Donnerstag, 25. April 2024

Archiv

Sicher elektronisch bezahlen
Unterschriftenerkennung auf der EC-Karte

Schnell unterschreiben und noch schneller raus aus dem Laden! Eine Kontrolle, ob der Benutzer einer EC-Karte auch tatsächlich ihr rechtmäßiger Besitzer ist, findet in vielen Geschäften nicht statt. Fraunhofer-Forscher aus Darmstadt halten das für eine gravierende Sicherheitslücke und schlagen jetzt ein Verfahren vor, das Abhilfe schaffen könnte.

Von Ralf Krauter | 11.09.2015
    "Derzeit ist die Unterschrift kein Sicherheitsmerkmal. Sie wird nicht kontrolliert, weder maschinell noch von den Personen. Das ist eine Alibi-Funktion. Und das finde ich bedenklich."
    Alexander Nouak leitet am Fraunhofer-Institut für Graphische Datenverarbeitung in Darmstadt die Abteilung für Identifikation und Biometrie. Mit den Sicherheitslücken elektronischer Bezahlsysteme kennt er sich besser aus als viele andere. Deshalb hat es schon Gewicht, wenn der Informatiker sagt, alle EC- und Kreditkarten, bei denen eine Unterschrift genügt, um Zahlungen anzuweisen, machen es Dieben zu leicht. Und zwar, weil Kassierer die Unterschrift in der Praxis nur selten genau prüfen.
    "Manche gucken mal drauf. Aber dann kommt auch noch eine soziale Barriere. Ich müsste ja dann meinem Kunden unterstellen, er würde da eine Unterschrift fälschen. Diese Hürde ist glaube ich auch noch sehr groß. Und wenn man das abtreten könnte an ein System, also sagen könnte: 'Das System akzeptiert ihre Unterschrift leider nicht, tut mir sehr leid, wir müssen was anderes finden', dann ist es für alle Beteiligten leichter."
    Idee: Unterschrift auf vorhandenem Chip speichern
    Bei den Überlegungen, wie so ein System aussehen könnte, kam den Darmstädter Forschern folgende Idee: Auf EC- und Kreditkarten befindet sich ja bereits ein Chip. Was, wenn man den nutzen würde, um die Unterschrift des rechtmäßigen Kartenbesitzers zu speichern? Dann hätte man bei jedem Bezahlvorgang eine Vorlage zur Hand, mit der sich die gegebene Signatur vergleichen lässt.
    "Dieser Chip ist ja ein Prozessor, das heißt, der kann auch etwas errechnen. Das heißt, der ganze Vergleichsprozess könnte auf der Karte stattfinden. Ich schicke nur noch biometrische Daten in die Karte, der Vergleich findet da statt und das Ding schickt ein okay oder nicht okay zurück. Und das haben wir uns zunutze gemacht und ein Unterschriftserkennungssystem gebaut und in der Karte abgespeichert. Wir haben dann auch so einen Software-Demonstrator gemacht, den ich Ihnen hier gern präsentiere."
    Der Demonstrator besteht aus einem handelsüblichen Kartenlesegerät, das mit einem elektronischen Unterschrifts-Pad verbunden ist, wie es Paketboten verwenden, um sich den Empfang einer Sendung quittieren zu lassen. Alexander Nouak steckt eine EC-Karte in das Lesegerät.
    "Wir wollen einen beliebigen Betrag zahlen, geben jetzt mal an 45 Euro. Wir werden aufgefordert, die Karte einzustecken. Soweit so gut, das kennen wir. Haben wir gemacht und dann werden wir aufgefordert, doch zu unterschreiben ... was ich hier tue ... Und diese Unterschrift wird jetzt also hier genommen. Es wird aber nicht nur das Schriftbild untersucht, sondern auch die Dynamik, die dahinter steckt. Das heißt, zu welchem Zeitpunkt wird welcher Strich absolviert? Und diese Dynamik zu fälschen, das ist natürlich beliebig schwierig."
    Wenige Sekunden, nachdem Alexander Nouak auf dem Signatur-Pad unterschrieben hat, bestätigt das Kartenlesegerät die Freigabe der Zahlung. Der Chip auf der EC-Karte hat seine Signatur als authentisch klassifiziert.
    "Die Unterschrift, die also hier erfasst wurde, wird an die Karte geschickt. Die Karte errechnet beziehungsweise vergleicht, mit dem, was gespeichert wurde. Und die Karte sendet in diesem Fall eben zurück: Zahlung erfolgt. Das heißt, die Unterschrift wurde akzeptiert und der ganze Prozess ist abgeschlossen."
    Da der Unterschriftenvergleich direkt in der Chipkarte erfolgt, dauert das ganze Prozedere kaum länger als heute üblich. Voraussetzung ist allerdings, dass die Signatur des Kunden zuvor als biometrisches Merkmal auf der Karte gespeichert wurde.
    "Das ist ein Punkt, der heikel ist. Man könnte Ihnen die Karte nicht wie bisher einfach zuschicken und PIN schicken wir zwei Tage hinterher. Sondern man müsste dazu schon in die Filiale gehen. Idealerweise unterschreibt man da fünf Mal. Noch besser wäre es, man würde ein, zweimal unterschreiben, dann einmal um den Block gehen, dann wieder kommen und nochmal unterschreiben, damit ein paar Unterschiede auch erfasst werden könnten, die mit eingerechnet werden - weil die Unterschrift eben auch nicht immer gleich ist – damit man diese Unwägbarkeiten ausgleichen kann."
    Ob viele Bankkunden bereit wären, für mehr Diebstahl-Sicherheit einen extra Gang in die Filiale auf sich zu nehmen, weiß derzeit keiner so genau. Das Problem: Für die Banken selbst sind die finanziellen Verluste durch Kartenklau nur Peanuts. Ihr Interesse, die neue Technik zu erproben, hält sich deshalb bisher in Grenzen.