu Sicherheitszwecken– (so dass Beispiel im RTL-Beitrag) bzw. einfach den Datensatz zwischen POS-Terminal und Kasse mitzuprotokollieren (unauffälliger ist das...). Für den so erlangten Datensatz samt PIN-Code gibt es zwei Verwendungsmöglichkeiten. Zum einen lässt er sich mit dem entsprechenden Know-How auf eine andere EC-Karte kopieren und an deutschen Automaten zum Abheben von Geld benutzen - das in einem deutschen Automaten vorhandene MM-Modul prüft zwar das optische MM-Merkmal auf der Karte, lässt sich aber mit entsprechendem Know-How (Kombination zu Daten auf dem Streifen) auch dazu überreden, eine andere EC-Karte als echt zu bezeichnen. Die andere Möglichkeit ist, dass die Daten schlicht auf eine weisse Blanko-Karte kopiert werden (EDV-Grosshandel, Stück ca. 30 Pfennig) und an einem ausländischen (im RTL-Beitrag an einem holländischen) Automaten eingesetzt werden, der besagtes MM-Modul zur Echtheitsprüfung nicht hat. Das Problem bei der Möglichkeit, den PIN-Code auszuspähen - ob die Karte dann entwendet wird oder nicht - ist, das sie sowohl in den Geschäftsbedingungen als auch in der Rechtssprechung nicht vorgesehen ist. Das heisst - der Kunde kann seiner Sorgfaltspflicht noch so gründlich nachkommen - beweisen kann er es im Zweifellsfall nicht. Somit - müsste man annehmen - hat dieses Kundenverhältnis einen gewissen sittenwidrigen Charakter. Die Rechts-sprechung ist bislang eine andere. Interessant wäre es darüberhinaus natürlich zu erfahren, wie sich die Entwicklung des EC-Karten-Missbrauchs finanziell niedergeschlagen hat. Für 1994 ist von einem Wert von 100 Millionen Mark für EC-Karten die Rede. Die eigentlich Interessante Frage ist natürlich, wie die X/Y-Kurve Zeitraum und Missbrauchshöhe aussieht; gibt es irgendwann einen steilen Anstieg ? Und was ist zu diesem Zeitpunkt passiert ? Haben sich organisierte Kriminelle massenhaft mit SMD-Kameras ans Werk gemacht ? Oder ist es doch jemandem gelungen den PIN-Code mathematisch...? Zugegebenerweise zählt dieser Artikel die Sicherheitslücken nur unvollständig auf. Auch lässt sich die Sachlage noch etwas gründlicher beleuchten. Um für das grundsätzliche Verbraucherschutz-rechtliche Problem eine Lösung anzubieten, arbeiten wir derzeit an einem Gutachten, das Betroffenen bei Gericht entsprechend Unterstützung bieten soll. Mitarbeit und Know-How Zutragung erwünscht. Mehr zu den technischen Verfahren und zum Modell von Prof. Pausch in der nächsten Datenschleuder.

Andy Müller-Maguhn

Ein paar Quellenverweise zum Thema:

  • PINs und POSsen– Papier- und bargeldlose Zahlweise per Automat von Armin Gebbert in iX 10/1991
  • Grobe Fahrlässigkeit des Aufbewahrens der Scheckkarte zusammen mit persönlicher Geheimzahl– - Sonderbedingungen für den ec-Service Nrn 5.1, 5.2, 9.2 Urteil v. 10.1.1992 - 9U959/91 aus: NJW 1992, Heft 16, Seite 1051/1052 mit Verweis aufBGH, NJW 1992, 445.
  • Gutachten zur Sicherheit von ec-Karten mit Magnetstreifen– v. Siegfried Herda, Februar 1994, Gesellschaft fuer Mathematik und Datenverarbeitung mbH (GMD), Rheinstr. 75, D-64295 Darmstadt im Auftrag des Landgerichts Köln
  • Geldausgabeautomaten: Der Coup von Köln– in KES (Zeitschrift für Kommunikations- und EDV-Sicherheit), Jahrgang 2, Heft 1/86 vom 26.1.1986.
  • Bankautomatenraub– Buch von Wolfgang Ziegler, T. Watter Verlag Regensburg
  • Magnetkartensysteme– Buch von Michael Gleissner, T. Watter Verlag Regensburg
  • Kartentricks– - Kreditkarten-Betrug per Computer in: Computer-Live 6/90
  • Magnetkarten– Normen, Aufbau, Ge- und Missbrauch Von Christian Kiefer in: Elektor 4/93

 

  [Chaos CD]
[Datenschleuder] [53]    Sicherheit– von EC-Karten
[Gescannte Version] [ -- ] [ ++ ] [Suchen]