girocard
archiv_neu3
Abgeschlossene Forschungsprojekte

girocard

Anonymität

Spätestens mit dem Kassenabschluss werden die Daten der einzelnen Transaktionen, zu denen mindestens die Karten- und Kontodaten des Kunden, eine Händleridentifikationsnummer, die genaue Zeit und der Ort des Bezahlvorgangs, sowie die angefallene Summe gehören müssen, an den Payment Processor übermittelt. Dieser reicht die Daten entsprechend an die Bank des Kunden und des Händlers weiter, die die Pseudonymität der Kontodaten aufheben können. Somit ist es für Behörden und nachrichtendienstliche Organisationen, die diese Daten abfragen dürfen, kein Problem diese zu erhalten. Eine Anonymität ist also grundsätzlich nicht gegeben. Auch die Pseudonymität ist fragwürdig, da Kontonummer und Bankleitzahl keine besonders ge-schützten Informationen sind. So ist es beispielsweise bei Unternehmen üblich, diese Daten auf dem Briefpapier mit anzugeben.
Für den Händler ist der Kunde aber schon anhand dieser Daten eindeutig zu identifizieren, was eine prinzipielle aggregierte Auswertung aller Einkäufe des Kunden im eigenen Unternehmen ermöglichen würde. Der Payment Processor kann sogar die Daten mehrerer Unternehmen zu-sammenführen und so detailliertere Kunden- und sogar einfache Bewegungsprofile erstellen. Einer der größeren Payment Processoren, die easycash GmbH aus Rattingen, geriet Anfang 2011 in die Schlagzeilen, als das Unternehmen darüber nachdachte, die gesammelten Daten zu nutzen und Bonitätsprofile der Kunden zu erstellen. Die dafür notwendigen Daten liegen dem Unternehmen durch seine Tätigkeit bereits vor. Allerdings kennt der Payment Processor nur grundsätzliche Transaktionen und keine kompletten Warenkörbe, so dass nicht bekannt ist, wel-che Artikel gekauft wurden. Diese Informationen liegen nur dem Händler vor. In Summe kann also festgestellt werden, dass die Bezahlung über die girocard nicht anonym ist. Es können für dieses System zwei Punkte vergeben werden, da zumindest dem Payment Processor nicht alle Daten bekannt sind und dem Händler gegenüber wenigstens eine, wenn auch gering zu bewertende, Pseudonymität besteht.

Systemsicherheit

Die Sicherheit des Zahlungssystems basiert auf der Sicherheit des eingesetzten EMV29-Chips und der Kenntnis des PIN-Codes bzw. der korrekten Unterschrift. EMV ist eine Spezifikation für Hardware und Protokolle, die in den Bezahlterminals zum Einsatz kommt. Außerdem werden in ihr die Schnittstelle und die verwendeten Protokolle zur Kommunikation zwischen Terminal und Karte spezifiziert. Hierzu existieren in der aktuellen Fassung 4.3 vier Bücher. Die Bücher tragen die folgenden Titel und können über die Website der EMVCo, der Organisation, die die Pflege und Weiterentwicklung des EMV-Systems verantwortet, bezogen werden.
Book 1: „Application Independent ICC to Terminal Interface Requirements“
Book 2: „Security and Key Management“
Book 3: „Application Specification“
Book 4: „Cardholder, Attendant, and Acquirer Interface Requirements“
Im Rahmen dieser Bücher werden die genauen Funktionen der Karte nicht beschrieben, sondern lediglich die Schnittstelle zwischen Karte und Terminal.
2010 präsentierten Forscher der University of Cambridge im Rahmen des „IEEE Symposium on Security and Privacy“ einen erfolgreichen Angriff auf ein EMV-basiertes System. Hierbei bauten die Forscher eine Karte, die in das Terminal eingeführt wird und die Schnittstelle zu einer echten Debitkarte oder Kreditkarte bildet. Der Angriff basiert darauf, dass die gefälschte Karte dem Terminal mitteilt, dass die Autorisierung über PIN erfolgreich gewesen sei und gleichzeitig die echte Karte die Nachricht erhält, dass die Zahlung über Unterschrift autorisiert wurde.
In Deutschland ist ein solcher Angriff laut der Deutschen Kreditwirtschaft nicht möglich, da die Karte dem Terminal vorgibt, wie die Autorisierung zu erfolgen hat. Im Szenario der Forscher würde die Karte eine Autorisierung per PIN anfordern und die Rückmeldung erhalten, dass die Autorisierung per Unterschrift erfolgte. Diesen Widerspruch sollte die Karte bei korrekter Implementierung erkennen und deshalb die Freigabe der Zahlung verweigern. Es ist aber grundsätzlich nicht auszuschließen, dass durch eine ungünstige Kombination von Protokollen für die girocard aus dem EMV-Katalog ähnliche Angriffe möglich sind, da das EMV-Verfahren laut einem der Forscher komplex und unübersichtlich ist.
Ein weiterer Schwachpunkt des Systems ist der Vergleich mit der Unterschrift zur Autorisierung einer Zahlung. Dieser wird am POS häufig nicht mit der notwendigen Sorgfalt durchgeführt, gerade dann wenn die Warteschlange bereits sehr lang ist. Auch können Kriminelle, die im Besitz der Karte sind, die Unterschrift üben bis diese der Referenz unterschrift gleicht. Allerdings können
Kriminelle sich nicht darauf verlassen, dass der Bezahlvorgang durch eine Unterschrift autorisiert werden muss. In den meisten Fällen, laut einer Erhebung der Deutschen Bundesbank in rund 75%, erfolgt die Autorisierung der Zahlung über die, zu der Karte gehörende PIN. Dies dürfte damit zu begründen sein, dass die Haftung im Falle eines Zahlungsausfalls des Kunden bei Einsatz der PIN auf die Bank des Kunden übergeht, während im Falle einer Unterschrift der Händler selbst haftet.

Ein weiteres mögliches Angriffsszenario ist die Manipulation von Geldautomaten und Zahlungsterminals am POS mit dem Ziel Kartendaten und PINs abzugreifen. In Deutschland ist die Zahl der Manipulationen von Geldautomaten seit Jahren rückläufig, da die Sicherheitsmaßnahmen der Banken gegen das sogenannte Skimming erfolgreich wirken. Dafür nimmt die Manipulation der Zahlungsterminals zwar langsam, aber stetig zu. Allerdings wurden 2013 nur in 24 Fällen Kartendaten erbeutet, die im Anschluss genutzt wurden. In den restlichen Fällen wurden die Manipulationen rechtzeitig erkannt, so dass letztlich kein Schaden entstand. In Summe lässt sich so-mit festhalten, dass das System Angriffspunkte bietet, die beispielsweise aus der hohen Komplexität der EMV-Spezifikation resultieren. Diese sind allerdings derzeit nicht öffentlich bekannt. Aktuelle Angriffspunkte sind die Geldautomaten und Zahlungsterminals am POS. Die Anzahl der bekannten Fälle ist allerdings stark rückläufig bzw. sehr gering. Für die Sicherheit des Systems werden aus diesen Gründen sieben von zehn Punkten vergeben.

Verbreitung

Die girocard ist ein deutsches System und wird in der Regel zu jedem Girokonto von der jeweiligen Bank ausgegeben, so dass rund 94% aller Deutschen im Besitz einer solchen Karte sind. Aufgrund ihrer Eigenschaften, die die Nutzung eines EMV-Chips vorsehen, ist sie nicht für den Interneteinsatz konzipiert. Hierfür werden andere Methoden wie beispielsweise Lastschrift oder Vorkasse, verwendet, um mit dem Guthaben auf dem eigenen Konto zu bezahlen. Für den Einsatz der girocard wäre der Einsatz von zusätzlicher Hardware notwendig, so dass bei der Entwicklung des Systems direkt auf diese Möglichkeit verzichtet wurde. Aus diesem Grund lässt sich die girocard, wie beschrieben nur am POS einsetzen, wo sie 2013 an 743.624 Zahlungsterminals akzeptiert wurde.
Auch im internationalen Zahlungsverkehr wird die girocard akzeptiert. Hierzu gehen die ausge-benden Banken Kooperationen mit den Anbietern Visa und MasterCard ein, die mit Maestro und V-Pay eigene Debitkartensysteme betreiben. Das entsprechende Logo ist auf der girocard aufge-druckt. V-Pay wird dabei von der Postbank, Targobank, BW Bank, LBB, einigen Sparkassen sowie einigen Volks- und Raiffeisenbanken verwendet, während die meisten anderen Banken auf Maestro setzen. Die beiden Systeme unterscheiden sich allerdings erheblich hinsichtlich ihrer internationalen Verwendungsmöglichkeiten. Während Maestro weltweit von über 15 Millionen Stellen akzeptiert wird, ist V-Pay nur innerhalb Europas und in einigen ausgewählten Ländern (Schweiz, Türkei, Andorra, Bosnien-Herzegowina, Gibraltar, Island, Israel, Kroatien, Liechtenstein, Monaco, Montenegro, Norwegen, San Marino, Serbien und Vatikanstadt) an über 7 Millionen Akzeptanzstellen nutzbar. Durch die auf den stationären Handel beschränkten Einsatzmöglichkeiten und die, zumindest bei den V-Pay Karten, stark eingeschränkte internationale Verwendungsmöglichkeiten werden in dieser Kategorie zwei von fünf möglichen Punkten vergeben.