Die Sicherheit von ec-Karten wurde in der jüngsten Vergangenheit immer wieder in Frage gestellt. Grund genug, damit sich Forscher der Universität Cambridge damit beschäftigten.

Diese führten einen Manipulationsversuch mit so genannten EMV-Chip-Karten durch, welcher laut ZKA (Zentraler Kreditausschuss) bei deutschen Karten nicht funktionierte. Das Ergebnis stellt gleichzeitig ein Lob an die Sicherheitsstandards der deutschen Kreditkartenhersteller dar. Neben dem EMV-System wurde das gleiche Ergebnis auch für das SECCOS Chipkartensystem erzielt.

“Man-in-the-Middle-Attacke”
Britische Forscher testeten ein Verfahren an den Karten, bei dem das EMV-System außer Kraft gesetzt werden kann und die Karte beliebige PINs akzeptieren würde. Es handelt sich dabei um eine Man-in-the-Middle-Attacke, welches dem Terminal der Bank signalisiert, dass der Karte der richtige PIN zugeteilt wurde, gleichzeitig wird der Karte vorgetäuscht, dass durch das Terminal eine Legitimation per Unterschrift gefordert wurde.

Die Sicherheitsstandards der deutschen EMV-Spezifikationen sind jedoch so aufgebaut, dass eine erfolgreiche PIN-Überprüfung nicht simuliert werden kann. Die Banken hatten den Wissenschaftlern bereits vor ihren Tests mitgeteilt, dass durch eine Spezifikation ein erfolgreicher Angriff verhindert werden kann, was die Ergebnisse der Forscher belegten.

In der Praxis gibt es in der EMV-Spezifikation unterschiedliche Optionen, wie eine Manipulation per Man-in-the-Middle-Attacke nachgewiesen werden kann. Dabei werden Datenelemente zwischen der Karte und dem Terminal ausgewertet, wie zum Beispiel die Cardholder Verification Method Results (CVMR), oder die Cardholder Verification Results (CVR) und die und der Terminal Verification Results (TVR).

Neue Ansatzmöglichkeiten, um gezielter gegen diese Manipulationsversuche vorgehen zu können, stellt unter anderem die Implementierung eines eigenen CRV-Elements innerhalb der Karte dar. Dieses kann dann Unterschiede in den Datenelementen feststellen und somit den Abhebevorgang abbrechen.

Fazit: Deutsche ec-Karten sind sicher
Die Nutzer der Girokonten und ec-Karten bzw. Girocards können also entspannt sein und sicher gehen, dass das Geld auf ihren Konten und Karten nach wie vor sicher angelegt ist. Hinzu kommt, dass weiterhin daran geforscht wird, denn Sicherheitsstandard so hoch wie möglich zu halten, indem viele Versuche gefahren werden, bei denen genau untersucht wird, wie Girocards bzw. ec-Karten manipuliert werden können und was dagegen durch neue technische Standards unternommen werden kann.

Der Test hat jedoch gezeigt, dass die Standards bei deutschen Karten sehr hoch sind und die Kunden weiterhin beruhigt auf diese Standards setzen können.

Quelle: heise.de