Das Wort "eigentlich" ist in Beschreibungen von Sicherheitstechnik immer ein schlechtes Zeichen. "Eigentlich sicher" heißt streng genommen "nicht sicher". Ein aktuelles Beispiel sind Kreditkarten mit Chip+PIN-Funktion. Die gelten – eigentlich – als sicher, vor allem im Vergleich zum alten System mit Magnetstreifen. Recherchen von c't und der ZEIT belegen nun aber, dass Kriminelle auch Kreditkarten mit Chip+PIN-Funktion klonen, die Sicherheitsvorkehrungen austricksen und mit den Karten einkaufen gehen können – und das auch tun. Die neue Sicherheitstechnik ist noch nicht einmal weltweit eingeführt und doch gibt es bereits einen Weg, sie auszuhebeln.

Ein Aussteiger aus der Carder-Szene (so werden Kreditkartenbetrüger genannt), der einer osteuropäischen Bande angehörte, hat die dazu notwendigen Werkzeuge zur Verfügung gestellt. Alexander – der Name ist ein Pseudonym – erklärte anschließend die Funktion und gab Einblick in die kriminellen Geschäfte. Experten der c't analysierten außerdem die dazu eingesetzte Software.

Eine Reihe von Daten, Programmen und Werkzeugen braucht es für den Betrug mit geklonten Chip+PIN-Karten und für die Umgehung des nach Europay, MasterCard und Visa benannten EMV-Bezahlsystems:

  • Typ, Nummer und Ablaufdatum einer Karte,
  • die Software SDA EMV Chip Writer samt der darin enthaltenen App MacGyver.cap,
  • Smartcard-Rohlinge, aus denen die Chip-Klone hergestellt werden,
  • Druckmaschinen und Material für Blanko-Kreditkarten.

Rohlinge vom Typ JCOP und Kartendrucker können bei spezialisierten Anbietern von jedem problemlos gekauft werden. Kreditkartendaten werden in den weniger zugänglichen Ecken des Internets gehandelt, immer wieder tauchen dort Tausende Daten zum Beispiel aus Hacks von Internetshops auf. Alles Übrige stellen Hintermänner der Organisierten Kriminalität zur Verfügung. Die Software verkaufen sie für bis zu fünfstellige Summen, vermieten sie aber auch tageweise.

Mit der genannten Ausrüstung lässt sich keine exakte Kopie einer Kreditkarte mit Sicherheitschip erstellen, denn die Chips und die darin enthaltenen kryptografischen Schlüssel sind gut gesichert. Stattdessen sorgt die MacGyver-App der Kriminellen dafür, dass ein Bezahlvorgang auch ohne die bei Chip+PIN eigentlich vorgesehenen Sicherheitsüberprüfungen stattfindet. Das eigentliche Schloss wird damit nicht geknackt, sondern die geklonte Karte gaukelt der Kasse vor, dass der Schlüssel korrekt funktioniert, obwohl er es nicht tut.

Jede PIN wird akzeptiert

Etwas detaillierter: Will jemand mit seiner Kreditkarte im Laden bezahlen, muss er sich zu Beginn der EMV-Transaktion mit einer PIN gegenüber der Karte ausweisen. Die gibt er dazu in das Kartenterminal an der Kasse ein. Aber das von MacGyver auf die geklonte Karte installierte Protokoll sorgt dafür, dass das Kartenterminal einfach jede beliebige PIN akzeptiert, egal welche PIN die Bank ursprünglich der Kreditkarte zugewiesen hatte.

Danach zwingt MacGyver das Kartenterminal zu einer bestimmten Form der Kommunikation. Es gibt mehrere Wege, auf denen eine Kreditkarte über das Terminal mit der Bank Daten tauschen kann. MacGyver erzwingt einen vergleichsweise Simplen, der als Fallback-Lösung gedacht ist, falls die primäre Methode mal nicht funktioniert – wofür es durchaus legitime Gründe geben kann. 

Bei diesem vereinfachten Verfahren werden nicht mehr alle für den Zahlungsvorgang relevanten Daten überprüft, sondern nur noch einige. Jene Daten, die durch Verschlüsselung gesichert sind, werden bei dieser Variante ignoriert.

Banken in anderen Ländern schlampen beim Datenabgleich

Vor allem in Asien, Süd- und Nord-Amerika funktioniert das offenbar recht häufig, weil die dortigen Banken bei der Einführung von EMV und Chip+PIN unvorsichtig waren. Steven J. Murdoch, Sicherheitsforscher aus London und Experte für das EMV-Bezahlsystem, hält die Nachlässigkeit der Banken ironischerweise für eine Vorsichtsmaßnahme: "Der Hauptgrund dafür, dass Sicherheitschecks nicht ordentlich implementiert werden, ist die Sorge, dass Umstellungen in der Banken-IT ungewollt auch bestimmte legitime Transaktionen stoppen könnte. Das ist insbesondere ein Problem mit veralteten Systemen, in denen Updates stets ein hohes Risiko für die Funktionsfähigkeit mit sich bringen. Jede Bank wägt für sich ab, ob sie das Risiko eingeht, dass Zahlungen nicht durchgehen oder das Risiko, das Opfer von Betrügern zu werden", schreibt er.

Das heißt, aus Sorge, dass dann zu viele Kreditkarten ihrer Kunden in den Geschäften nicht mehr akzeptiert werden, zögern die Banken damit, neue Sicherheitsstandards einzuführen. Mit dem Ergebnis, dass sie eine Lücke einführen, die Kriminelle ausnutzen.