EMV-Chip
Was bedeutet EMV?
EMV (Europay International, heute MasterCard Europe, Mastercard und Visa) ist ein internationaler technischer Standard für die Kommunikation zwischen Chipkarte und Terminal. Der Chip auf der Karte ermöglicht es, die im Chip gespeicherten Daten gegen Verfälschung und auch gegen Kopieren zu schützen. Der Chip auf der Karte ist ein Minicomputer mit Betriebssystem und auf dem Software ausgeführt wird.
Ab 01.01.11 sind die 93 Millionen Europäischen EC-Karten (Girocard) mit einem Sicherheitschip, dem EMV-Chip, versehen.
Ab Juli 2011 werden alle EC-Zahlungen im Handel nur noch über den Chip mit Eingabe der persönlichen Geheimzahl abgewickelt.
Von 2012 an sollen dann auch alle Abhebungen am Geldautomaten nur noch mit Chip und Pin erfolgen. Anschließend werden die Kontoauszugsdrucker umgestellt.
Die EMV-Geldautomaten ignorieren meist den Magnetstreifen, so dass Karten ohne Chip nicht mehr benutzt werden können. Aber: Die Automaten können jedoch so eingestellt werden, dass sie, wenn ein Chip nicht lesbar ist. doch wieder den Magnetstreifen heranziehen.
Innerhalb der Europäischen Union wäre der Magnetstreifen dann überflüssig.
Aber: Problem Kontoauszugsdrucker
Zehntausende Kontoauszugdrucker in Deutschland greifen ausschließlich auf die Daten des Magnetstreifens zu. Die Drucker umzurüsten würde teuer werden. Außerdem nutzt der Einzelhandel den Magnetstreifen zur Zeit noch, um die per Unterschrift an der Kasse bestätigte Lastschrift zu ermöglichen. Allerdings möchte die EU-Kommission das Bezahlen mit EC-Karte und Unterschrift abschaffen.
Karten ohne Magnetstreifen
Das Bundskriminalamt fordert magnetsreifenlose Karten.
Einige Banken bieten aus Sicherheitsgründen Karten nur mit dem Chip ohne Magnetstreifen an.
Die Postbank und einige Volks- und Raiffeisenbanken sind dabei, ihre Karten auf V-Pay Verfahren von Visa umstellen: VPay ist ein Chipbasiertes Zahlungssystem. Transaktionen werden nur noch über Chip und PIN abgewickelt. Die Karten haben aber dennoch noch einen Magnetstreifen, etrwa für die Lastschrift an der Kasse. V-Pay Karten können nur in Europa eingesetzt werden, zur Zeit aber noch nicht an allen europäischen Zahlungsterminals.
Magnetstreifen auf der Karte überkleben? Zum Bericht.
Auszahlungsprobleme im außereuropäischem Ausland
Sprechen Sie vor Fernernreisen mit Ihrer Bank
Für Reisen ins außereuropäische Ausland kann man sich dann eine Zweitkarte mit Magnetstreifen ausstellen lassen.
Bei einigen Volks- und Raiffeisenbanken kann der Kunde über die Sperrung oder Freischaltung seiner ec-Karte im Ausland selbst entscheiden. Er kann am Geldautomat und SB-Terminal die Karte der Heimatbank für das Ausland sperren oder wieder freigeben. Im Display wird dem Kunden angezeigt, ob seine Karte derzeit für den Gebrauch im Ausland aktiviert oder deaktiviert ist.
Die Deutsche Bank z.B.hat ein Auslandslimit für Staaten, in denen ausschließlich auf den Magnetstreifen zugeriffen wird, (Amerika und Afrika) eingeführt.
Kunden der ostdeutschen Sparkassen können mit ihren EC-Karten mit Maestro-Logo noch ungehindert im Ausland Geld abheben. Ab 2012 soll der Magnetstreifen auf der Karte deaktiviert werden. Auf Wunsch kann er aber wieder freigeschaltet werden.
Visa und Mastercard wollen ab 2013 in den USA Kreditkarten mit EMV-Chip versehen.
Im Ausland ohne Geld, was tun?
Telefonisch kann die Bank Ihre Identität nicht prüfen. Man kann im voraus mit der Bank ein Passwort für solche Fälle vereinbaren, das man im Ausland am Telefon durchgeben kann.
Erhöhte Sicherheit
Den Magnetstreifen der Karten kann man kopieren, ein EMV-Chip (Europay, Mastercard und Visa) zerstört sich selbst, wenn jemand versucht, an die Daten auf diesem Chip zu kommen.
Mit nachgemachten Karten kann kein Geld mehr an Geldautomaten abgehoben werden, weil die Automaten die Echtheit des Chips vor der Auszahlung prüfen.
Absolute Sicherheit bringt der EMV-Chip aber auch nicht, wenn denn der leicht auslesbare Magnetstreifen auf der Karte bleibt. Sinnvoll wäre eine europäische Karte nur mit dem EMV-Chip und eine zweite Karte mit Magnetstreifen für außereuropäische Abhebungen.
PIN-Skimming bei Chipkarten möglich
Vier Sicherheitsforscher haben auf der im März 2011 stattgefundenen CanSecWest-Sicherheitskonferenz die Praktikabliität von Skimming bei Chipkarten demonstriert. Die beim EMV-Verfahren mit Chip ausgestatteten EC- und Kreditkarten sollen das Skimming, also das Abfangen von Kartendaten und PIN erschweren.
Die vier Forscher beschreiben in ihrer Präsentation "Credit Card skimming and PIN harvesting in an EMV world" jedoch, wie sich die Kommunikation zwischen Terminal und Chip durch eine flache Platine im Kartenschlitz belauschen und manipulieren lässt, um an eine PIN zu gelangen. Ein Platine ist erheblich unauffälliger als ein wackelig aufgeklebter Aufsatz.
Das eigentliche Problem bei EMV ist, dass durch die scheinbare Sicherheit des VeSie können die Karte für Auszahlungen im Ausland sperren lassen oder den Verfügungsrahmen für Auslandsabhebungen an Geldautomaten reduzieren lassen.rfahrens die Beweislast auf den Kunden abgewälzt wird. Es wird ihm unterstellt, dass er fahrlässig mit seiner PIN umgegangen ist. Betroffen sein sollen alle EMV-Installationen, also auch die in Deutschland. Das Problem liegt in der Protokollspezifikation. Dadurch lässt sich diese Lücke auch nicht leicht schließen
Weitere Informationen finden Sie bei www.heise.de
Quelle: www.heise.de v. 16.03.11
EMV-Verfahren kann ausgehebelt werden, Bezahlen mit falscher PIN möglich
Wissenschaftler der University of Cambridge haben einen Weg beschrieben, mit der sich das EMV-Verfahren bei EC- und Kreditkarten aushebeln lässt, sodass Karten scheinbar beliebige PINs akzeptieren.
Dem Bericht der Wissenschaftler zufolge ist es möglich, durch eine Man-in-the-Middle-Attacke dem Terminal vorzugaukeln, die Karte hätte eine eingebene PIN akzeptiert, während man der Karte vortäuscht, das Terminal hätte auf die Legitimation mit Unterschrift zurückgeschaltet. Im Folgenden wird der Bezahlvorgang dann aber normal autorisiert und das Terminal druckt einen Beleg aus, auf dem "Verified with PIN" steht.
Um diese Methode anzuwenden brauchen die Forscher lediglich einen Kartenadapter, der zwischen Terminal und Karte geschaltet wird und an einen PC angeschlossen ist. Die Kommunikation zwischen Karte und Terminal bleibt dabei vollkommen unverändert. Erst wenn das Terminal nach einer PIN-Verifikation fragt, schaltet sich der Computer ein und bestätigt den Vorgang. Hierbei spielt es keine Rolle, welche PIN eingegeben wird, denn die Karte wird die PIN nie erhalten.
Der Angriff funktioniert laut Bericht sowohl im Online- als auch im Offline-Verfahren. Die BBC hat auf ihren Seiten einen Film zu einer Demonstration eines praktischen Angriffs in der Cambridge-Mensa veröffentlicht. Sobald aber eine Karte gesperrt ist, soll der Angriff nicht mehr funktionieren.
Das ARD-Magazin "Report München" hat in einem Video-Beitrag berichtet: Forscher der Universität Cambridge haben für Report MÜNCHEN getestet - mit alarmierenden Ergebnissen.
Vom Bankautomaten lässt sich über den Trick jedoch kein Geld abheben, dort prüft nämlich nicht die Karte die PIN, sondern der Server der Bank.
Die Wissenschaftler sind sich sicher, dass es weitere Lücken gebe - und mindestens eine, die auch betrügerische Abhebungen an Bankautomaten erklärte. Mit dieser Aussage eines international renommierten Experten dürfte es Banken in Zukunft schwerer fallen, Gerichten glaubhaft zu machen, Missbräuche von EC-Karten seien allein auf die Sorglosigkeit von Kunden zurückzuführen.
Weitere Informationen erhalten Sie bei www.heise.de
Quelle: www.heise.de v. 12.02.10
Der Zentrale Kreditaussschuss hat mitgeteilt: Der von Forschern der Universität Cambridge vorgestellte Manipulationsversuch mit EMV-Chip-Karten ist bei deutschen girocards (früher ec-Karte) nicht anwendbar. Die deutschen ec-Karten des girocard-Systems sind so konstruiert, dass die dargestellten Manipulationen effektiv verhindert werden. Das gilt ebenfalls für Kreditkarten mit dem vom ZKA freigegebenen Chipkarten-Betriebssystem SECCOS.
Die im Zentralen Kreditausschuss (ZKA) zusammenarbeitenden Spitzenverbände der deutschen Kreditwirtschaft bestätigten daher den uneingeschränkt hohen Schutz des Chip- und PIN-Systems auf deutschen girocards und Kreditkarten. Das gelte speziell auch vor dem Hintergrund der jüngsten Untersuchung eines Forscherteams der Universität Cambridge.
Bei der Untersuchung des Angriffsszenarios stellte der ZKA fest, dass dieser mit girocard-Karten an Geldautomaten und an POS-Terminals des girocard-Systems in Deutschland nicht möglich ist. Die in Deutschland verwendeten EMV-Spezifikationen bieten bereits Mechanismen zur Abwehr des beschriebenen Angriffs. Diese Mechanismen wurden im girocard-System bereits von vornherein implementiert. Das Vorspiegeln einer erfolgreichen PIN-Prüfung ist somit nicht möglich.
Quelle: Pressemitteilung Zentraler Kreditaussschuss v. 15.02.10
Passende Hardware für den EMV-Chip
Die Single Euro Payments Area (SEPA) verlangt bis Ende 2010 ein Terminal, das in ganz Europa den internationalen EMV (Europay-MasterCard-Visa) Standard unterstützt
Haben die Bank oder die Händler es verpasst, die Karten mit einem Chip auszustatten oder neue Geldautomaten zu installieren, die nicht auf den EMV-Chip, sondern auf den Magnetstreifen zugreifen, dann haften die Bank bzw. der Händler möglicherweise für den entstehenden Schaden.
Für den Betrieb von EMV-Geldautomaten ist unter anderem eine gesonderte Zulassung der Geräte durch den Zentralen Kredit-Ausschuss (ZKA) erforderlich. Zusätzlich prüfen MasterCard und VISA den vollständigen Transaktionsvorgang vom Endgerät bis zum Kreditkartenunternehmen.