EMV-Chip – Alles was man dazu wissen muss

Was bedeutet EMV?

EMV (Europay International, heute MasterCard Europe, Mastercard und Visa) ist ein internationaler technischer Standard für die Kommunikation zwischen Chipkarte und Terminal. Der Chip auf der Karte ermöglicht es, die im Chip gespeicherten Daten gegen Verfälschung und auch gegen Kopieren zu schützen. Der Chip auf der Karte ist ein Minicomputer mit Betriebssystem und auf dem Software ausgeführt wird.

EMV-Chip
EMV-Chip

Inzwischen sind gut 100 Millionen Girocards mit EMV-Chip ausgestattet.

Ab 2012 sind alle etwa 60.000 Geldautomaten in Deutschland auf die neue Technik umgestellt, ebenso alle 750.000 Terminals. Ab 25. Februar 2013 wird die deutsche Kreditwirtschaft sämtliche Bezahltransaktionen mit Girocard (früher EC-Karte) und PIN (so genanntes Electronic Cash-Verfahren) und alle Bargeldabhebungen mit der Girocard im deutschen Geldautomatensystem nur noch über den Kartenchip bearbeiten. Ab dann wird es nicht mehr möglich sein, dass etwa bei Chip-Lesefehlern doch noch auf die Autorisierung der Kartenzahlung über den Magnetstreifen zurückgegriffen werden kann. Bei Bezahlen an der Kasse nur mit Unterschrift wird der Magnetstreifen jedoch benötigt.

Die neuen EC-Karten verzichten auf das MM-Merkmal (moduliertes Merkmal) als Sicherheitskennzeichen. Deutsche Geldautomaten erkannten anhand dieses Merkmals die Echtheit der Karte. Inzwischen lesen alle Geldautomaten in Deutschland nur noch den Kartenchip aus, die Prüfung des MM-Merkmals ist hinfällig.

Die EMV-Geldautomaten ignorieren meist den Magnetstreifen, so dass Karten ohne Chip nicht mehr benutzt werden können. Aber: Die Automaten können jedoch so eingestellt werden, dass sie, wenn ein Chip nicht lesbar ist. doch wieder den Magnetstreifen heranziehen. Ab dem 25.02.13 soll dies allerdings nicht mehr möglich sein.

Innerhalb der Europäischen Union wäre der Magnetstreifen dann überflüssig.

Aber: Problem Kontoauszugsdrucker

Zehntausende Kontoauszugdrucker in Deutschland greifen ausschließlich auf die Daten des Magnetstreifens zu. Die Drucker umzurüsten würde teuer werden. Außerdem nutzt der Einzelhandel den Magnetstreifen zur Zeit noch, um die per Unterschrift an der Kasse bestätigte Lastschrift zu ermöglichen. Allerdings möchte die EU-Kommission das Bezahlen mit EC-Karte und Unterschrift abschaffen.

Karten ohne Magnetstreifen

Das Bundskriminalamt fordert magnetsreifenlose Karten.

Einige Banken bieten aus Sicherheitsgründen Karten nur mit dem Chip ohne Magnetstreifen an.

VPay-LogoDie Postbank und einige Volks- und Raiffeisenbanken haben ihre Karten auf V-Pay Verfahren von Visa umstellen: VPay ist ein Chipbasiertes Zahlungssystem. Transaktionen werden nur noch über Chip und PIN abgewickelt. Die Karten haben aber dennoch noch einen Magnetstreifen, etrwa für die Lastschrift an der Kasse. V-Pay Karten können nur in Europa eingesetzt werden. Bis Ende 2012 sind bereits 18 Millionen V PAY Karten an Verbraucher in Deutschland ausgegeben worden.

Magnetstreifen auf der Karte überkleben? Zum Bericht.

Auszahlungsprobleme im außereuropäischem Ausland

Sprechen Sie vor Fernreisen mit Ihrer Bank

Für Reisen ins außereuropäische Ausland kann man sich dann eine Zweitkarte mit Magnetstreifen ausstellen lassen.

Bei einigen Volks- und Raiffeisenbanken kann der Kunde über die Sperrung oder Freischaltung seiner ec-Karte im Ausland selbst entscheiden. Er kann am Geldautomat und SB-Terminal die Karte der Heimatbank für das Ausland sperren oder wieder freigeben. Im Display wird dem Kunden angezeigt, ob seine Karte derzeit für den Gebrauch im Ausland aktiviert oder deaktiviert ist.

Kreditkarten-Betrug trotz Chip+PI

Die Deutsche Bank z.B.hat ein Auslandslimit für Staaten, in denen ausschließlich auf den Magnetstreifen zugegriffen wird, (Amerika und Afrika) eingeführt.

Kunden der ostdeutschen Sparkassen können mit ihren EC-Karten mit Maestro-Logo noch ungehindert im Ausland Geld abheben. Ab 2012 soll der Magnetstreifen auf der Karte deaktiviert werden. Auf Wunsch kann er aber wieder freigeschaltet werden.

Visa und Mastercard wollen bis 2015 in den USA Kreditkarten mit EMV-Chip versehen.

Im Ausland ohne Geld, was tun?
Telefonisch kann die Bank Ihre Identität nicht prüfen. Man kann im voraus mit der Bank ein Passwort für solche Fälle vereinbaren, das man im Ausland am Telefon durchgeben kann.

Erhöhte Sicherheit

Den Magnetstreifen der Karten kann man kopieren, ein EMV-Chip (Europay, Mastercard und Visa) zerstört sich selbst, wenn jemand versucht, an die Daten auf diesem Chip zu kommen.

Mit nachgemachten Karten kann kein Geld mehr an Geldautomaten abgehoben werden, weil die Automaten die Echtheit des Chips vor der Auszahlung prüfen.

Absolute Sicherheit bringt der EMV-Chip aber auch nicht, wenn denn der leicht auslesbare Magnetstreifen auf der Karte bleibt. Sinnvoll wäre eine europäische Karte nur mit dem EMV-Chip und eine zweite Karte mit Magnetstreifen für außereuropäische Abhebungen.

PIN-Skimming bei Chipkarten möglich

Vier Sicherheitsforscher haben auf der im März 2011 stattgefundenen CanSecWest-Sicherheitskonferenz die Praktikabliität von Skimming bei Chipkarten demonstriert. Die beim EMV-Verfahren mit Chip ausgestatteten EC- und Kreditkarten sollen das Skimming, also das Abfangen von Kartendaten und PIN erschweren.

Die vier Forscher beschreiben in ihrer Präsentation „Credit Card skimming and PIN harvesting in an EMV world“ jedoch, wie sich die Kommunikation zwischen Terminal und Chip durch eine flache Platine im Kartenschlitz belauschen und manipulieren lässt, um an eine PIN zu gelangen. Ein Platine ist erheblich unauffälliger als ein wackelig aufgeklebter Aufsatz.

Das eigentliche Problem bei EMV ist, dass durch die scheinbare Sicherheit wird die die Beweislast auf den Kunden abgewälzt. Es wird ihm unterstellt, dass er fahrlässig mit seiner PIN umgegangen ist. Betroffen sein sollen alle EMV-Installationen, also auch die in Deutschland. Das Problem liegt in der Protokollspezifikation. Dadurch lässt sich diese Lücke auch nicht leicht schließen

Weitere Informationen finden Sie bei www.heise.de

Quelle: www.heise.de v. 16.03.11

EMV-Verfahren kann ausgehebelt werden, Bezahlen mit falscher PIN möglich

Die Zeitschrift c’t Heft 3/16 enthüllt, dass Betrügerbanden bereits mit geklonten Kreditkarten auf Raubzug gehen – auch hier in Europa beziehungsweise Deutschland. Sie nutzen dazu gestohlene Kreditkarten-Datensätze; die PIN können sie frei wählen. Die Software (MacGyver) zum Fälschen von EMV-Karten wird seit etwa einem Jahr für über 20.000 Euro im Untergrund gehandelt. Weitere Einzelheiten lesen Sie bei www.heise.de

Quelle: www.heise.de v. 22.01.16

Britische Wissenschaftler der Universität Cambridge haben beschrieben, wie Karten mit EMV-Chip geklont werden können.

Chip and Skim: cloning EMV cards with the pre-play attack

Quelle: PressemitteMacGyverilung Zentraler Kreditausschuss v. 15.02.10

Wissenschaftler der University of Cambridge haben einen Weg beschrieben, mit der sich das EMV-Verfahren bei EC- und Kreditkarten aushebeln lässt, sodass Karten scheinbar beliebige PINs akzeptieren.

Dem Bericht der Wissenschaftler zufolge ist es möglich, durch eine Man-in-the-Middle-Attacke dem Terminal vorzugaukeln, die Karte hätte eine eingebene PIN akzeptiert, während man der Karte vortäuscht, das Terminal hätte auf die Legitimation mit Unterschrift zurückgeschaltet. Im Folgenden wird der Bezahlvorgang dann aber normal autorisiert und das Terminal druckt einen Beleg aus, auf dem „Verified with PIN“ steht.

Um diese Methode anzuwenden brauchen die Forscher lediglich einen Kartenadapter, der zwischen Terminal und Karte geschaltet wird und an einen PC angeschlossen ist. Die Kommunikation zwischen Karte und Terminal bleibt dabei vollkommen unverändert. Erst wenn das Terminal nach einer PIN-Verifikation fragt, schaltet sich der Computer ein und bestätigt den Vorgang. Hierbei spielt es keine Rolle, welche PIN eingegeben wird, denn die Karte wird die PIN nie erhalten.

Der Angriff funktioniert laut Bericht sowohl im Online- als auch im Offline-Verfahren. Die BBC hat auf ihren Seiten einen Film zu einer Demonstration eines praktischen Angriffs in der Cambridge-Mensa veröffentlicht. Sobald aber eine Karte gesperrt ist, soll der Angriff nicht mehr funktionieren.

Das ARD-Magazin „Report München“ hat in einem Video-Beitrag berichtet: Forscher der Universität Cambridge haben für Report MÜNCHEN getestet – mit alarmierenden Ergebnissen.

Vom Bankautomaten lässt sich über den Trick jedoch kein Geld abheben, dort prüft nämlich nicht die Karte die PIN, sondern der Server der Bank.

Die Wissenschaftler sind sich sicher, dass es weitere Lücken gebe – und mindestens eine, die auch betrügerische Abhebungen an Bankautomaten erklärte. Mit dieser Aussage eines international renommierten Experten dürfte es Banken in Zukunft schwerer fallen, Gerichten glaubhaft zu machen, Missbräuche von EC-Karten seien allein auf die Sorglosigkeit von Kunden zurückzuführen.

Weitere Informationen erhalten Sie bei www.heise.de

Quelle: www.heise.de v. 12.02.10

Der Zentrale Kreditaussschuss hat mitgeteilt: Der von Forschern der Universität Cambridge vorgestellte Manipulationsversuch mit EMV-Chip-Karten ist bei deutschen girocards (früher ec-Karte) nicht anwendbar. Die deutschen ec-Karten des girocard-Systems sind so konstruiert, dass die dargestellten Manipulationen effektiv verhindert werden. Das gilt ebenfalls für Kreditkarten mit dem vom ZKA freigegebenen Chipkarten-Betriebssystem SECCOS.

Die im Zentralen Kreditausschuss (ZKA) zusammenarbeitenden Spitzenverbände der deutschen Kreditwirtschaft bestätigten daher den uneingeschränkt hohen Schutz des Chip- und PIN-Systems auf deutschen girocards und Kreditkarten. Das gelte speziell auch vor dem Hintergrund der jüngsten Untersuchung eines Forscherteams der Universität Cambridge.

Bei der Untersuchung des Angriffsszenarios stellte der ZKA fest, dass dieser mit girocard-Karten an Geldautomaten und an POS-Terminals des girocard-Systems in Deutschland nicht möglich ist. Die in Deutschland verwendeten EMV-Spezifikationen bieten bereits Mechanismen zur Abwehr des beschriebenen Angriffs. Diese Mechanismen wurden im girocard-System bereits von vornherein implementiert. Das Vorspiegeln einer erfolgreichen PIN-Prüfung ist somit nicht möglich.

Quelle: Pressemitteilung Zentraler Kreditausschuss v. 15.02.10

Passende Hardware für den EMV-Chip

Die Single Euro Payments Area (SEPA) verlangt bis Ende 2010 ein Terminal, das in ganz Europa den internationalen EMV (Europay-MasterCard-Visa) Standard unterstützt

Haben die Bank oder die Händler es verpasst, die Karten mit einem Chip auszustatten oder neue Geldautomaten zu installieren, die nicht auf den EMV-Chip, sondern auf den Magnetstreifen zugreifen, dann haften die Bank bzw. der Händler möglicherweise für den entstehenden Schaden.

Für den Betrieb von EMV-Geldautomaten ist unter anderem eine gesonderte Zulassung der Geräte durch den Zentralen Kredit-Ausschuss (ZKA) erforderlich. Zusätzlich prüfen MasterCard und VISA den vollständigen Transaktionsvorgang vom Endgerät bis zum Kreditkartenunternehmen.

Schreibe einen Kommentar