In unserem Artikel „Kartenspiel: Kriminelle Geschäfte am Geldautomaten“ zeigten wir Ihnen, wie einfach Sie Geld an Betrüger verlieren können. Der Hauptgrund, dass so etwas immer noch passiert, ist die rudimentäre Kartensicherheit, die auf die 1970er Jahre zurückgeht. Die Daten des Magnetstreifens werden als „Klartext“ geschrieben und die PIN, die leicht gestohlen werden kann, ist der einzige Schutz Ihres Bankkontos.
Man muss nicht extra betonen, dass die Finanzbranche, die derzeit unglaubliche Summen an alle möglichen Arten von Betrügern verliert, ihr Bestes tut, fortschrittlichere Sicherheitstechnologien für Transaktionen einzuführen. Bisher sind hier Kredit- und Geldkarten mit Chip (EMV-Karten) die erfolgreichste Schutzmöglichkeit. Nachdem sie massenhaft in Europa und Kanada eingeführt worden waren, gab es in diesen Ländern viel weniger Fälle geklonter Karten. Die Carder sind mit ihren Skimmern einem besseren Leben in den USA und Asien entgegen gezogen, wo bisher kaum EMV-Karten verwendet werden.
Doch so fortschrittlich das EMV-System auch sein mag, ist es dennoch nicht ideal für den Schutz der Karten und kann nicht vor jeder Gefahr schützen – denn auch die Skimming-Technologien werden sich weiterentwickeln. Es kann gut sein, dass wir in Zukunft verschiedene Kartetypen verwenden.
Wie könnte das aussehen? Lassen Sie uns einen Blick riskieren:
Passwort und Antwort
Die offensichtlichste Lösung des Problems ist das Hinzufügen einer weiteren Sicherheitsebene – wie bei der Zwei-Faktoren-Authentifizierung, die überall im Internet genutzt wird. Und dort funktioniert das System einwandfrei: Wenn man online bezahlt, gibt man neben dem CVV2-Sicherheitscode von der Rückseite der Karte auch ein einmaliges, zufällig generiertes Passwort ein, das man entweder per SMS erhält, vom Geldautomaten ausgedruckt wird oder von einem Gerät der Bank (Token) generiert wird. Die Zwei-Faktoren-Authentifizierung könnte sogar für Offline-Überweisungen großer Summen verwendet werden.
Bankkarten mit integriertem Display nutzen eine ähnliche Authentifizierungsmethode. In diesem Fall wird eine normale Kreditkarte mit einem eingebauten Mini-Computer ausgestattet, inklusive LCD-Bildschirm und digitaler Tastatur. Abgesehen von der Generierung einmaliger Passwörter kann dieser auch den Kontostand, die Überweisungshistorie und viel mehr anzeigen.
Card with keypad adds additional layer of #security http://t.co/5G9O5L1DvH READ how #MasterCard adopted tech http://t.co/CzCD2X8ZYV
— Mastercard News (@MastercardNews) March 17, 2014
Auch wenn es die ersten interaktiven Karten schon seit über fünf Jahren gibt, bieten nur wenige Banken in Europa, den USA und hochentwickelten asiatischen Ländern sie ihren Kunden an.
Card On Demand
Die amerikanische Firma Dynamics bietet eine noch exotischere Lösung: Die Karte hat keinen stabilen Magnetstreifen im eigentlichen Wortsinn, denn er wird von der eingebauten Hardware dynamisch aufgebaut, und der Anwender muss über eine eingebaute Tastatur erst ein Passwort eingeben.
Nick Brazzi from @Lynda calls our security-focused interactive payment card his favorite tech at #CES2015. http://t.co/WrNdM9IbDf
— Dynamics Inc (@dynamicsinc) January 8, 2015
Wenn Sie das Passwort nicht kennen, wird der Magnetstreifen nicht aufgebaut und es kann keine Transaktion durchgeführt werden. Zudem haben solche Karten keine normale sechzehnstellige Kartennummer. Ein Teil der Nummernreihe wird nicht auf die Karte gedruckt, sondern auf dem Bildschirm dargestellt – aber erst, wenn das richtige Passwort eingegeben worden ist.
Kann ich mal ihren Finger haben?
Ein Passwort kann ein guter Schutz für Ihre Karte sein, aber es bringt nichts, wenn unaufmerksame Menschen es nicht schaffen, das Passwort geheim zu halten. Wir alle kennen die Geschichten über „schlaue“ Kartenbesitzer, die ihre PIN auf die Karte schreiben und diese dann verlieren.
Biometrie-basierte Authentifizierung ist eine radikale Lösung dieses Problems. Die norwegische Firma Zwipe führt derzeit zusammen mit Mastercard einen Test mit einer Kreditkarte mit integriertem Fingerabdruckscanner durch. Zahlungen bestätigen Sie einfach, indem Sie Ihren Finger auf das Kontaktfeld legen – Lebewohl PIN!
Quanten kommen zu Hilfe
Unabhängig von jahrzehntelanger Forschung, sind voll funktionsfähige Quantencomputer nach wie vor ein Traum, der erst noch wahr werden muss. Doch es gibt einen Lichtblick: Manche Eigenschaften von Quantentechnologien werden dabei helfen, Identifikationsmöglichkeiten zu schaffen, die nicht gefälscht werden können.
Zumindest planen Forscher der University Twente und der Eindhoven University of Technology, ein Konzept quantenbasierter Sicherheit für Kreditkarten und Ausweise. Und auch wenn es das Ganze bisher nur als Laborversuch gibt, wird dieses Modell der Quantensicherheit bereits unter dem Namen Quantum Secure Authentication (QSA) entwickelt.
Security researchers are using quantum physics for fraud-proof credit cards: Quantum-Secure Authentication me… http://t.co/JTuB8EUxOb
— The INQUIRER (@INQ) December 18, 2014
Ein kleiner Bereich einer normalen Plastikkarte wird dabei mit einer dünnen Schicht Zinkoxid beschichtet (keine Magie hier – das Ganze ist auch als „Zinkweiß“ bekannt). Dieser Bereich wird dann mit Laser-Photonen beschossen. Treffen diese auf Nano-Partikel, reflektieren sie zufällig innerhalb der Zinkoxid-Schicht. Dieser Prozess verändert die optischen Eigenschaften der Partikelschicht und erzeugt damit einen einzigartigen Schlüssel.
Wenn also jemand die Karte mit einer Sequenz von Laserimpulsen beleuchtet (also „die Frage stellt“), erhält er ein definiertes Reflexionsmuster (also „die Antwort“). Eine Kombination einzigartiger „Frage-Antwort“-Pakete ist im Banksystem gespeichert und wird zur Authentifizierung des Schlüssels verwendet.
Versucht ein Betrüger, während der Übertragung die Frage-Antwort-Kombination abzufangen, kann keine Transaktion durchgeführt werden. Jeder zusätzliche fotoelektrische Sensor, der in das System gesetzt wird, würde den Quantenzustand von zumindest einem Teil der Photonen ändern und damit den Betrug vereiteln.
Alternativ könnte man dieses System hacken, indem man die Karte fälscht, und dabei die genaue Größe, den Ort und die Parameter der Nano-Partikel einhält, um eine exakte Kopie zu erstellen. Das ist praktisch unmöglich, da dieser Prozess zu komplex wäre.
Die QSA-Entwickler behaupten, dass die Technologie – unabhängig vom anscheinend komplexen Konzept – relativ einfach und günstig sei, da sie verfügbare Technologien und Methoden verwende.
Eile mit Weile
Es ist unwahrscheinlich, dass Banken die oben genannten Sicherheitssysteme schon bald einführen werden. Die Finanzbranche ist recht konservativ und hält es immer für kostspielig, neue Technologien flächendeckend einzuführen.
Daher sind wir uns ziemlich sicher, dass Innovative Zahlungsmethoden zunächst in alternativen Nicht-Bank-Diensten zur Verfügung stehen werden, etwa bei neuen Zahlungssystemen wie Apple Pay oder Google Wallet, oder bei vielversprechenden Außenseitern wie Coin, Wocket und Plastc (deren Geschichte wir später erzählen werden).
Zudem ist enorm wichtig, dass alle technologischen Wunder dieser anspruchsvollen Neuheiten nicht durch Fehler bei der Einführung zunichte gemacht werden, wie es immer wieder bei EMV-Karten passiert. Das größte Sicherheitsproblem ist, dass wenn ein Terminal die Daten eines sicheren Chips nicht lesen kann, es der Rückwärtskompatibilität halber auf den guten, alten Magnetstreifen zurückgreift. Und damit waren die ganzen Bemühungen umsonst.