Man steckt die EC-Karte in den Automaten, dieser liest den Magnetstreifen auf der Karte und fordert zur PIN-Eingabe auf, wenn er die Karte als Euro-Scheckkarte anerkennt. Danach tippt man die PIN (Persönliche IndentifikationsNummer) und den gewünschten Betrag ein. Der Geldautomat gibt die Daten der Karte und der Eingabe an den Rechner der Bank weiter, der diese dann prüft. Sind die Angaben richtig und der gewünschte Betrag vom Konto abbuchbar, teilt der Bankrechner dies dem Geldautomaten mit, der dann den gewünschten Betrag auszahlt und die Karte zurückgibt.
Eventuelle Sicherheitsfragen, die dieses System aufwirft, sind diese:
Kann man die EC-Karte fälschen ?
Ja, für die Automatenlesbarkeit ist nur der Magnetstreifen zu kopieren. Dazu können Hacker z.B. den Türöffnungsmechanismus manipulieren, um so zeitgleich mit dem Öffnen der Tür eine Kopie der Karte zu erhalten.
Kann man beim Eingeben der PIN beobachtet werden ?
Es gibt jede Menge Tricks, um eingegebene PINs auszuspähen. Es können Spiegel oder kleine Kameras installiert, die Tasten mit -für den Benutzer unsichtbarem- Pulver bestäubt oder sogar die elektromagnetischen Wellen, die beim Eintasten der PIN erzeugt werden, abgehört werden. Abhilfe könnte nur ein System bringen, das zum einen die elektromagnetischen Strahlungen abschirmt und zum anderen den Bankkunden persönlich erkennt. Siemens-Nixdorf hat solch einen Automaten entwickelt, der das Gesicht des Kunden mit einem vorher gespeicherten Muster vergleicht. Nachteil dieser Gesichtskontrolle ist, daß man nicht mal eben seine Gattin zum Geldautomaten schicken kann, wenn man selbst z.B. krank im Bett liegt. Hier schafft jedoch eine Zweitkarte Abhilfe.
Kann man die PIN knacken ?
Die PIN ist auf dem Magnetstreifen der Karte gespeichert. Sie ist dort zwar verschlüsselt, jedoch mit vertretbarem Aufwand auch decodierbar. Laut Zimmermann , einem Ex-Hacker, gibt es einen noch schnelleren Zugriff auf die PINs von gestohlenen oder kopierten Karten: Geldautomaten enthalten eine, im allgemeinen gut geschützte, Black-Box, die die eingetippte PIN mit der auf der Karte vergleicht und meldet, ob die richtige PIN eingegeben wurde. In modernen Geldautomaten ist diese Box gut gegen Mißbrauch gesichert und zerstört sich bei Ausbauversuch selbst. Es ist laut Zimmermann jedoch einer Bande gelungen, eine Box aus einem älteren Automaten auszubauen und diese zum Herausbekommen der PINs zu nutzen.
Hierzu ein Urteil des Amtsgerichtes Oschatz in Sachsen vom Februar 1996: "Durch den Sachverständigen wurde dargelegt, daß es durchaus möglich ist, auch ohne Kenntnis der persönlichen Geheimzahl diese zu ermitteln. Dafür ist ein Kartenlesegerät sowie ein Laptop mit entsprechendem Programm ausreichend....." Das ZDF-Magazin "Wiso" berichtete, daß in der Zeit von August bis Mitte Oktober 1996 Geldautomaten der Berliner Sparkasse jede beliebige PIN akzeptierten. In der gleichen Sendung führte ein Bankkunde seine ungewöhnliche EC-Karte vor: Mit dieser Karte konnte man ohne PIN Geld abheben. "Der Schluß liegt nahe, daß es mit der Sicherheit am Geldautomaten öfter hapert, als den Banken lieb ist." Die Sendung "Explosiv" auf RTL vom 11.9.97 berichtete von einem Fall, in dem ein Bastler und Computerfreak mitten in die Fußgängerzone einen selbstgebauten Geldautomaten an eine Hauswand gehängt hatte. Dieser Automat übertrug per Funk die Daten der EC-Karte und die vom Benutzer eingetippte PIN auf den Computer des Betrügers, bevor er die Karte ohne Geldauszahlung wieder auswarf. Der Mann konnte jedoch verhaftet werden, nachdem mißtrauische Benutzer der Attrappe die Polizei informiert hatten. Unzählige Magnetstreifendaten und die dazugehörigen PINs waren schon auf dem Laptop gespeichert worden. Dies ist möglich gewesen, weil heutige Karten nicht nachprüfen, ob sie in einem echten Terminal stecken oder mit einem echten Netzwerk verkehren. Eine solche Kontrolle ist nur möglich, wenn die Karte \"rechnen\" kann. Eine Debit-, Bancomat- oder Kreditkarte braucht also einen Prozessor, wie dies bei Chip-Karten der Fall ist. Deshalb werden Chip-Karten die heutigen Magnetstreifen-Karten ersetzen. Neben einer höheren Sicherheit bieten sie auch eine größere Benutzerfreundlichkeit. Einige auf Chip-Karten-Technologie basierende Zahlungssysteme haben schon einen Schritt in diese Richtung getan. Erstaunlicherweise ist Europa in dieser Beziehung weiter als die USA. So offeriert das Mondex-System , das von der National Westminster und der Midland Bank in Zusammenarbeit mit British Telecom entwickelt wurde, eine breite Palette von Dienstleistungen, wie Aufladen mit Hilfe eines speziellen Telefongeräts, Geldtransfer von Karte zu Karte oder Zahlungen in verschiedenen Währungen. Durch Multifunktionalität wird die Attraktivität von Karten noch erhöht. Sie werden dann auch für nichtfinanzielle Dienstleistungen benutzt, wie z. B. als Identitätskarte, Führerschein oder medizinischer Datenträger. Der heute fast selbstverständlichen ständigen Erhöhung der Speicherkapazität und Rechenfähigkeit werden bald weitere technische Verbesserungen folgen. So ist die Entwicklung von Karten, welche kontaktlos mit einem Terminal kommunizieren, weit fortgeschritten. Es wird sogar die Möglichkeit untersucht, Chip-Karten mit einer rudimentären Tastatur und einem kleinen Bildschirm auszurüsten.
Gibt es sonstige Risiken ?
Ja, und zwar eines, das nicht nur das Konto oder den Geldbeutel gefährdet, sondern auch die Gesundheit des Kartenbesitzers: Wenn nämlich die Sicherheitsvorkehrungen der EC-Karten und -Automaten so hoch und unüberwindbar sind, oder derjenige, der sie überlisten will, nicht klever genug dazu ist, kann er die Bekanntgabe der Geheimnummer auch durch Androhung oder Ausübung von körperlicher Gewalt erzwingen. Hier sind die Banken gefragt, die durch Einführung einer zweiten Geheimzahl, einer sogenannten PEN (Personal Emergency Number) solche Überfälle erschweren könnten. Nach Eingabe der PEN wird dann zwar vom Geldautomaten Geld ausbezahlt, jedoch wird zeitgleich die Polizei verständigt, die dem Opfer dann evtl. zu Hilfe kommen kann.
|