Security-Forscher: Bezahlen mit Kreditkarte und PIN unsicher

Das von Europay, Mastercard und Visa entwickelte EMV ist heute in Europa das dominierende Verfahren für Chipkarten im Zahlungsverkehr. Auch die im Januar 2010 millionenfach in Deutschland ausgefallenen EC-Karten setzten auf EMV. Das Protokoll soll jedoch laut einem Bericht von ZDnet UK eine Schwachstelle haben.

Mittels einer Man-in-the-middle-Attacke soll ein Terminal, wie es beispielsweise in Geschäften für Zahlungen verwendet wird, ausgetrickst werden können. Selbst wenn eine falsche PIN eingegeben wird, soll das Terminal durch eine Lücke in EMV die Eingabe als korrekt akzeptieren. Nötig ist dafür etwas Hardware, die jedoch handelsüblich sein soll. Laut Darstellung der Forscher von der Universität Cambridge, welche diese auch in einem PDF veröffentlicht haben, sollen sich die Geräte - dazu zählen ein Notebook und ein FPGA-Board - aber auch leicht in einem Rucksack unterbringen lassen.

Ob sich so auch mit gestohlenen Karten unauffällig bezahlen lässt, scheint damit noch nicht bewiesen. Das wäre fatal, da eine Zahlung mittels PIN meist zulasten des Kunden geht. Kreditunternehmen gehen dann häufig davon aus, dass etwa die PIN zusammen mit der Karte aufbewahrt wurde. Ein Sprecher der "UK Payments Administration" sagte gegenüber ZDnet UK auch, ein Einsatz des Verfahrens in der kriminellen Praxis sei noch nicht beobachtet worden.

Wie sich jüngst beim Ausfall von EC-Karten in Deutschland gezeigt hat, akzeptieren viele Terminals auch noch den Magnetstreifen der Karten, der sich jedoch schon seit Jahren sehr einfach nachbilden lässt. Schnell verbreitete sich der "Geheimtipp", den Chip mittels eines Klebestreifen für das Lesegerät unzugänglich zu machen. Der Umstieg auf Chipkarten und das EMV-Verfahren sollte die bargeldlose Zahlung dabei sicherer machen.

Die britischen Wissenschaftler wollen ihre Ergebnisse im Mai 2010 auf dem IEEE Symposium on Security & Privacy im kalifornischen Oakland näher erläutern und zur Diskussion stellen.