Dass Bankomat- und Kreditkarten seit nun fast 20 Jahren über einen Chip verfügen, ist prinzipiell sinnvoll – und um einiges sicherer als Karten, die nur auf Magnetstreifen setzen. Allerdings haben auch Karten mit Chip, die in Europa nach dem EMV-Standard (die Abkürzung steht für Europay, Mastercard und Visa) reguliert werden, gravierende Sicherheitslücken.

Fehlerkette

Das weiß man zwar schon länger, auf dem 31C3 führte der italienische Hacker Andrea Barisani aber eindrucksvoll vor, welche Probleme EMV verursacht. Barisano konzentrierte sich primär auf "Point of Sales", also etwa das Bezahlen im Supermarkt per Bankomat. Hier gibt es mehrere Mängel: Einzelne Authentifizierungsprozesse sind mangelhaft miteinander verknüpft, was die Sicherheit allgemein schwächt. Zusätzlich werden Informationen unverschlüsselt verschickt.

Leicht zu manipulieren

Auch die Kassensysteme am Bezahlort können leicht manipuliert werden. Ähnlich wie beim "Bankomaten-Skimming", bei dem Kriminelle quasi einen manipulierten Geldautomaten über dem eigentlichen Gerät einbauen, können auch die Bezahlsysteme in Geschäften verändert werden. Solche "EMV"-Skimmers gibt es ebenfalls seit einigen Jahren. Dennoch vertrauen Banksysteme den Bezahlsystemen uneingeschränkt – Barisano bezeichnet sie laut Heise hingegen als "dumme Vermittlungsinstanzen".

Einfacher Hack

Der Sicherheitsforscher zeigt in seinem Vortrag sogar, wie einzelne Angriffe auf Schwachstellen im Bezahlsystem miteinander kombinierten werden können, sodass ohne eine "geklonte" Bankomatkarte und ohne den richtigen PIN-Code dennoch eine Transaktion durchgeführt werden kann. Massive Sicherheitslücken also, die potenziell dem Bankkunden schaden: Denn Geldinstitute sehen die "Eingabe" des richtigen PIN-Codes nach wie vor als Bestätigung der Identität des Bankkunden. Diese Denkweise müsse man allerdings bei solchen Lücken ablegen, so Barisano. (fsc, derStandard.at, 29.12.2014)