Der Zentrale Kreditausschuss (ZKA), in dem die fünf Spitzenverbände der deutschen Kreditwirtschaft zusammengeschlossen sind, hat eingeräumt, dass die Nutzer von EC-Karten unter bestimmten Bedingungen mehr als drei Möglichkeiten zur PIN-Eingabe haben, bevor die EC-Karte gesperrt wird.

"In bestimmten außergewöhnlichen Konstellationen können bis zu sechs falsche Eingaben möglich sein", räumte der Zentrale Kreditausschuss auf Nachfrage von Golem.de ein. Dies funktioniere aber nur bei Bezahlvorgängen im Handel und auch da nur im Ausnahmefall, und nicht an Geldautomaten. Die Möglichkeit, bis zu sechs falsche PINs eingeben zu können, könne "jedoch vom Kunden beziehungsweise möglichen Betrügern aufgrund des Sicherheitsmanagements der Karte nicht systematisch herbeigeführt werden", so der Bankenverband.

In den ersten Tagen des Jahres 2010 war es zu Problemen beim Einsatz von EC- und Kreditkarten gekommen. Betroffen sind rund ein Fünftel aller ausgegebenen Giro- und Kreditkarten, insgesamt 20 bis 23 Millionen Stück.

Das Fernsehmagazin Plusminus hatte berichtet, dass wegen eines Fehlers auf dem Chip der EC-Karten der veraltete Magnetstreifen auf der Karte wieder verstärkt genutzt werde. Durch die beiden Systeme habe der Kartennutzer jeweils drei Versuche bei der PIN-Eingabe auf dem Chip und drei Versuche für die Magnetkarte. Der ZKA bestreitet einen direkten Zusammenhang zwischen dem 2010-Bug des Chips und der PIN-Lücke. Was die Vermutung nahelegt, dass es unter Umständen auch ohne diesen Softwarefehler auf dem EMV-Cgip möglichist, die PIN sechs Mal einzugeben.

Sechs statt drei Fehlversuche für die EC-Karte bedeuteten aber eine doppelt so hohe Wahrscheinlichkeit, die richtige PIN durch bloßes Raten herauszubekommen, erklärte der Aachener Gerichtssachverständige Markus a Campo dem Magazin Plusminus.

"Das Sicherheitsniveau der deutschen Bankkarten und Zahlungssysteme ist im internationalen Vergleich außerordentlich hoch und bietet daher ein Höchstmaß an Sicherheit", heißt es in der Stellungnahme des Zentralen Kreditausschusses. Anders als in der Plusminus-Sendung suggeriert werde, hätten Kunden am Geldautomaten maximal drei Eingabeversuche für die PIN ihrer EC-Karte. Danach werde die EC-Karte in jedem Fall gesperrt. Das gleiche Sicherheitsniveau gelte auch für die EC-Kartenakzeptanz im Handel. Auch hier müsse jeder Nutzer damit rechnen, dass die EC-Karte nach drei falschen Eingabeversuchen gesperrt wird.

Die Suche nach einer unbekannten PIN sei zudem wie die Suche nach einer Stecknadel in einem Heuhaufen. "Selbst wenn man statt dreimal sechsmal reingreifen darf, ist die Wahrscheinlichkeit, einen Treffer zu landen, äußerst gering", so das ZKA.

Am Abend des gestrigen 20. Januars 2010 kündigte der ZKA noch einen Updateplan für den 2010-Bug an.