Kreditkartenbetrug Auch Chip und Pin können Kreditkarten nicht vor Betrügern schützen

  • Das eigentlich als fälschungssicher geltende System aus Chip und Pin lässt sich von Kreditkartenbetrügern offenbar aushebeln.
  • Die Betrüger nutzen offenbar die Nachlässigkeit mancher Banken. Betroffen könnten wohl vor allem Kunden aus Asien, Südamerika und den USA sein.
Von Helmut Martin-Jung

Egal, ob es um einen leckgeschlagenen Tank mit Schwefelsäure ging, den er mit Schokolade stopfte, oder ob er mit einem Kaugummi-Papier eine defekte Sicherung überbrückte - Angus MacGyver, der berühmte US-Serienheld, war nie um eine Lösung verlegen. MacGyver, so heißt auch eine illegale Software, die scheinbar Unmögliches möglich machen soll. Mit ihrer Hilfe und unter gewissen Bedingungen lässt sich damit das als fälschungssicher geltende System aus Chip und Geheimzahl (PIN) von Kreditkarten überlisten, wie die Fachzeitschrift c't in ihrer jüngsten Ausgabe berichtet.

Vereinfacht dargestellt funktioniert die Sache so: Mit einem frei erhältlichen Schreib-Lese-Gerät werden Chips auf Kartenrohlingen, die es für etwa 15 Euro pro Stück ebenfalls frei zu kaufen gibt, mit zuvor gestohlenen Datensätzen beschrieben. Diese Datensätze stammen beispielsweise von digitalen Einbrüchen und können im Internet bei Kriminellen gekauft werden.

Eigentlich ist im Standard für Chipkarten vorgesehen zu prüfen, ob eine Karte berechtigt ist, auf ein Konto zuzugreifen. Dazu wird eine verschlüsselte Anfrage an den Herausgeber der Karte gesendet. Dieser Herausgeber, etwa eine Bank, sollte gemäß den Regeln mittels eines geheimen Schlüssels diese Anfrage überprüfen. Doch das tun offenbar einige Banken nicht, vor allem solche in Asien, Südamerika und in den USA. Stattdessen werden, wie die c't schildert, die Zahlungen ungeprüft ausgeführt - genauso, als hätten die Betrüger lediglich den als unsicher bekannten Magnetstreifen benutzt.

Auch die raffinierte Betrügersoftware MacGyver, die offenbar für teures Geld verkauft wird, kann demnach nicht die zur jeweiligen Karte passenden Sicherheitszertifikate erzeugen, sondern verwendet immer dasselbe, das der c't zufolge von einem brasilianischen Herausgeber stammt. Würden die verschlüsselt übermittelten Zahlungsinformationen geprüft, so wie das eigentlich vorgesehen ist, würde der Bezahlvorgang abgebrochen. Zu dieser Einschätzung kam auch das Bundeskriminalamt (BKA). Dort rät man den Banken deshalb, die Echtheitsprüfung den Regeln entsprechend vorzunehmen.

Das System aus Chip und PIN ist damit nicht in seinen Grundfesten erschüttert. Korrekt angewendet, ist es noch immer sicher, und die deutschen Banken wenden diese Verfahren auch an. Das schließt aber nicht aus, dass Betrüger oder vielmehr deren Gehilfen mittels gefälschter Karten ausländischer Banken in Deutschland oder europäischen Nachbarländern einkaufen.

Größter Datenklau bei Kreditkarten seit Jahren

Banken tauschen wohl mehr als 100 000 Stück aus. Betrugsfälle wurden bisher nicht bekannt Von Harald Freiberger mehr...