Pressemitteilung
Chaos Computer Club e.V.
24.11.97
EC-Karten bleiben unsicher, neue PIN-Codes sind Augenwischerei - Problem der Beweislast bleibt
Am Wochenende demonstrierte ein Mitglied des Chaos Computer Club einem Fernsehsender einen der zahlreichen Sicherheitsmängel des EC-Kartensystems.
Mit einem handelsüblichen, etwa 100 DM teuren Magnetkartenlesegerät lassen sich die Daten des Magnetstreifens einer EC-Karte für eine mathematische Verwendung auslesen. Mit einem statistischen Analyseprogram läßt sich eine Liste von wenigen hundert PINs erstellen, die eine hohe Trefferwahrscheinlichkeit aufweisen. Um die richtige PIN zu erhalten, muß diese Liste durchprobiert werden, wozu ein Magnetkarten Schreib/Lesegerät zur Rücksetzung des Fehlbedienungszählers auf der Karte notwendig ist.
Entgegen den Behauptungen des ZKA ist ein solches Vorgehen durchaus möglich, da bei Offline-Automaten und im Ausland keine zentrale Speicherung der Fehlversuche erfolgen kann. Gegenüber der theoretischen Wahrscheinlichkeit von eins zu neuntausend, die sich aus einer vierstelligen PIN ohne Null als erste Ziffer ergibt, stellt dies eine deutliche Verschlechterung der Sicherheit dar. Die Möglichkeit der statistischen Analyse der PIN-Verteilung ist auch den Banken spätestens seit 1989 bekannt.
Hintergrund der Demonstration ist die Forderung des Chaos Computer Club, die Verantwortung für Unsicherheiten des EC-Kartensystems auf die Banken zu übertragen. Bisher trägt der Kunde das volle Risiko, wenn mit seiner gestohlenen EC-Karte Geld abgehoben wird. In der Regel beschuldigt die Bank dann den Kunden der Fahrlässigkeit im Umgang mit der PIN oder des Betrugsversuches. Entgegen allen Rechtsgrundsätzen liegt die Beweislast hier beim Kunden, der seine Unschuld beweisen muß. Der Grundsatz, daß jeder bis zum Beweis des Gegenteils als unschuldig zu gelten hat, ist hier außer Kraft gesetzt.
Angesichts der verbleibenden Sicherheitsprobleme des EC-Kartensystems erscheint die derzeitige Ausgabe neuer PINs und die Abschaffung des Poolschlüssels durch die Banken als eine eher kosmetische Maßnahme ohne tiefgreifende Entlastung für den Kunden. Auch Karten mit einer neuen PIN sind von der Möglichkeit der statistischen Analyse betroffen. Ohne eine Umkehrung der Beweislast ist hier kein Fortschritt zu erreichen.
Die Unsicherheit der EC-Karten wird neben anderen Themen auch auf dem 14. Chaos Communication Congress vom 27. bis 29. Dezember 1997 im Eidelstädter Bürgerhaus in Hamburg diskutiert. Weitere Informationen finden sich auch im Internet unter http://www.ccc.de.
Chaos Realitäts Dienst
http://www.ccc.de/CRD/CRD241197.html
Zurück zum
Chaos Realitäts Dienst