Ist der EMV-Chip wirklich zu knacken?

Marktkommentar: Felitas Aguilar, Sales Managerin, ACI Worldwide
(PresseBox) (Sulzbach, ) "Nach der Chipkartenpanne Anfang des Jahres behaupten nun britische Forscher, dass der EMV-Chip einfach zu knacken sei. Der Chip, der in Deutschland im Einsatz ist, unterscheidet sich allerdings von den Karten im restlichen Europa. Hier wird die SECCOS-Technologie eingesetzt, die im Vergleich zum EMV-Chip mehr Sicherheit bietet. Das Problem liegt aber nicht am Chip selbst, sondern am Authentifizierungsverfahren, das momentan eingesetzt wird.

In Deutschland sind besonders Kreditkarteninhaber gefährdet, da beim Point of Sale so gut wie nie nach einer PIN gefragt wird. Generell sollten Debit- und Kreditkarten mit EMV-Chip nicht durch eine Unterschrift, sondern durch die PIN-Nummer bestätigt werden, sofern nicht besondere Umstände vorliegen. Dies könnte beispielsweise der Fall sein, wenn die Karte in nicht EMVfähigen Ländern wie etwa in den USA eingesetzt wird oder technische Probleme vorliegen.

Für die Authentifizierung gibt es zwei verschiedene Verfahren: das PIN-Online und das PIN-Offline-Verfahren. Beim PIN-Online (wird in der Regel bei Girokarten eingesetzt) wird die PIN-Nummer in gesicherter Form an das kartenherausgebende Institut weitergeschickt, damit das Institut die PIN freigeben kann. Das ist das sicherste Verfahren. Wenn beispielsweise aus technischen Gründen die PIN nicht weitergegeben werden kann, sollte nicht die Unterschrift verlangt werden sondern das PIN-Offline-Verfahren zum Einsatz kommen. Dabei wird die PIN im Chip selbst mittels spezieller Kalkulationsverfahren überprüft und bestätigt. Dies bietet eine weitere Sicherheit für den Kunden.

Der Einsatz des sogenannten Cardholder Verification Methode (CVM), ermöglicht es den Banken eine Liste je Karteninhaber zu erstellen, indem die Bank die Maßnahmen zur Authentifizierung des jeweiligen Karteninhabers vorher festlegen kann. Wenn die Bank getreu dem "Knowyour-Customer-Prinzip" genug Daten über den Karteninhaber zur Verfügung hat, kann sie die Parameter zur Authentifizierung festlegen. Derzeit werden CVM-Daten aber nicht immer von der Kartenakzeptanzstelle (Acquirer) an den Kartenherausgeber (Issuer) weitergegeben, obwohl die Daten vorhanden sind. In diesem Fall ist aber die Datenweitergabe für den Kunden nur von Vorteil. Wenn beispielsweise ein Kunde seine Karte öfter im Ausland einsetzt, kann die Bank die Sicherheitsmaßnahmen erhöhen, indem sie die Abfrage der PIN verlangt. Umgekehrt kann dadurch auch verhindert werden, dass einem Kunden die Karte gesperrt wird, nur weil sie einmal im Ausland eingesetzt wurde. Die Nutzung der CVM-Daten könnte schnell umgesetzt werden, wenn die Kartenorganisationen oder die Verbände die Verarbeitung dieser als Pflicht vorgeben würden.

Durch die Überprüfung der CVM-Informationen können Banken beispielsweise einen maximalen Kreditrahmen oder ein Transaktionslimit für alle EMV-Transaktionen festlegen, die nicht durch eine PIN überprüft worden sind. Auf diese Weise wird verhindert, dass hohe Summen vom Konto abgebucht werden. Damit Banken mit den Betrügern Schritt halten können, sollten sie verschiedene Wege in Betracht ziehen, Autorisierungsprozesse zu optimieren. Auf diese Weise können Banken Lücken schließen, noch bevor Betrüger diese entdecken."

Kontakt

ACI Worldwide
Am Limespark 2
D-65843 Sulzbach
Funda Akin
Hotwire
Social Media