Hidden-Card

Die 2007 gegründete Firma Dynamics Inc. mit Hauptsitz in Pittsburgh (1) hat auf der DEMO Conference in Santa Clara zwei "intelligente" Zahlungskarten vorgestellt (2), um damit Kunden für ihren breiten Einsatz zu gewinnen.

Die erste heißt "Hidden" und tatsächlich "versteckt" sie im deaktivierten Zustand Teile der Kontonummer und den Magnetstreifen auf ihrer Rückseite. Der Prägedruck für die ersten 6 Ziffern der individuellen Kontonummer wird von einem flachen Display ersetzt. Die Karte muss durch Eingabe einer Buchstabenkombination (siehe die Tasten A bis E) aktiviert werden und erst dann werden die Ziffern sichtbar und wird der Magnetstreifen lesbar.

Die Karte bietet damit einen Schutz bei ihrem Verlust. Solange der Aktivierungscode unbekannt ist, „ist sie nur totes Plastik“ [Jeff Mullen bei (3)].

Für beide Karten gilt, dass sie alle Autorisierungsdaten über den Magnetstreifen mitteilen und - wie es scheint - keine zusätzlichen Sicherheitsmerkmale wie etwa dem EMV-Chip vorsehen.

Die Zahlungskarte als solche ist für Angreifer zwar von Interesse, aber nicht alles. Er braucht auch die PIN für den Bezahlvorgang oder, wenn es sich um eine Kreditkarte handelt, auch die Kartennummer, die auf der Rückseite aufgedruckt ist.

Das Skimming wird von der Hidden-Card nur auf dem ersten Blick erschwert, weil die Informationen auf dem Magnetstreifen zunächst vom Inhaber aktiviert werden müssen. Das Ausspähen erfolgt jedoch erst beim Bezahlvorgang selber, weil dann auch die PIN eingegeben werden muss. Dabei ist auch die Hidden-Card bereits aktiviert.
 

MultiAccount-Card

Interessant ist der Ansatz dann, wenn sich die Karte bereits im Lesegerät des Geldautomaten oder des POS-Terminals befindet und erst dort der Magnetstreifen in einer geschützten Umgebung aktiviert wird. Skimmer, die vor dem Kartenschlitz angebracht werden, blieben dadurch wirkungslos.

Die Entwickler werben hingegen damit, dass die neue Karte von den üblichen POS-Terminals ausgelesen werden kann und die verwenden ganz häufig die Durchzieh-Technik, die einen aktivierten Magnetstreifen voraussetzt.

Im Hinblick auf den Missbrauch der Prüfziffer auf der Rückseite der Karte bietet die Hidden-Card tatsächlich mehr Schutz, weil für den Zahlungsvorgang im Internet die komplette 16-stellige Kartennummer und die Prüfziffer gebraucht werden. Wenn die deaktivierte Karte Teile der Kartennummer versteckt, dann wird dieser einfache Missbrauch durch Ablesen verhindert.

Ein offenes Problem ist die Sicherheit der Karte selber. Ihre "Intelligenz" fördert grundsätzlich auch den Verdacht, dass sie ausgelesen, umprogrammiert und missbraucht werden kann. Wenn sie dagegen nicht geschützt ist, dann läuft der Schutz durch Verstecken der Kartennummer bei der Anzeige und auf dem Magnetstreifen völlig leer.

Die ersten 4 Ziffern der Kartennummer weisen das Kreditkartenunternehmen aus (Master u.a.), die 5. und 6. Stelle kennzeichnen die Art und den erlaubten Einsatz der Karte (4). In dem Display ( links) erscheinen schließlich die ersten 6 Ziffern der individuellen Kontonummer. Das, was hier angezeigt wird, wird von herkömmlichen Terminals ignoriert. Ihnen ist nur das wichtig, was auf dem Magnetstreifen steht. Wenn dort anderen Kontoangaben gemacht werden, bleibt das unbemerkt.
 

 
Die zweite Innovation von Dynamics ist die MultiAccound-Karte. Sie ist gedacht für Finanzunternehmen, die ihren Kunden mehrere Karten ausstellen, z.B. neben einer Debitkarte (Maestro u.a.) auch eine Kreditkarte (Master u.a.). Per Knopfdruck lässt sich die Karte umschalten und wird der Magnetstreifen für ihren Einsatz aktiviert.

Das mag für den einzelnen Kunden interessant sein, um sein Portemonnaie von Plastikballast zu befreien. Ein Mehr an Sicherheit bietet die Karte aber nur im Hinblick darauf, dass bei ihrem Verlust der Magnetstreifen nicht ausgelesen werden kann.

Auch für die MultiAccound-Karte gelten die Bedenken zur Kartensicherheit selber. Sie bietet zudem keinen Schutz vor Missbräuche der 16-stelligen Kreditkartennummer und der Prüfziffer, die hier nicht versteckt werden können.

 
So, wie die beiden Karten jetzt vorgestellt wurden, wirken sie eher wie technische Spielereien ohne eine durchgreifende Verbesserungen der Kartensicherheit.

Das Prüfverfahren im Terminal bleibt unverändert. Dort erfolgt aber in aller Regel das Ausspähen.

Die Hidden-Karte bietet mehr Schutz bei ihrem Verlust, weil das einfache Ablesen der Kontoinformationen verhindert wird.

Wie sicher die Daten in der Karte sind, bleibt offen. Insoweit ist Skepsis angesagt: "Intelligenz", also die Speicher-, Verarbeitungs- und Veränderungsfähigkeit, lassen befürchten, dass sie angegriffen und missbraucht werden können.

Interessant ist sicherlich die Überlegung, den Magnetstreifen erst beim Einsatz zu aktivieren. Damit könnte jedenfalls das Skimming erschwert werden, wenn die Aktivierung erst in einer geschützten Umgebung im Terminal erfolgen würde.

Auch dabei blieben die allgemeinen Fragen zur Kartensicherheit offen, also danach, ob die Karte selber hinreichend sicher ist.
 

(1) Dynamics Inc.

(2) Tom Simonite, Eine Karte für alle Fälle, Technology Review 20.09.2010

(3) Nils Baer, Programmierbares Plastikgeld: EC-Card wird auf Knopfdruck zur Kreditkarte, Basic Thinking 17.09.2010

(4) Wichtig: die Kreditkarten Nummern, kreditkarten-1a.de