|
EC-Karten UnsicherheitBereits in der Datenschleuder Nummer 53 im Dezember 1995 wurde der Leser in einem einen längeren Artikel über die Verbraucher-schutz-Problematik der EC-Karte aufgeklärt. Im Kern besteht das Problem in der sog. »Sorgfaltspflicht« des Kunden zum Umgang mit dem PIN-Code, welcher zu seiner EC-Karte gehört. Der Kunde ist verpflichtet, diesen PIN-Code niemandem mitzuteilen, ihn nicht zusammen mit der Karte aufzubewahren, ihn nicht auf die EC-Karte selbst zu schreiben und so fort. Wird nun jemand seine EC-Karte z.B. mit seinem kompletten Portemonaie geklaut und es kommt, bevor er die Karte über den zentralen Sperrdienst in Frankfurt sperrt, zu Abhebun-gen, hat er ein Problem. Konkret muss er seiner Bank beweisen, daß er seiner Sorgfalts-pflicht nachgekommen ist, also seinem geklauten Portemonaie kein Zettel mit seinem PIN-Code beilag. Die Banken argumentierten bisher mit der Unmöglichkeit, von den Daten des Magnetstreifens auf den PIN-Code zu kommen. Sie verdächtigen standartmässig im Gegensatz den Kunden, den Diebstahl der Karte nur vorgetäuscht zu haben und die Abhebungen selbst getätigt zu haben, bzw. als Mittäter diese mitgeteilt zu haben. Auch wenn der Algorithmus und die Vorgehensweise, wie aus den Kartendaten der PIN berechnet wird schon länger bekannt ist, gelang der Beweis der Berechnung bisher eher nicht und Gerichtsverfahren gingen entsprechend verbraucherungünstig aus. Lediglich in einem Gerichtsverfahren von 1988 (AZ 36C4386/87) in denen Prof. Dr. Pausch in einem Gutachten ermittelte, das der PIN-Code sehr wohl unter bestimmten Vorraussetzungen ermittelbar war, bekam die betroffene Kundin recht. In der Datenschleuder 53 versprach ich damals mehr über das Gutachten von Pausch und das Urteil in Erfahrung zu bringen, was aufgrund akuten Chaos auf anderen Baustellen (CCC´95 und Folgen) unterblieb. Dies ist insofern im nach-hinein wichtig, als das der DS-Artikel in mehreren Gerichtsverfahren als Beweismaterial eingereicht wurde und die Banken dann mit Verweis auf den versprochenen aber fehlenden Folgeartikel mit den Details vom Pausch-Gutachten seine (!) Seriösität anzweifelten. Unter dem Motto: nicht mal die haben es geschafft, die Informationen zu bekommen...". Diese Details und etliche andere kamen jedoch erst in den letzten Wochen zum Vor-schein, nachdem ein spektakuläres Gerichts-urteil des OLG Hamm am 17.03.1997 Bewegung in die Sache brachte. Unter dem Aktenzeichen 31 U 72 / 96 und der - leider erst Mitte Mai verfügbaren Urteilsbegründung (2) - wurde nicht nur auf Oberlandes-gerichtsebene in einem nicht-revisionsfähigen Urteil die Ermittelbarkeit aufgrund der Kartendaten bestätigt, sondern auch gleich die Beweislastfrage auf die fallspezifischen Randhandlungen bezogen. Ausschlaggebend war wiederum ein Gutachten des Prof. Dr. Pausch, der allerdings diesmal wesentlich ausführlicher die ihm bekannten Möglichkeiten aufzeigte, wie ein Dieb den PIN-Code ermitteln könne. Das nachstehend (mit freundlicher Genehmigung von Prof. Dr. Pausch) abgedruckte Gutachten spricht für sich und bringt deutliche Beleuchtung in den Sachverhalt. Die Feststellung, daß die Möglichkeit des Erratens des PIN-Codes mit einer Wahrscheinlichkeit von 1:150 aufgrund ungleichmässiger Verteilung anderer Details möglich ist, wurde beim OLG-Hamm sogar von Herrn Dr. Heuser vom Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt. Herr Dr. Heuser versprach übrigens einem Mitarbeiter der Datenschleuder zwar die umgehende Zusendung seines Gutachtens, dies erreichte uns jedoch auch nach 4 Wochen nicht. Mittlerweile sind von mehreren unab-hängigen Quellen Hinweise auf die Motive des BSI aufgetaucht, nach 15 (!) Jahren die längst bekannte Unsicherheit des EC-Kartenverfahrens teilweise einzugestehen. Das BSI, so heißt es, arbeitet an einer chip-kartenbasierten Lösung für rechtsverbind-liche elektronische Unterschriften (Authen- tifizierung) nach der jüngst verabschiedeten Signaturgesetzgebung des Multimedia-Gesetzes aus dem Hause Rüttgers (BMBF). Wäre ja auch komisch, wenn sich das staatliche BSI sich uneigennützig gegen die Banken wenden würde... Doch zurück zur Unsicherheit des EC-Systems. Die Wahrscheinlichkeitsaussage beruht auf der Art und Weise der internen Umrechnung und einer Besonderheit. Die Besonderheit ist, dass die erste Ziffer der PIN niemals eine 0 ist, tritt eine 0 im Rechen-prozeß als Ergebnis aus wird daraus eine 1 gemacht. Die Art und Weise der Umrechnung ist die Umwandlung der internen Hex-Werte (0-9 & A-F) auf Dezimalziffern (0-9): aus A-F" wird wiederum 0-5" nach Modulo 10: A=0, B=1 etc. - und aus A=0 wird bei der ersten Ziffer wiederum aus 0 eine 1 weil die 0 per Definition hier nicht erlaubt ist. So treten an 1. Stelle die Ziffern 0,1,A,B vier mal so häufig auf wie andere, die Ziffern 1-5 insgesamt bei den anderen Stellen jedoch doppelt so häufig auf wie die anderen. Damit treten bestimmte PIN´s häufiger auf als andere (Errechnungen dem Leser vorbehalten). ReaktionenDie Banken konzentrieren sich in ihrer Reaktion derweil auf Nebelwerfen und Mauern - nebst Umstellung auf ein neues PIN-Verfahren. Das betroffene Institut des OLG-Hamm Urteils, die Postbank, verweigert z.B. eine eigene Stellungnahme (3) und verweist auf den Zentralen Kreditausschuß (ZKA). Dieser wiederum versucht mit nebulösen Angaben die Urteilsbegründung und den Gutachter zu diskreditieren. So behauptet der ZKA (4) beispielsweise, [...] Viele Karten verfügen über gar keine gültigen Offset-Werte mehr, da diese Werte für die Überprüfung der PIN heute nicht mehr benötigt werden. Der angenommene Wahrscheinlichkeitswert für ein Erraten der PIN ist daher nicht zutreffend.". Implizit wird (aufgrund des Zwecks des Offsets; der Offset ist der (Zahlen-)wert, der dem Rechenergebnis des Poolschlüssels hinzugefügt wird, wenn der Institutsschlüssel nicht vorliegt) damit behauptet, es gäbe quasi keine offline-betriebene GAA mehr, was allerdings sachlich falsch ist. So sind nicht nur offline-Zeiten von GAA aufgrund der Umbuchung vom technischen auf den juristischen Datenbestand bekannt, sondern auch weiterhin (offline) GAA im (europäischen) Ausland; auch berichtete Pausch auf der a´la Card" Konferenz in Hamburg von einem Fall von einer westdeutschen Großstadt im Mai 1997, wo ein Bagger versehentlich die Kabelverbindungen eines GAA wegriß und dieser trotzdem noch ec-Karten akzeptierte und bei richtigem PIN Geld ausspuckte. Bankenvertreter räumten auf selbiger Konferenz in der Diskussion übrigens ein, man könne ja auch nicht im Offline-Fall einfach die Auszahlung verweigern; man stelle sich den Kunden im Ausland vor, der auf einmal kein Bargeld bekommt oder im Restaurant sein Essen nicht bezahlen kann... Eine richtige Sachinformation enthält die ZKA-Stellungnahme dann übrigens doch noch: Darüber hinaus werden alle Verfügungen und Verführungsversuche mit falscher PIN protokolliert, so daß Angriffe, die auf einem Ausprobieren von PIN beruhen, nachvollzogen und eindeutig erkannt werden können." (die Frage ist nur wo, wann und durch wen!) sowie die Folgerung (wenn man sich die Einschränkung hinzudenkt, dass dies nur beim online-Betrieb überhaupt sein kann), daß Auch eine Veränderung des Fehlbedienungszählers auf der Karte führt daher nicht zu einer beliebig hohen Zahl von PIN-Versuchen.". Ganz zufällig, völlig unabhängig von diesen Geschehnissen und in überhaupt keinem Zusammenhang stehend (;-) verkündet uns ein Artikel in der FAZ vom 27.05.1997, dann daß noch dieses Jahr alle ec-Karten eine neue PIN zugewiesen bekommen. Auf dem Weg zur Abschaffung des 56-bit Poolschlüssels und offline-GAA hin zu 128-Bit Instituts-schlüsseln und der Möglichkeit, seinen PIN selbst zu ändern gibt es zwei Schritte. Zunächst erhalten die ec-Karten Kunden eine neue PIN mitgeteilt, die zum Tag X gilt. Dann im zweiten Schritt (ca. 1998) kann der Kunde die (neue) PIN selbst ändern (auf 4-12 numerische Ziffern). Nach einer Übergangs-zeit mit zwei gleichzeitig gültigen PIN´s (also der bisherigen (!) und der neuen, zunächst nicht aber später veränderbaren) von drei bis fünf Monaten stirbt dann die alte PIN und Spur 3 des Magnetstreifens wird gelöscht (Offsets etc.). Offline-Autorisierung gibt es dann nur noch mit Chipkartenfunktion; das heißt in die elektronische Geldbörse wird eine Authorisierungsfunktion für die EC-Karte eingebaut. (Ist sie aber in den jetzt bereits ausgegebenen Karten noch nicht.) Die entscheidende technische Schwachstelle des EC-Kartensystems ist und bleibt der 56-bit DES Pool-Schlüssel. Das haben offenbar auch die Banken erkannt, erklärt die Vorgehensweise nach FAZ. Zusätzlich sollte mensch wissen, daß der Pool-Schlüssel, der (siehe Schema) die Errechenbarkeit des PIN-Codes zu *jeder* EC-Karte (mit dem Offset) ermöglicht, seit Einführung des EC-Kartensystems nicht geändert wurde. Im Sinne der EvolutionUm die unheilsvolle Behauptung der Banken, der PIN sei aufgrund der Kartendaten nicht errechenbar ein für alle mal in den Bereich der Unwahrheit zu rücken - und somit die Haftungsfrage zu lösen und sich nicht mit den kosmetischen Spielerein zufriedenzuge-ben, entstand im CCC die Idee, den 56-Bit Poolschlüssel doch einfach zu knacken. Und das steht jetzt als Projekt an. Konkret haben wir uns dazu entschlossen, eine Schlüssel-knackmaschine zu bauen (verteiltes Rechnen dauert zu lange). Die Detailfragen, etwa ob wir uns mit ASIC´s auf eine kostengünstige-re, aber auf 56bitDES beschränkt Lösung einlassen oder mit FPGA´s eine flexiblere, aber aufwendigere und teurere Maschine konstruieren befinden sich in der Diskussion (z.B. de.org.ccc). Auf der HIP´97 Konferenz in Holland (siehe diese Datenschleuder) soll die Konstruktionsdiskussion öffentlich geführt und die Entscheidungsfindung baldmöglichst abgeschlossen werden. Abgesehen von den nicht ganz kleinen technischen Problemen, die im Rahmen des Projektes zu lösen sind gibt es natürlich noch ein finanzielles. Unter Berücksichtigung des Zeitdrucks (Pool-Schlüssel muß noch dieses Jahr vorliegen, bzw [...selberdenken...]), der zu lösenden technischen Probleme (ASIC-Erstellung bzw. FPGA-Programmierung, Lieferzeiten, Stromversorgung (!), Bussystem) ist das Projekt unter 1 Million DM mit den zur Verfügung stehenden Ressourcen schwerlich zu lösen. Nach 2 Wochen Diskussion haben wir uns zmd. von jeglichen selberlöten"-Lösungen entfernt und Outsourcing von Teilaufgaben (Hardware) als sinnvoll befunden. Wo das Geld hernehmen?Um es gleich klarzustellen: die Aktion findet in Kooperation mit Verbraucherschutz-verbänden und Rechtsanwälten statt um unzweifelhafte legale Aktivität im Sinne des Verbraucherschutzes sicherzustellen. Es geht neben der öffentlichen Beleuchtung der EC-Kartenproblematik natürlich auch darum, auch dem letzten DAU klarzumachen, daß der 56bit-DES unsicher ist; denn die Geheim-dienste haben längst Maschinen um den kompletten 56bit-Keyspace in weniger als 10 Sekunden durchzurechnen und so trotz Brute-Force effektiv zu arbeiten. Der BND etwa betreibt zwei solcher Rechner (Thinking Machine Corporation). Im Grunde wirft die Freigabe von 128bit-Schlüsseln (IDEA) durch die Amerikaner (siehe Meldung in dieser DS) schon ganz andere Fragen bezüglich geheim-dienstlicher Aktivitäten auf. In Vorgesprächen mit entsprechenden Stellen haben wir bereits Kooperationsbereitschaft zugesichert bekommen. Für konkrete Aquisearbeit sollte natürlich das technische Realisierungskonzept stehen. Denkbar ist technisch auch die Realisierung des von Michael J. Wiener bereits 1993 beschriebenen Efficient DES Key Search" Maschinchens. Die Diskussion ist hiermit eröffnet. Für Anregung, technische Hinweise und sonstige Form der Mitarbeit sind wir dankbar. Andy Müller-Maguhn, andy@ccc.de (1) siehe Diskussion in de.org.ccc (2) ist in der Newsgroup de.org.ccc bzw. kann bei mir per mail angefordert werden (3) a´la Card Ausgabe 20-21/1997 Seite 254d: [...] vereinbart, daß Äußerungen zu diesem Thema nur vom Zentralen Kreditausschuß kommen [...]". (4) das ZKA faxte uns trotz telefonischer Zusage die Stellungnahme nicht zu, daher Zitate ebenfalls entnommen aus der a´la Card Ausgabe 20-21/1997 Gutachten 9422/03vom 25. Februar 1997 Begutachtung der Sicherheit einer EC-CARDIm Rechtsstreit < > / Deutsche Postbank AG vor dem Oberlandesgericht Hamm Az.: 31 U 72 / 96 Gutachter: Prof. Dr. Dipl.-Ing. Manfred Pausch von der Industrie- und Handelskammer Darmstadt öffentlich bestellter und vereidigter Sachverständiger für Informationsverarbeitung im aufmännischen und administrativen Bereich (Kleinrechner-Systeme) Inhaltsverzeichnis1. Auftrag 2. Beweislage 3. Ausgangslage 4. Risikoanalyse 4.1 Personen-Kategorien 4.1.1 Mitarbeiter 4.1.2 Vertragspersonal 4.1.3. Systemberechtigte Teilnehmer 4.1.4 Systemfremde Teilnehmer 4.2 Zahlungssystem 4.3 Komponenten 4.4 Risiken 4.4.1 Komponente: GAA/POS-Terminal 4.4.1.1 Konstruktive Mängel 4.4.1.2 Aufstellungsort 4.4.1.3 Überwachung 4.4.1.4 Automatenraub 4.4.2 Programme und Netze 4.4.2.1 Verrat und Korruption 4.4.2.2 Programmfehler 4.4.2.3 Netzsicherheit 4.4.3 Komponente: Magnetstreifenkarte 4.4.3.1 Produktionsfehler 4.4.3.2 Kartendaten 4.4.3.3. Verknüpfte Sicherheit/MM 4.4.3.4. Persönliche Geheimzahl/PIN 4.5 Methoden 4.5.1 Ausspähung 4.5.1.1 Passive Ausspähung 4.5.1.2 Aktive Ausspähung 4.5.2 Ermittlung 4.5.2.1 Durch Abfangen 4.5.2.2 Empirische Ermittlung per PIN 4.5.2.3 Die mathematische Ermittlung 4.5.2.4 Die elektronische Ermittlung 4.5.3 Manipulation 5. Zusammenfassung der Risikoanalyse 6. Beantwortung der Beweisfragen 7. Erklärung des Sachverständigen 1. AuftragDer relevante Teil des Beweisbeschlusses lautet: a) Unter welchen Voraussetzungen und mit welchem zeitlichen Aufwand läßt sich die PIN einer gestohlenen ec-Karte von einem Täter ermitteln? b) Ist es dabei denkbar, daß ein Täter diese innerhalb von 30 Minuten herausfindet, gegebenfalls mit Hilfe von Erkenntnissen aus einschlägigen Vortaten, um welche Vorkenntnisse müßte es sich dabei handeln?` ... 3. AusgangslageMit der Magnetkarte fehlt ein extrem wichtiges Beweismittel, das ein Sachverständiger einer umfangreichen, u.U. prozeßentscheidenden, forensischer Untersuchung unterziehen kann. ... Durch die derzeitige Unmöglichkeit einer Begutachtung der streitbefangenen Magnetkarte kann nicht bewiesen werden, ob die Kartendaten manipuliert worden sind. Insbesondere kann nicht festgestellt werden, ob der Fehlbedienungszähler zurückgesetzt worden ist. Es gibt also keine gesicherten Erkenntnisse für die Behauptung der Beklagten, daß der Täter beim ersten Versuch bereits die richtige PIN eingegeben hat. Es ist sehr wohl denkbar, daß auch an anderen Automaten bereits Versuche unternommen wurden, die bisher nicht zur Kenntnis des Gerichts gebracht worden sind. Nach Aktenlage ist auch nicht zu erkennen, ob überhaupt eine Prüfung der PIN am Geldausgabeautomaten vorgenommen worden ist. Die vorgelegten Buchungsbelege zum Konto des Klägers sind dazu nicht geeignet. (Auf dieser Grundlage allein könnte auch eine simple Fehlbuchung bei der Beklagten durch falsche Kontozuordnung nicht ausgeschlossen werden.) Hierüber kann nur das Transaktionsprotokoll, das den Verkehr zwischen dem Automaten und dem Rechenzentrum aufzeichnet, in Verbindung mit dem Kontrollstreifen des Automaten Auskunft geben. Diese Dokumente liegen der Akte aber nicht bei. Es ist also gar nicht sicher, daß der Automat zum Zeitpunkt der streitgegenständlichen Abhebung online, d.h. mit dem Rechenzentrum in Verbindung war. Auch ist nicht ersichtlich, ob eine MM-Prüfung vorgenommen worden ist. Es könnte auch ein Hardware- oder Software-Fehler vorgelegen haben. Hierüber kann nur die Auswertung der Dokumente durch einen Sachverständigen Auskunft geben. Die von der Beklagten vorgelegten Gutachter der Gutachter Haverkamp und Dr. Heuser (BI. 66 und 157 d.A.) sind bezüglich der Wahrscheinlichkeit die richtige PIN zufällig einzugeben, falsch. Tatsächlich gibt es bei ec-Karten nur die Zahlen von 1000 bis 9999. Bei drei Versuchen ergäbe sich damit aus Laiensicht eine Wahrscheinlichkeit von 1:3000. Wenn man jedoch weiß, daß bestimmte Ziffern in der PIN häufiger vorkommen als andere, so erhöht sich die Wahrscheinlichkeit auf 1:682 (1). Ein Experte, der auch noch die auf der Karte befindlichen Offsets berücksichtigt, bringt es sogar auf ca. 1:150 (2). Da die DIN/ISO 4909, die die Organisation der wichtigen Spur 3 auf ec-Karten beschreibt, jedermann zugänglich ist und auch in einer Hackerzeitung (3) veröffentlicht wurde, muß dieses Fachwissen" auch einschlägigen Täterkreisen unterstellt werden. Die ungesicherte Erkenntnislage in diesem Fall erzwingt deshalb zuerst eine Risikoanalyse des automatisierten Zahlungssystems, damit das Gericht einen Überblick über die vielfältigen Methoden des Kartenmißbrauchs gewinnen und diese gewichten kann, bevor die Beweisfragen im einzelnen beantworten werden können. Die Darstellung der komplexen Zusammenhänge soll anhand des dargestellten Schaubildes erfolgen. 4. RisikoanalyseFür alle kryptographischen Verfahren muß gelten, daß ihre Sicherheit nur auf der Geheimhaltung der verwendeten Schlüßssel beruhen darf, nicht aber auf der Geheimhaltung der angewandten Verfahren. Eine Geheimhaltung der Verfahren implementiert, daß Außenstehende die Sicherheit des Systems durchbrechen können, also reale Sicherheitslücken. Die Kryptologie als Spezialgebiet der Mathematik / Informatik wird im Hinblick auf Sicherheit und Vertrauenswürdigkeit der automatisierten Systeme in unserer fortschreitenden Informationsgesellschaft ein steigender Stellenwert zukommen. Ihre Rolle muß deshalb der öffentlichen und politischen Diskussion unterworfen werden. Die Verantwortung für die Sicherheit des heutigen automatisierten Zahlungssystems obliegt der Kreditwirtschaft. Sie hat den zentralen Sicherheitsbereich Schlüsselmanagement nach dem durch den Stand der Technik vorgebenen Standard zu organisieren. Dieser Bereich des Sicherheitsrisikos wird in der nachfolgenden Risikoanalyse des automatisierten Zahlungssystems nicht berücksichtigt. Die Untersuchung konzentriert sich vielmehr auf den durch die Einwirkung durch Dritte begrenzten Hard- und Softwarebereich, weil die sogenannten Phantomabhebungen" in der Mehrzahl hiermit erklärt werden können. (Solange die genauen Methoden der behaupteten unberechtigten Kontenzugriffe nicht eindeutig feststehen, hat es sich in der Fachliteratur eingebürgert, von Phantomabhebungen" zu sprechen.) Bei der Beschreibung der im Schaubild dargestellten Elemente ... folgt der Sachverständige der dort verwendeten Bezeichnung und Ordnung. ... 4.4.3.4 Persönliche Geheimzahl PIN Es werden verschiedene Verfahren zur Generierung einer PIN angewandt (16). Für die Abschätzung des Sicherheitsrisikos kann man sich jedoch auf den Kern, das allseits verwendete DES-Verschlüsselungsverfahren, beschränken. Dieses soll durch das Flußdiagramm auf der folgenden Seite veranschaulicht werden. Darin ist zur besseren Verständlichkeit die im institutsinternen Verfahren benutzte PIN als natürliche", die im institutsübergreifenden Verfahren benutzte PIN als endgültige" PIN bezeichnet. 4.5. MethodenGrundsätzlich gilt: Was verschlüsselt werden kann, kann auch wieder entschlüsselt werden. Die Methode, wie man zu einer PIN kommt, die zu einer fremden Magnetkarte gehört, ist nur eine Frage des Aufwandes, also der Zeit, der Kosten und der vorhandenen Ressourcen. 4.5.1 Ausspähung4.5.1.1. Passive AusspähungDie Ausspähung ist die mit Abstand verbreitetste Methode, an eine fremde PIN zu kommen. Es kann an Geldausgabeautomaten, besonders in verkehrsreichen Zonen, oder POS-Systemen in Kaufhäusern und Tankstellen häufig beobachtet werden, daß sich Dritte im unmittelbaren Einsichtsbereich der Tastatur aufhalten und so die PIN ohne weitere Hilfsmittel optisch erkennen können (Pfad 5.1 - 5.1.1. - 5.1.3. - 5.1.5). Die konstruktiven Merkmale fast aller in Gebrauch befindlicher GAA unterstützen diese Methode in nahezu sträflicher Weise. Abhilfe ist mit einfachsten Mitteln sehr wirksam zu schaffen. Häufig fehlt dem legalen Bediener des GAA aber auch das Bewußtsein für eine mögliche Ausspähung, sei es daß der/die Dritte Freund/Freundin oder Verwandter/Verwandte ist, denen solche Absicht nicht unterstellt wird, oder sei es, daß er (besonders ältere Leute) die Möglichkeit des Ausspähens unterschätzt. Für diese Methode gibt es in der praktischen Erfahrung des Autors als Sachverständiger eine Vielzahl von Beispielen, die aber hier wegen ihre Offenkundigkeit nicht einzeln vorgestellt werden sollen. Trotzdem müssen die Erfolgschancen der einfachen optischen Ausspähung untersucht werden. Wenn bei einem Touchscreen-GAA vier Abdrücke ohne Reihenfolge der Eingabe zu erkennen sind, so wird durch systematisches Ausprobieren spätestens im 24. Versuch die richtige PIN ermittelt. Statistisch gesehen beträgt die Chance 1:12. Bei drei zulässigen Eingabeversuchen würde auf diese Weise für jede vierte (gestohlene) Karte die richtige PIN eingegeben werden können. Eine wahrlich gute Trefferquote! 4.5.1.2. Aktive AusspähungAus Norwegen, Schweden und England sind Fälle (17) bekannt, in denen kriminelle Vereinigungen Wohnungen gegenüber von GAA in verkehrsreichen Zonen angemietet hatten. Von dort spähten sie mit Ferngläsern bzw. Kameras mit Teleobjektiven PIN aus (Pfad 5.1 - 5.1.2 - 5.1.4 - 5.1.5). Die Bediener wurden anschließend geziehlt bestohlen bzw. beraubt und ihre Konten geplündert. Eine auch in Deutschland verbreitete Variante dieser Methode ist das Anbringen von Mini-Videokameras (18) (54*54*34 mm), die die Bilder per Funk über eine Strecke bis zu 400m übertragen. Die entsprechende betriebsfertige Ausrüstung (Minikamera und Monitor) ist im Elektronikhandel - natürlich nicht für diesen Zweck - für weniger als 1.000,- DM erhältlich (Anlage 2). In einem anderen Fall benutzte in einer westdeutschen Großstadt ein Elektronik-Freak selbstgebaute Vorsatzgeräte, die er nacheinander an verschiedene GAA anbrachte, und übertrug per Funk sämtliche Daten der Karten einschließlich zugehöriger PIN in seine Computer-Datenbank (19). Anschließend plünderte er die Konten. Den Kunden sind die Vorsatzgeräte nicht aufgefallen. ... 4.5.2.2 Empirische Ermittlung der PINEntgegen anderslautenden Behauptungen der Kreditwirtschaft werden auch heute (beweisbar) noch Geldausgabeautomaten häufig offline betrieben. Das muß auch allein schon wegen der Wartungszeiten technischer Einrichtungen und zur Aufrechterhaltung des Betriebes bei Störungen der Fall sein. Beim offline-Verfahren wird ein Poolschlüssel" eingesetzt. Die Kartendaten sind deshalb bei der Herstellung mit mehreren verschiedenen Schlüsseln verschlüsselt worden. Die zugehörigen Offsets sind auf der Karte abgespeichert und können ausgelesen werden. Im deutschen ec-Geldautomatensystem werden maximal 2 Schlüssel vorrätig gehalten und wahlweise eingesetzt (21): - Der Institutsschlüssel, der zur Ermittlung und Prüfung der persönlichen Geheimzahl der eigenen Kunden des Instituts herangezogen wird, das den ec-GA betreibt. - Der Poolschlüssel, der zur Ermittlung und Prüfung der persönlichen Geheimzahl aller anderen Benutzer dient. Bei institutsinterner Nutzung ist die vom Kunden eingetastete persönliche Geheimzahl mit dem Ergebnis der DES-Algorithmus-Rechnung zu vergleichen. Bei institutsübergreifender Nutzung ist folgender Rechenvorgang anzuwenden: Eingetastete persönliche Geheimzahl des Kunden - Ergebnis des DES-Algorithmus mit Poolschlüssel = jeweils gültiger Offset oder Ergebnis des DES-Algorithmus mit Poolschlüssel + jeweils gültiger Offset = vom Kunden eingetastete persönliche Geheimzahl Einer dieser Poolschlüssel ist in einem Hardware-Sicherheits-Modul (HSM) im Geldausgabeautomaten gespeichert. Bei der OFFLINE-Prüfung verschlüsselt der GAA die Kartendaten mit dem Poolschlüssel. Wenn das Ergebnis zusammen mit dem Poolschlüssel der vom Kunden eingebenen PIN entspricht, wird die Eingabe vom GAA akzeptiert. Wie groß ist die Chance, die PIN zu erraten? Dazu muß man wissen, daß es bei der PIN nur 9000 Möglichkeiten gibt. Unterstellt man 3 Versuche, bevor die Karte bei falscher PIN-Eingabe einbehalten wird, so ergibt sich in erster (laienhafter) Näherung eine Wahrscheinlichkeit von 1:3000 = 0,00033. Statistisch korrekt ergibt sich für das Erraten der PIN in drei Versuche unter Berücksichtigung der Entropie jedoch eine Wahrscheinlichkeit von 0,00044. Wenn, z.B. durch Ausspähung, bereits Teile der PIN bekannt sind, erhöht sich die Wahrscheinlichkeit naturgemäß entsprechend. Dabei kommt es aber darauf an, ob die erste und/oder eine der nachfolgenden Stellen der PIN bekannt sind. Denn in der PIN kommen nicht alle Ziffern gleich häufig vor. Bestimmte Ziffern können z.B. nicht in der ersten Stelle der PIN vorkommen. In Wirklichkeit ist die Chance dadurch größer als der Laie vermutet, daß manche Zahlen in der PIN häufiger vorkommen als andere. Mit diesem Wissen beträgt die Chance, die richtige PIN zu erraten, 1:682 = 0,00147. Mit dem Expertenwissen über die Offsets kann die Wahrscheinlichkeit sogar auf ca. 1:150 = 0,00667 erhöht werden. 4.5.2.3 Die mathematische Ermittlung der PINDie Kreditwirtschaft stützt ihre Aussage bezüglich der Sicherheit häufig auf den sogenannten Brute Force Attack" und leitet daraus den Zeitbedarf für die Ermittlung des Schlüssels von derzeit 1900 Jahren (22) PC-Rechenzeit ab. Mit diesem Ansatz kann durch Nachvollziehen der Verschlüsselung der vollständige Schlüssel eines kartenausgebenden Institutes mit allen 56 wirksamen Stellen ermittelt werden. Das erfordert natürlich selbst bei großzügigsten Ressourcen auf einem PC immens viel Zeit. Es sind auch spezielle Geräte und Schaltungen veröffentlicht worden, mit denen die Berechnung schneller erfolgt. Eine detaillierte Konstruktionsbeschreibung einer solchen Maschine hat der kanadische Kryptologe Michael J. Wiener von Bell Northern Research bereits 1993 vorgestellt (23). Da für Kredit- und Bankkarten weltweit nahezu die selben Verschlüsselungsverfahren angewandt werden, kann die Wiener-Maschine auch sozusagen universell eingesetzt werden. In Anbetracht dieser technischen Entwicklung kommt den bereits seit Einführung des DES-Verfahrens vorgetragenen Bedenken über eine ausreichende Schlüssellänge wachsende Bedeutung zu. Die Schlüssellänge von 56 bit beruht nicht nur auf der damaligen Kapazität der eingesetzten ICs, sondern ist nicht zu letzt darauf zurückzuführen, daß die amerikanischen Sicherheitsbehörden in der Lage bleiben wollten, den mit dieser Schlüssellänge codierten Datenverkehr leicht entschlüsseln zu können. Führende amerikanische Kryptologen haben bereits 1993 auf die unzureichende Schlüssellänge aufmerksam gemacht. Die aktuellere Schätzung dieser Wissenschaftler vom Januar 1996 ist nachstehend wiedergegeben (24): Nach heutigem Stand könnten selbst bei der 10.000 $-Variante ASICS eingesetzt werden, ohne daß sich die Kosten wesentlich erhöhen. Unter dieser Vorraussetzung könnte die Schlüsselsuche in ca. 14 Tagen durchgeführt werden. (Falls die Spezialmaschine selbst entwickelt werden muß, gilt: Bei allen Varianten müssen noch die Entwicklungskosten in Höhe von ca. 500.000 $ berücksichtigt werden. Diese wurden bei Erstellung der Tabelle von den Autoren offensichtlich vergessen.) Da die Schlüsselsuche mit der Wiener-Maschine nur ein einziges Mal für jeden Schlüssel durchgeführt werden muß, ist die Verarbeitungsgeschwindigkeit im Grunde bei der Risikobetrachtung von nachgeordneter Bedeutung. Der Täter" muß auch nicht selbst die Schlüsselsuche durchführen . Es ist herauszustellen, daß die Schlüsselsuche mit der Wiener-Maschine von anderen Personen, zu anderer Zeit und an anderem Ort durchgeführt werden kann. Wenn also ein Poolschlüssel mit der Wiener-Maschine in 14 Tagen geknackt werden kann, so ist das bei diesen Investitionen ein lukratives Geschäft. Denn die gefundenen Schlüssel können an Interessierte verkauft werden, die dann mit kleinen Laptop-Computern in Sekunden die richten PIN zu gestohlenen ec-Karten errechnen können. Bei dezenter Anwendung, die eine Entdeckung unwahrscheinlich macht, übersteigt der »Ertrag« die »Investition« um ein Vielfaches. Es sei außerdem noch angemerkt, daß die Kosten für FPGAs und ASICs trotz des zur Zeit höheren Dollarkurses seit der Erstellung der vorherstehenden Tabelle erheblich gesunken sind. Auch muß auf die PC-gestützte Zeit- und Kostenrechnung im Amateurbereich aufmerksam gemacht werden, die das Poten-tial der Täter nur auf dieser Basis vergleich-bar machen kann. Das entspricht aber nicht den Gegebenheiten in Deutschland. Mit leistungsfähigeren Rechnern (z.B. gebrauch-ten Großrechnern, die wegen der galop-pierenden technischen Innovation dieser Systeme nahezu verramscht werden) lassen sich Kosten und Zeiten dramatisch senken. Weil ein Dieb aber nur an der vierstelligen PIN interessiert ist, wird der Einzeltäter in der Praxis die Investition scheuen. Es ist jedoch durchaus vorstellbar, daß sich internationale Organisationen dieser Methode bedienen könnten, um alle PIN zu knacken". Der Smart Attack" (25) basiert mehr auf pragmatischer Methodik und nutzt alle mathematischen Einschränkungen und Erleichterungen der realen Gegebenheiten (z.B. die Wertepaare sind nur für wenige Punkte mathematisch definiert und die reale Wertefläche ist nur eine geringe Untermenge der mathematischen Gesamtmenge) sowie das spezielle Verfahrens-Design zur Ermitt-lung vierstelligen PIN aus. Wie schon darge-legt erhöht sich durch Einbeziehung der auf der Karte abgespeicherten Offsets die Chance für den Experten, bei zufällig gewählten Karten, bereits auf 1:150. Die Chancen ver-größern sich in der Praxis noch, weil der Poolschlüssel seit langer Zeit nicht verändert wurde. Der Autor konnte im praktischen Versuch für ein Amtsgericht die gesuchte richtige PIN bereits im 17. Versuch mittels Erhöhung der Ordnung einer Spline-Funktion ermitteln. 4.5.2.4 Elektronische Ermittlung der PINDas elektronische Abfangen von Daten wurde bereits unter Punkt 4.2.3 (Netzsicherheit) erörtert. An dieser Stelle soll deshalb auf die Ermittlung der PIN unter Verwendung von Originalteilen aus GAA eingegangen werden. Aufgrund der Offline-Struktur des deutschen GAA-Systems sind die Möglichkeiten der Errechnung und Prüfung der PIN im GAA eingebaut. Aus Skandinavien ist ein Fall bekannt (26), in dem diese Komponenten mit der GAA entwendet wurden. Die Diebe, die über entsprechende Elektronik-Kenntnisse verfügten, bauten daraus ein Gerät, das bei gegeben Kartendaten blitzschnell alle PIN-Nummern abfragte, bis die richtige gefunden war. So konnte die unbekannte PIN in Sekunden ermittelt werden. Auch in Deutschland kann diese Möglichkeit nicht ausgeschlossen werden. Ernstzunehmende Informationen aus der Szene deuten darauf hin. 4.5.3 ManipulationManipulationen der auf der Magnetkarte abgespeicherten Daten zur Herstellung eines Zustandes, mit dem die Akzeptanz einer bestimmten oder aller PIN-Eingaben erreicht werden sollen, lassen sich in der Mehrzahl durch forensische Untersuchungen der verursachenden Karte nachweisen (Pfad 5.3 - 5.3.1 + 5.3.2). Das hat der Sachverständige in mehreren Fällen bewiesen. Die übliche Vernichtung der Magnetkarte durch das ausgebende Kreditinstitut ist deshalb als weiteres Risiko zu erwähnen. Das einfache Zerschneiden der Karte vernichtet nicht in allen Fällen die Daten, so daß ein Fachmann häufig noch Auswertungen vornehmen kann. Es sind aber auch Fälle bekannt (27), in denen die Betrüger Veränderungen an den Kartendaten vorgenommen haben, um beispielsweise den Fehlbedienungszähler zurückzusetzen, den Verfügungsrahmen zu vergrößern oder die Gültigkeit zu erreichen. Auch das läßt sich in der Regel anhand der eingezogenen Karte durch forensische Untersuchungen nachweisen. Darüber hinaus sind viele Kombinationen der vorgestellten Methoden denk- und machbar. Auf die Entkoppelung von Zeit und Raum bei der Ausspähung muß besonders hingewiesen werden, weil hierdurch die Aufklärung extrem erschwert wird. Beispiel: Wenn ein Kunde bei der Eingabe seiner PIN in einer Tankstelle unbemerkt ausgespäht wird, so kann seine Identität vom Täter in der Regel über das KFZ-Kennzeichen oder die Verfolgung seines Fahrzeugs festgestellt werden. Es wurde berichtet, daß dann Auftragsdiebe oder Auftragsräuber nach einigen Tagen dem Auftraggeber (Ausspäher) die Magnetkarten beschafft haben, der dann das Konto der Betroffenen ausplünderte. Der Betroffene wird sich in der Regel nicht mehr an die Möglichkeit einer Ausspähung in der Tankstelle oder gar an den Täter errinern. ... Es ist auch naheliegend, daß die Ende 1995 in den Niederlanden von Unbekannten mit Kartenkopien getätigten Abhebungen zulasten Banken in Jülich und Hückelhoven (28), auf die gleichzeitige Anwendung mehrerer der vorgestellen Methoden zurückgeführt werden kann. Es kann nicht ausgeschlossen werden, daß hier die PIN von ca. 100 Kunden mittels einer Minivideokamera unbemerkt ausgespäht und die Kartendaten mit einem elektronischen Vorschaltgerät erfaßt worden sind. In diesem Fall beläuft sich die Schadenssumme auf ca. 300.000,- DM. In Anbetracht der besonderen Umstände haben die Banken allerdings die Kunden entschädigt. 5. Zusammenfassung der RisikoanalyseVorstehend weurde eine systematische Risikobetrachtung für den automatisierten Zahlungsverkehr mit Magnetkarten vorgestellt. Die Quantifizierung der aufgezeigten Risiken kann nicht verbindlich vorgenommen werden. Dunkelziffern sind nicht bekannt. Gemessen an der Zahl der in der Kriminalstatistik (29) dokumentierten Fälle beinhaltet die Sammlung des Sachverständigen nur eine äußerst geringe Menge. Diese wird allerdings durch laufende Erfassung ständig aktualisiert. ... Einige der vorgestellen Methoden sind so erfolgreich", daß entgegengehalten werden kann, wenn diese Verfahren tatsächlich in der Praxis angewandt würde, hätte es einen nicht zu übersehenden Effekt hervorgerufen. Dieser sei aber bisher nicht erkennbar. Tatsächlich erhebt sich aber hier die Frage nach dem intellektuellen Potential der Täter. In Anbetracht der schwerwiegenden Materie kann es ein gefährlicher Trugschluß sein, wenn die Gentleman-Täter" auf das Niveau herkömmlicher Geldschrankknacker des Ede-Typs reduziert werden. ... Es läßt sich auch beim automatisierten Zahlungssystem, wie bei jedem anderen technischen System, nicht leugnen, daß es risikobehaftet ist. Die Frage ist nur, ob es sich um das unvermeidbare Restrisiko" handlet, das der Benutzer zu tragen hat oder ob das Risiko nach dem Stand der Technik mit vertretbarem Aufwand verringert werden kann. Der Sachverständige ist der Auffassung, daß das Risiko durch einfachste Maßnahmen drastisch reduziert werden kann, z.B. durch Sichtschutz zur Erschwerung der Ausspähung ... Es ist auch wichtig, die Zugangsmöglichkeit zu den beschrieben Verfahren abzuwägen. Das heißt, wie hoch sind die Investitionen und über welche Qualifikationen müßen die Täter verfügen? Nur nach Beantwortung dieser Fragen läßt sich entscheiden, ob man bei jedem in der Kriminalstatistik aufgeführten Kartenmißbrauchsfall die Vortäuschung einer Straftat annehmen muß. Bereits für 49,50 DM bietet in bekannter Elektronik-Handel Codierstationen aus DDR-Beständen (Anlage 3).Mit diesen(fabrikneuen) Geräten können Magnetkarten hergestellt, dupliziert, manipuliert und gelesen werden. Die zugehörige Software ist als ausführliches Listing in einer Elektronikzeitschrift veröffentlicht worden (Bl 24 ff d.A.) Was jede Stelle der Magnetspur einer ec-Karte bedeutet, kann man in einer Hackerzeitung nachlesen (Bl. 19 d.A. sowie Anlage 4), wenn man nicht Zugang zu einer DIN/ISO 4909 hat. Über die notwendigen Eingangsqualifikatio-nen verfügen mindestens alle Computer-Freaks, Technik- und Informatikstudenten. Die Vorleistungsinvestitionen" scheinen nicht unüberwindlich. Man darf deshalb ein ausreichendes Täterpotential vermuten. 6. Beantwortung der Beweisfragen Es wurde in der Analyse mehrere Möglichkeiten aufgezeigt, wie unberechtigte Täter in kürzester Zeit Kenntnis einer PIN erlangen können. Das Gericht möge bewerten, ob eine der vorgestellten Methoden in diesem Rechtsstreit mit überzeugender Wahrscheinlichkeit angewandt worden sein kann. Wegen der Unmöglichkeit einer forensischen Untersuchung der Magnetkarte können durch den Sachverständigen nur die unter den gesicherten Umständen technisch unmöglichen Methoden ausgesondert werden. Bei den übriggebliebenen kann der Sachverständige weder eine Möglichkeit ausschließen noch beweisen. Frage: a) Unter welchen Vorraussetzungen und mit welchem zeitlichen Aufwand läßt sich die PIN einer gestohlenen ec-Karte von einem Täter ermitteln? Antwort: Da der Kläger angibt, seinen PIN-Brief sofort nach Empfang vernichtet zu haben und auch die PIN inzwischen vergessen und niemals einen Geldausgabeautomaten benutzt zu haben, scheiden alle Möglichkeiten einer Ausspähung aus. Denkbar bleiben somit die Möglichkeiten einer Ermittlung der PIN (1), einer Manipulation der Magnetkarte (2) oder eines Systemfehlers (3) in Form eines Programmfehlers (»Betriebssystem«) bzw. aufgrund der »Betriebsart« (online/offline). zu 1: Wegen der langen Zeit seit Versendung des PIN-Briefes an den Kläger ist Möglichkeit des Abfangens dieses Briefes auf dem Postweg nahezu ausschließen. Bei der empirischen Ermittlung der PIN durch Ausprobieren ist die höchste Erfolgswahrscheinlichkeit mit 1:150 anzunehmen. Wie im Rahmen der Risikoanalyse dargelegt, ist die Wahrscheinlichkeit einer rechnerischen Ermittlung der PIN nach der Methode Brute Force Attack" oder Smart Attack" geringer. Es kann aber nicht mit letzter Sicherheit ausgeschlossen werden, daß es noch andere, effektivere rechnerischer Methoden zur Ermittlung der PIN gibt, von denen der Sachverständige zur Zeit noch keine Kentnis hat. Setzt man vorraus, daß auch Systemkomponenten aus einem (geraubten) GAA verwendet worden sein könnten, so ist die schnelle und richtige Ermittlung der PIN zur Karte des Klägers nicht von der Hand zu weisen. Dieser Methode ist in Anbetracht der Tatumstände von allen bekannten Varianten die höchste Wahrscheinlichkeit zu unterstellen. zu 2: Die Magnetkarte der Klägers kann auch mit Produktionsfehlern behaftet gewesen sein, die die Eingabe einer beliebigen PIN erlauben. Ein solches Verhalten ist in mehreren aufgetretenen Fällen dokumentiert, so daß es auch in diesem Fall nicht ausgeschlossen werden kann. Es ist für die Beurteilung von hypothetischem Wert, ob das Verhalten als Karten- oder Programmfehler angesehen wird. Darüber hinaus können die entwendete ec-Karte des Klägers auch von dem Täter mit diesem Ziel verändert worden sein. Da die Karte aber nicht forensisch untersucht werden kann, bleiben alle Aussagen Vermutungen. Weil aber auch keine Transaktionsprotokolle und Protokollstreifen der GAA / POS vorgelegt wurden, läßt sich nicht feststellen, ob die PIN überhaupt im Rahmen der unberechtigten Abhebungen geprüft worden ist. Wegen der derzeit nicht möglichen Auswertung der entwendeten ec-Karte des Klägers kann auch nicht über die Historie der Verwendung dieser Karte festgestellt werden. zu 3: Selbst wenn zur Tatzeit ein Programmfehler in der Systemsoftware der Beklagten nicht vorhanden war, läßt sich dieser heute nicht mehr feststellen, weil die Beklagte nach der Erfahrung des Sachverständigen auch gerichtsbeauftragten Externen kategorisch die Information hierüber verweigert. Die Frage nach der Betriebsart des Zahlungssystems der Beklagten zum Tatzeitpunkt kann der Sachverständige derzeit nicht beantworten, weil die vorgelegten Kontoauszüge hierüber nicht aussagen. Erst nach Prüfung der relevanten Transaktionsprotokolle und der Kontrollstreifen der betroffenen GAA und POS können hierzu gutachterliche Feststellungen getroffen werden. Frage: b) Ist es dabei denkbar, daß ein Täter diese innerhalb von 30 Minuten herausfindet, gegebenenfalls mit Hilfe von Erkenntnissen aus einschlägigen Vortaten, um welche Vorkenntnisse müßte es sich dabei handeln? Antwort: Zum Zeitbedarf wurde bereits die Antwort gegeben: Es ist denkbar, daß ein Täter die PIN einer gestohlenen ec-Karte innerhalb von 30 Minuten herausfindet. Wenn man Vorkenntnisse aus einschlägigen Vortaten unterstellt, so müßten diese nach Lage der Tatumstände mittels Systemkomponenten durchgeführt worden sein, wenn nicht ein dem Sachverständigen derzeit unbekanntes Berechnungsverfahren zur PIN-Ermittlung eingesetzt worden ist. Mit geringerer Wahrscheinlichkeit ist anzunehmen, daß der Täter lediglich mit tieferem Wissen um die Abläufe im Zahlungsverkehr zum Erfolg gekommen ist. Allerdings deutet der Umstand der dreisten Barabhebungen auf fundiertes (Insider) Wissen im automatisierten Zahlungsverkehr hin. <...> (1) Markus Kuhn: PIN auf EC-Karten knacken? / 06.08.1996 (2) Ulf Moeller: Sicherheit von ec-Karten / 28.06.1996 (3) Die Datenschleuder - Das wissenschaftliche Fachblatt für kreative Techniknutzung. Ein Organ des Chaos Computer Club, Nr. 53 von Dezember 1995, ISSN 0939-1045 (16) DIN/ISO 4909 und Regelwerk des Zentralen Kreditausschusses (19) AG Köln 116 Js 599/89 (21) Zentraler Kreditausschuß: Anhang 3 zu den Richtlinien für das deutsche ec-Geldautomatensystem i.d. F.v. 01.01.1995, S. 28
(22) Siegfried Herda: Gutachten zur Sicherheit von ec-Karten mit Magnetstreifen für LG Köln Az.: 1 1 S 338/92, Februar 1994 (23) Michael J. Wiener: Efficient DES Key Search, Bell-Northern Research Ottawa 20. August 1993 (24) Balze, Diffie, Rivest, Schneider, Shimomura, Thompson, Wiener: Minimal Key Lengths for Symmetric Ciphers to provide Adequate (25) Manfred Pausch: Gutachten für AG Darmstadt 38 C 4386/87, 10.07.1988 (26) Ivar Kamsvag: Slik kan en minibank knekkes Computerworld Norge, 1/1993 S. 4-5, 15.01.1993 (27) NDR Ratgeber Technik: Archiv Ammann, Lehnhardt, Leptihn (28) Westdeutsche Allgemeine Zeitung: Geldautomat kopiert den Magnetstreifen, 12.01.1996 (29) Bundeskriminalamt, Kriminalistisches Institut, Ref. Kl 12: Computerkriminalität 1995 in der polizeilichen Kriminalstatistik (PKS): Gesamtdeutschland. Anmerkungen der Redaktion:
|
[Datenschleuder]
[59]
EC-Karten Unsicherheit