Industrieverband untersucht Fehler in Kreditkartenprüfung

Der Industrieverband EMVco hat eine Untersuchung des von britischen Forschern entdeckten Fehlers in der Kreditkartenprüfung per Chip und PIN angekündigt. EMVco, das zu je einem Viertel den Kreditkartenunternehmen American Express, JCB, MasterCard und Visa gehört, entwickelt und verwaltet den EMV-Standard, der zur Absicherung von Zahlungen mit Debit- und Kreditkarten verwendet wird.

„EMVco wird eine eigene Analyse vornehmen und daraus Schlüsse ziehen“, heißt es in einer in der vergangenen Woche veröffentlichten Erklärung des Verbands. Genauso gehen laut EMVco die Anbieter von Zahlungssystemen vor.

Einem in der vorletzten Woche veröffentlichen Forschungsbericht zufolge weist das EMV-Protokoll einen fundamentalen Fehler auf. Forscher der Cambridge University führten in einem Fernsehbericht der BBC Kreditkartenzahlungen ohne Eingabe einer gültigen PIN aus.

MasterCard erklärte, der EMV-Standard unterliege einer kontinuierlichen Überprüfung, um sicherzustellen, dass er sich weiterentwickle und neuen Anforderungen entspreche. „Unsere Anstrengungen umfassen häufige und regelmäßige Kontrollen der Sicherheit, um zu gewährleisten, dass die neusten umsetzbaren Sicherheitsvorkehrungen benutzt werden.“

Nach Ansicht von Ross Anderson, Leiter des Forschungsteams der Universität Cambridge, gibt es keine einfache Lösung für das Problem. Es sei aber möglich, die von den Forschern beschriebene Angriffsmethode mit einer Software zu verhindern. Dafür müssten verschiedene Teile des Transaktionsverfahrens miteinander verglichen werden, um festzustellen, ob die Authentifizierung korrekt erfolgt sei.