Britische Forscher knacken Kreditkartenprüfung per Chip und PIN

Forscher der University of Cambridge haben einen fundamentalen Fehler im EMV-Standard gefunden, der zur Absicherung von Zahlungen mit Debit- und Kreditkarten verwendet wird. Er ermöglicht die Entwicklung von Geräten, die die Kommunikation zwischen einer Karte und einem Zahlungsterminal abfangen und verändern, um die Eingabe einer gültigen PIN-Nummer vorzutäuschen.

Professor Ross Anderson von der Cambridge University erklärte gegenüber ZDNet, die Absicherung per Chip und PIN sei künftig bedeutungslos. Er und seine Kollegen hätten Transaktionen durchgeführt, ohne eine korrekte PIN in ein Kartenlesegerät einzugeben. Der Test habe mit Kreditkarten von sechs unterschiedlichen Geldinstituten funktioniert, darunter Barclaycard, Bank of Scotland und HSBC. Der britische Fernsehsender BBC zeigt die von den Wissenschaftlern entdeckte Betrugsmethode in einem Video.

Der Fehler im EMV-Protokoll beruhe darauf, dass Karte und Terminal bei der Gültigkeitsprüfung mehrdeutige Daten erzeugten, die die Bank als gültig akzeptiere, so die Forscher. „Dadurch glaubt das Terminal, dass die korrekte PIN eingegeben wurde – und die Karte glaubt, dass die Zahlung mit einer Unterschrift autorisiert wurde“, sagte Saar Drimer, einer der Forscher der Universität Cambridge, gegenüber der BBC.

Mark Bowerman, Sprecher der UK Payments Administration, erklärte: „Wir nehmen den Bericht sehr ernst. Trotzdem widersprechen wir der Behauptung, dass die Authentifizierung per Chip und PIN geknackt wurde.“ Bisher gebe es keine Beweise, dass das von den Forschern entwickelte Verfahren für Kreditkartenbetrug in Großbritannien benutzt worden sei.

Laut BBC arbeiten einige Banken an einem Patch für die Schwachstelle. „Es gibt Möglichkeiten, den Chip und das PIN-System zu aktualisieren, damit diese Angriffe bei den meisten Transaktionen nicht mehr funktionieren“, sagt Sicherheitsforscher Steven Murdoch, der mit Anderson und Drimer an der Untersuchung mitgewirkt hat.