Zahlungskarten Meldung

Vorsicht vor dem Dieb: Viele gehen raffinierter vor als dieser hier.

Die Zweifel mehren sich: Ist das Pin-System wirklich so sicher, wie die Banken behaupten?

Die Berlinerin Inge Klus* kann es noch immer nicht fassen: Als sie auf ihrem Computer den Kontostand abfragte, fehlten plötzlich 4 000 Euro. Fünfmal hatte ein Fremder Geld abgehoben. Das Unglaubliche: Weder war ihre ec-Karte gestohlen, noch konnte jemand die Pin-Geheimzahl kennen: Sie lag noch im verschlossenen Umschlag. Selbst die Bank war ratlos: „So ein Fall ist technisch gar nicht möglich“, hieß es.

Gibt es also doch Wege, den Pin-Code auf der Maestro-Karte (früher: ec-Karte) zu knacken? Das befürchtet die Verbraucherzentrale (VZ) Nordrhein-Westfa­len. Sie hat über 1 000 ähnliche Fälle gesammelt. Alle Betroffenen haben eidesstattlich versichert: „Ich habe niemandem ermöglicht, meine Pin zu ermitteln.“ Viele würden sogar einen Lügendetektortest machen. „Darunter sind Leute mit hohen Einkommen, die nicht für ein paar Hundert Euro ihre Bank belügen“, berichtet Hartmut Strube, Finanzjurist der VZ.

Die VZ trägt ihre Zweifel nun systematisch vor die Gerichte. Sie hat eine Serie von Verfahren in Gang gebracht und bereits einen Teilsieg errungen. Zwar bezeichnete der Bun­desge­richtshof das Pin-System kürzlich als grundsätzlich sicher: Hat ein Kartendieb mit der richtigen Geheimzahl Geld abgehoben, spreche der „Beweis des ersten Anscheins“ dafür, dass der Bestohlene grob fahrlässig mit der Pin umging (Az. XI ZR 210/03).

Aber künftig, so stellte das Gericht klar, könnte es die Banken zwingen, Einblick in ihr Sicherheitssystem zu geben. Das gab es bisher noch nicht. Nicht einmal neutrale Sachverständige durften hinter die Kulissen schauen. Gutachter konnten sich nur auf die Angaben der Bankenverbände stützen. So blieben selbst gerichtliche Gutachten bloße Ferndiagnosen. Dabei gibt es durchaus Anhaltspunkte für Sicherheitsmängel:

Veraltet. Die Magnetstreifentechnik ist veraltet. Haben Kriminelle erst einmal eine Karte, können sie im Handumdrehen die Daten auslesen und Kopien herstellen. Dann fehlt allerdings noch die Pin. Zwar tragen Maestro-Karten zusätzlich ein „MM-­Merkmal“, das nicht auf dem Magnetstreifen, sondern im Kartenkörper steckt und mit den Magnetstreifendaten über einen Prüfwert verknüpft ist. Doch das schützt nur bei Geldautomaten im Inland, nicht im Ausland. Und Kreditkarten haben dieses Merkmal erst gar nicht.

Probieren. Die Pin durch Ausprobieren zu erraten, scheint zwar ausgeschlossen. Bei drei Versuchen beträgt die Trefferchance gerade 1 : 3 333, bevor der Automat die Karte einzieht. Doch bei Maestro-Karten kamen jahrelang als erste Ziffer 0 bis 5 häufiger vor als 6 bis 9, was die Ratechance auf 1 : 200 erhöhen kann. Dies wurde Ende der 90er Jahre mit Einführung der besseren Triple-DES-Verschlüsselung und neuer Karten geändert.

Lücken. Es kann nicht geprüft werden, ob die Banken auf allen Karten den neuen Schlüssel anwenden. So hat zum Beispiel eine Bank in einem Verfahren vorm Amtsgericht Düsseldorf nicht dargelegt, welche Verschlüsselung sie nutzt.

Bestechung. Dass Fehler im Rechenzentrum passieren oder gar Mitarbeiter bestechlich sind, sei höchst unwahrscheinlich, meinen die Banken. „Unwahrscheinlich ist auch Regen im Hochsommer“, hält VZ-Jurist Hartmut Strube dagegen.

Weltweit. Angeblich ist nicht die Pin selbst auf dem Magnetstreifen gespeichert, sondern verschlüsselte Daten. Der Geldautomat liest sie aus und schickt sie ans Rechenzentrum der Bank. Dort wird die Pin ermittelt und mit der vom Nutzer eingetippten Zahl verglichen. So bekommt ein Tourist selbst an einem Geldautomaten am anderen Ende der Welt in Sekunden Bargeld. „Aber eine weltweite Verfügbarkeit von Maestro-und Kreditkarten an Geldautomaten erfordert auch eine weltweite Vernetzung der Automaten und Rechenzentren“, meint Dr. Werner Schindler, EDV-Experte im Bundesamt für Sicherheit in der Informationstechnik. „Wenn das so ist, warum dauert dann eine simple Überweisung mehrere Tage?“, fragt Strube. Und diese Langsamkeit entschuldigen die Banken noch damit, dass es wegen der hohen Kosten kein dauernd offenes Datenübertragungsnetz gebe – nicht einmal in Deutschland.

„Auch wird von den Kreditinstituten behauptet, dass es Stunden dauert, bis eine Kartensperre im Ausland greift. Wenn alle Automaten online sind, ist diese Behauptung absurd“, erklärte der EDV-Sachverständige Professor Dr. Manfred Pausch beim Deutschen EDV-Gerichtstag in Saarbrücken.

Alltägliche Schwächen des Systems

Fragen über Fragen, die in den anstehenden Prozessen zu klären sind. Hinzu kommen längst bekannte Schwächen des Systems. So häufen sich die Fälle, bei denen Kriminelle ein Lesegerät vor den Kartenschlitz am Geldautomaten installieren. Der Kunde bemerkt nichts und gibt seine Pin ein. Das Gerät liest den Magnetstreifen aus und sendet die Daten inklusive Pin per Funk an den PC des Täters.

„Bei Festnahmen finden wir immer wieder Laptops, auf denen Hunderte von Kartendaten mit Pin gespeichert sind“, berichtet Ludwig Waldinger vom Bayerischen Landeskriminalamt. Mitunter ins­tallieren Kriminelle das Lesegerät am Türöffner zum Geldautomatenraum. Bei einem Fall in Frankfurt/Main hatten sie auf dem Automaten einen Prospekthalter angebracht und eine fingernagelgroße Mikrokamera versteckt.

Eine andere Variante zeigte sich im türkischen Ferienort Bodrum. Da waren die Lesegeräte an Kassenterminals angeschlossen, wo Kunden beim Bezahlen ihre Pin eingeben. Auch die simple Tour läuft: Der Dieb schaut bei der Pin-Eingabe einfach zu, an der Ladenkasse oder – bei Automaten an der Straße – per Fernglas.

Das Risiko des nichttechnischen Ausspähens besteht immer – und da liegt für Kartenopfer die Chance: Einige Betroffene, die darlegen konnten, dass sie eventuell ausge­späht wurden, bekamen Recht. „Das Risiko des Ausspähens trägt nicht der Verbraucher“, urteilte das Landgericht Osnabrück, als einem Autofahrer an der Tankstelle das Portmonee gestohlen und danach mit Karte und Pin Geld abgehoben wurde. Noch sind solche Urteile die Ausnahme – ob das so bleibt, werden die künftigen Verfahren zeigen.

*Name von der Redaktion geändert.

Dieser Artikel ist hilfreich. 1162 Nutzer finden das hilfreich.