Wie sicher ist die PIN bei EC-Karten? (Update)
Bei einigen EC-Karten soll es mehr als drei Möglichkeiten geben, um die richtige PIN einzugeben. Nach Recherchen des ARD-Wirtschaftsmagazins Plusminus sind sechs Versuche möglich, um die PIN zu erraten. Damit steigt laut Experten die Wahrscheinlichkeit, die PIN zu erraten, statistisch auf etwa eins zu 800.
"Wir haben das mehrfach ausprobiert" , erklärte Achim Pollmeier vom WDR Golem.de. "Das Problem ist systemisch, weil der Chip und der Magnetstreifen voneinander unabhängig funktionieren." Dass dies bei allen EC-Karten möglich sei, lasse sich daraus aber nicht ableiten.
Plusminus will zudem Beweise dafür haben, dass Kreditkarten häufig mehrere PINs haben, was die Bankenwirtschaft bestreite. Laut einem Sachverständigen gebe es Kreditkarten, denen bis zu neun unterschiedliche PINs zugeordnet seien, berichtet Plusminus. "Die Verschlüsselung von Kreditkarten passiert nach einem Modus, der zum Teil mehrere PINS zulässt" , sagte Pollmeier weiter. Laut einem Experten haben 60 Prozent aller Visakarten zwei PINs. Eine Untermenge davon habe sogar bis zu neun PINs. Für eine Kreditkarte habe Plusminus den Beleg, dass dort eine PIN funktioniert, die nicht die eigentliche PIN sei. Dies sei lupenrein im Bild belegt, sagte Pollmeier.
In den ersten Tagen des Jahres 2010 war es zu Problemen beim Einsatz von Girocards und Kreditkarten der deutschen Kreditwirtschaft im In- und Ausland an Geldautomaten und Händlerterminals gekommen. Betroffen waren rund ein Fünftel aller ausgegebenen Giro- und Kreditkarten, und damit 20 bis 23 Millionen Karten. Grund war ein Softwarefehler bei der Verarbeitung der Jahreszahl 2010 auf dem EMV-Chip. Das Problem sei inzwischen durch Softwareupdates oder Kartenaustausch gelöst worden, so der Zentrale Kreditausschuss (ZKA), in dem die fünf Spitzenverbände der deutschen Kreditwirtschaft zusammengeschlossen sind.
Laut Plusminus sind dies klare Indizien, dass Banken die Sicherheit ihrer Kartensysteme nicht vollständig im Griff haben und mögliche Risiken nicht kennen. Dennoch hätten Verbraucher in zweifelhaften Missbrauchsfällen fast immer das Nachsehen: Banken bestritten kategorisch, dass es Missbrauchsmöglichkeiten gebe, und die Gerichte stellten die Sicherheit des elektronischen Bezahlsystems nicht infrage.
Das ARD-Wirtschaftsmagazin Plusminus zeigt den Bericht am heutigen Dienstag(öffnet im neuen Fenster) , 19. Januar 2010, um 21:50 Uhr.
Nachtrag vom 19. Januar 2010, 18:19 Uhr:
Der Zentrale Kreditausschuss hat für den morgigen Tag eine offizielle Stellungnahme zur Sicherheit bei der PIN-Eingabe angekündigt.