Manfred Kloiber: Eine winzig kleine Elektronik, fix und fertig auf dem Schwarzmarkt erhältlich, erledigt die Datenspionage, unauffällig in das Lesegerät eingebaut. Die Betrüger spielen dann die Daten auf Kartenrohlinge und bedienen sich am Geldautomaten. Das berichtete diese Woche das ARD-Wirtschaftsmagazin Plusminus. Insider allerdings wundern sich gar nicht über dieses Sicherheitsloch. Professor Andreas Pfitzmann, Datensicherheitsexperte von der Technischen Universität Dresden, war so eine Masche absehbar?
Andreas Pfitzmann: Die genauen Details einer solchen Masche kann man natürlich nicht vorhersehen. Was absehbar war, ist, dass es eine sehr schlechte Idee ist, ein System so zu bauen, dass Kunden gezwungen sind, ein Geheimnis wie ihre PIN einzugeben in ein fremdes Gerät. Und ein Bankautomat, egal wo er steht, ist erst einmal ein fremdes Gerät.
Kloiber: Hiervon betroffen sind ja auch nicht nur Bankautomaten, sondern auch Abbuchungsgeräte, die es an Tankstellen und Supermärkten gibt.
Pfitzmann: Ja, das betrifft nicht nur Bankautomaten, das betrifft jedes PIN-Pad, was irgendwo Ihnen entgegengehalten wird. Ich kann heute an der Stelle nur das sagen, was ich auch schon vor 20 Jahren gesagt habe, ich würde mich an einem solchen Verfahren nicht beteiligen und ich persönlich habe es auch bisher abgelehnt, von meiner Bank eine PIN zugeordnet zu bekommen.
Kloiber: Worin genau besteht jetzt die Sicherheitslücke bei diesem Verfahren?
Pfitzmann: Die Sicherheitslücke besteht darin, dass wenn jemand meine Kartendaten hat plus die PIN, dass er dann auftreten kann wie ich. Man kann jetzt versuchen, das Kopieren, das Nachmachen von Karten schwieriger zu machen. Das ist bei Magnetstreifenkarten ein ziemlich hoffnungsloses Unterfangen. Das ist bei Chipkarten zwar auch nicht perfekt möglich, sie nicht kopierbar zu machen, aber halbwegs gut möglich. Aber dann bleibt immer noch das Problem, es gibt ja auch Attrappen, die werden vor Bankautomaten gebaut, man steckt seine Karte rein, man wird aufgefordert, die PIN einzugeben. Man kriegt eine Meldung "Ihre PIN stimmt nicht, bitte geben Sie ihre PIN noch mal ein" und man gibt die PIN noch mal ein. Das wiederholt sich, bis zum Schluss eine Meldung kommt, dass die Karte wegen fehlerhafter Eingabe einbehalten werde. So etwas wird typischerweise am Samstag aufgestellt. Diejenigen, die das aufgestellt haben, leeren das dann typischerweise am Samstagabend, haben dann originale Karten, haben natürlich die angeblich falschen PIN - aber das waren natürlich die richtigen PIN - und haben dann den ganzen Sonntag Zeit, um die Konten zu leeren. Solche Angriffe sind seit langem bekannt. Wir sagen den Banken, dass sie substantiell etwas tun müssen. Sie müssen letztlich ihr Konzept mit dem Elektronic Banking, mit den Geldautomaten, komplett überarbeiten. Aber die Banken sagen seit 15 Jahren: "Das ist uns zu teuer, das lohnt sich nicht, sollen doch die Kunden damit klarkommen!"
Kloiber: Aus Ihrer Sicht als Datensicherheitsexperte, was konkret müsste man denn tun, um ein Bezahlverfahren sicher zu machen?
Pfitzmann: Man müsste Kunden ein Gerät geben, das könnte das Handy sein, was ihr Gerät ist, was sie normalerweise nicht aus der Hand geben, wo also ein Krimineller keine Chance hat, das zu manipulieren. Zwischen diesem Gerät des Kunden und einem Bankautomaten würde dann per Infrarot oder per Bluetooth-Funk kommuniziert. Und der Ablauf wäre so, man geht zu seinem Bankautomaten, tippt in sein Handy ein, wie viel Geld man abheben möchte, gegebenenfalls dann auch noch die PIN in das eigene Handy. Dann wird auf dem Handy eine Software entsprechend kryptographisch eine Nachricht signiert an den Bankautomaten "ja hier steht der Kunde Pfitzmann und hätte jetzt gerne 300 Euro abgehoben." Dann kann der Bankautomat prüfen, ist das die richtige digitale Signatur, ist das Konto gedeckt und so weiter. Und er zahlt die 300 Euro auch aus, wenn die Signatur stimmt und das Konto gedeckt ist. Und jetzt ist das Schöne, erstens dass der Kunde nie ein Geheimnis in ein fremdes Gerät eingeben muss. Der zweite Vorteil ist, eine PIN, die die Bank mir zuweist, ist natürlich kein Geheimnis vor der Bank, während wenn ich jetzt mit meinem Gerät digitale Signaturen leiste, dann hat das den zweiten Vorteil, dass auch eine "böswillige" Bank, die Sicherheitsanforderungen ignoriert, nicht Zahlungen vorgeben könnte, getätigt zu haben, wenn es überhaupt keine Anforderung des Kunden dafür gab. Also es muss ein anderes Systemkonzept her, das sagen wir den Banken seit 20 Jahren. Und wie es bei der Sicherheit oft ist, es dauert eine ganze Weile, aber am Schluss behalten die Leute, die gewarnt haben, recht.
Andreas Pfitzmann: Die genauen Details einer solchen Masche kann man natürlich nicht vorhersehen. Was absehbar war, ist, dass es eine sehr schlechte Idee ist, ein System so zu bauen, dass Kunden gezwungen sind, ein Geheimnis wie ihre PIN einzugeben in ein fremdes Gerät. Und ein Bankautomat, egal wo er steht, ist erst einmal ein fremdes Gerät.
Kloiber: Hiervon betroffen sind ja auch nicht nur Bankautomaten, sondern auch Abbuchungsgeräte, die es an Tankstellen und Supermärkten gibt.
Pfitzmann: Ja, das betrifft nicht nur Bankautomaten, das betrifft jedes PIN-Pad, was irgendwo Ihnen entgegengehalten wird. Ich kann heute an der Stelle nur das sagen, was ich auch schon vor 20 Jahren gesagt habe, ich würde mich an einem solchen Verfahren nicht beteiligen und ich persönlich habe es auch bisher abgelehnt, von meiner Bank eine PIN zugeordnet zu bekommen.
Kloiber: Worin genau besteht jetzt die Sicherheitslücke bei diesem Verfahren?
Pfitzmann: Die Sicherheitslücke besteht darin, dass wenn jemand meine Kartendaten hat plus die PIN, dass er dann auftreten kann wie ich. Man kann jetzt versuchen, das Kopieren, das Nachmachen von Karten schwieriger zu machen. Das ist bei Magnetstreifenkarten ein ziemlich hoffnungsloses Unterfangen. Das ist bei Chipkarten zwar auch nicht perfekt möglich, sie nicht kopierbar zu machen, aber halbwegs gut möglich. Aber dann bleibt immer noch das Problem, es gibt ja auch Attrappen, die werden vor Bankautomaten gebaut, man steckt seine Karte rein, man wird aufgefordert, die PIN einzugeben. Man kriegt eine Meldung "Ihre PIN stimmt nicht, bitte geben Sie ihre PIN noch mal ein" und man gibt die PIN noch mal ein. Das wiederholt sich, bis zum Schluss eine Meldung kommt, dass die Karte wegen fehlerhafter Eingabe einbehalten werde. So etwas wird typischerweise am Samstag aufgestellt. Diejenigen, die das aufgestellt haben, leeren das dann typischerweise am Samstagabend, haben dann originale Karten, haben natürlich die angeblich falschen PIN - aber das waren natürlich die richtigen PIN - und haben dann den ganzen Sonntag Zeit, um die Konten zu leeren. Solche Angriffe sind seit langem bekannt. Wir sagen den Banken, dass sie substantiell etwas tun müssen. Sie müssen letztlich ihr Konzept mit dem Elektronic Banking, mit den Geldautomaten, komplett überarbeiten. Aber die Banken sagen seit 15 Jahren: "Das ist uns zu teuer, das lohnt sich nicht, sollen doch die Kunden damit klarkommen!"
Kloiber: Aus Ihrer Sicht als Datensicherheitsexperte, was konkret müsste man denn tun, um ein Bezahlverfahren sicher zu machen?
Pfitzmann: Man müsste Kunden ein Gerät geben, das könnte das Handy sein, was ihr Gerät ist, was sie normalerweise nicht aus der Hand geben, wo also ein Krimineller keine Chance hat, das zu manipulieren. Zwischen diesem Gerät des Kunden und einem Bankautomaten würde dann per Infrarot oder per Bluetooth-Funk kommuniziert. Und der Ablauf wäre so, man geht zu seinem Bankautomaten, tippt in sein Handy ein, wie viel Geld man abheben möchte, gegebenenfalls dann auch noch die PIN in das eigene Handy. Dann wird auf dem Handy eine Software entsprechend kryptographisch eine Nachricht signiert an den Bankautomaten "ja hier steht der Kunde Pfitzmann und hätte jetzt gerne 300 Euro abgehoben." Dann kann der Bankautomat prüfen, ist das die richtige digitale Signatur, ist das Konto gedeckt und so weiter. Und er zahlt die 300 Euro auch aus, wenn die Signatur stimmt und das Konto gedeckt ist. Und jetzt ist das Schöne, erstens dass der Kunde nie ein Geheimnis in ein fremdes Gerät eingeben muss. Der zweite Vorteil ist, eine PIN, die die Bank mir zuweist, ist natürlich kein Geheimnis vor der Bank, während wenn ich jetzt mit meinem Gerät digitale Signaturen leiste, dann hat das den zweiten Vorteil, dass auch eine "böswillige" Bank, die Sicherheitsanforderungen ignoriert, nicht Zahlungen vorgeben könnte, getätigt zu haben, wenn es überhaupt keine Anforderung des Kunden dafür gab. Also es muss ein anderes Systemkonzept her, das sagen wir den Banken seit 20 Jahren. Und wie es bei der Sicherheit oft ist, es dauert eine ganze Weile, aber am Schluss behalten die Leute, die gewarnt haben, recht.