Vorsicht vor falschen Versprechungen
Artikel erschienen in Swiss IT Magazine 2009/01
Visa Europa testet seit ein paar Monaten mit einer Handvoll europäischen Banken eine neuartige Kreditkarte, die das Einkaufen im Internet sicherer machen soll. Darunter auch die Corner Bank in der Schweiz. Die sogenannte Visa PIN Card basiert auf der bereits bewährten One-Time-Password-Methode. Im deutschen Sprachraum wird sie auch oft PIN-TAN-Methode genannt. Die neue Karte behält dabei das Format einer normalen Kreditkarte, was sehr erfreulich ist. Augenfälliger Unterschied zu einer heute erhältlichen Kreditkarte ist ein auf der Rückseite angebrachtes Display und zehn Zifferntasten. Über die letzteren gibt der Anwender bei einem Online-Einkauf seinen persönlichen PIN ein, um danach auf dem Display eine einmalig gütige Transaktionsnummer (TAN) abzulesen. Diese Transaktionsnummer benutzt der Anwender, um den Zahlungsvorgang im Online-Shop zu bestätigen.
Das Vorgehen erinnert stark an die Two-Factor-Authentication, wie sie bei vielen Remote-Access-Lösungen zum Einsatz kommt. Der erste Faktor ist die Karte selber, der zweite der persönliche PIN, um die Transaktionsnummer zu generieren. Letztere ist nur für eine kurze Zeit gültig. Ein Internet-Krimineller braucht also beide Faktoren, um einen Betrug zu vollziehen: Das bedeutet, er muss die Karte physisch vor sich haben. Sollte das Pilotprojekt Erfolg haben, würde dies wohl Internet-Betrügereien mit Kreditkarten mittel- oder langfristig stark eindämmen. Heute reicht einem Betrüger schon die Kreditkartennummer, der Name des Besitzers und der dreistellige CVC-Code, um Güter ein- und sofort weiterzuverkaufen und so an das gewünschte Geld zu kommen.
Der CVC-Code ist zum Betrug nicht mal zwingend notwendig. Viele Internet-Shops verhindern nicht mal eine Brute-Force-Attacke auf den CVC-Code, wenn die Kartennummer gültig ist. Das zeigen Studien immer wieder. Dabei operieren die Betrüger meist aus Ländern, die in diesem Bereich keine Gesetzgebung haben oder diese nicht anwenden. Unter dem Namen Carding floriert seit Jahren ein regelrechter Handel mit gestohlenen Kreditkarten-Sätzen.
Sie fragen sich nun vielleicht, wie die Betrüger an diese kompletten Kreditkarten-Sätze kommen? Dazu werden immer wieder Internet-Shops gehackt, in denen die benötigten Informationen in Datenbanken gespeichert werden. Oder die Angreifer installieren auf den betroffenen Systemen geheime Abhör- Software, die die Datensätze mitschneiden. Eine weitere Methode ist das Anwenden von Phishing-E-Mails, mit denen arglose Benutzer dazu gebracht werden, ihre persönlichen Daten anzugeben. Oder es werden ganze Harddisks mit solchen Sätzen gestohlen, manchmal gehen diese sogar verloren.
Mit der nur einmal gültigen Transaktionsnummer der Visa-PIN-Karte wird das Risiko des Datenmissbrauchs nun stark reduziert werden können. Voraussetzung ist natürlich, dass der Pilotversuch erfolgreich verläuft. Mit technischen Details ist Visa allerdings noch sehr zurückhaltend. Es bleibt also noch abzuwarten, wie sicher die Methode implementiert wird. Dennoch bewirbt der Kreditkartenherausgeber das neue Produkt vollmundig als die sicherste Kreditkarte überhaupt. Dabei darf allerdings nicht vergessen wer-den, dass die Karte erst wirklich einen Nutzen bringt, wenn alle Internet-Shops die neue Methode voraussetzen. Ansonsten suchen sich Betrüger einfach Shops aus, bei denen die alte Methode noch weiter funktioniert. Da die Umstellung bei den Händlern sicher noch ein paar Jahre in Anspruch nehmen wird, kann vorerst kaum von mehr Sicherheit für den Endkunden die Rede sein.
Patrick Michel arbeitet als Senior Security Systems Engineer beim Sicherheitsanbietern Fortinet.