Interview: EC-Karten sind unsicher

Am Samstag war Andreas Pfitzmann beim Deutschlandradio zum Thema EC-Kartensicherheit zu hören (MP3). Hier ist das Transcript: Sehr schlechte Karten. Sieht alles ganz böse aus….

Andreas Pfitzmann: Die genauen Details einer solchen Masche kann man natürlich nicht vorhersehen. Was absehbar war, ist, dass es eine sehr schlechte Idee ist, ein System so zu bauen, dass Kunden gezwungen sind, ein Geheimnis wie ihre PIN einzugeben in ein fremdes Gerät. Und ein Bankautomat, egal wo er steht, ist erst einmal ein fremdes Gerät.

Solche Angriffe sind seit langem bekannt. Wir sagen den Banken, dass sie substantiell etwas tun müssen. Sie müssen letztlich ihr Konzept mit dem Elektronic Banking, mit den Geldautomaten, komplett überarbeiten. Aber die Banken sagen seit 15 Jahren: „Das ist uns zu teuer, das lohnt sich nicht, sollen doch die Kunden damit klarkommen!“

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

3 Ergänzungen

  1. Noch schlimmer: Es gibt Gerichtsurteile die bestätigen, dass die Bank nicht für den Betrug haften muss, sondern der Besitzer der Karte, da dieses Verfahren als „sicher“ eingestuft wird.

    Leider scheint es vollkommen egal zu sein, ob der Besitzer der Karte tatsächlich die PIN aufgeschrieben hatte oder kompromittiert wurde

  2. @1

    Das ist so nicht ganz richtig. Es gibt Gerichtsurteile des BGH, die die Beweislast dem Kunden auferlegen, dass er PIN und Karte nicht grob fahrlaessig aufbewahrt hat. Und es gibt ein BGH-Urteil, dass aussagt, dass es technisch unmoeglich ist in wenigen Stunden die Geheimziffer zu entschluesseln. Ich bezweifle stark, dass es heute noch Bestand haben wuerde, das es _mittlerweile_ etliche Gegenbeweise gibt, zumindest was das Klonen angeht.

    In anderen Laendern (z.B. Italien)ist z.B. uebliche Rechtssprechung, dass wenn mit einer geklonten Karte Geld im Ausland abgehoben wird, der Kunde sich zum selben (oder nahen) Zeitpunkt aber im Heimatland aufhaelt, die Bank den kompletten Schaden ersetzt (besser deren Versicherung). Waehrenddessen Automatenabhebungen in der „naeheren“ Umgebung als moeglicher Kartenmissbrauch durch Diebstahl mit PIN usw. angesehen wird und die Banken nicht zahlen muessen.

    Ich weiss nicht, ob es in der deutschen Gerichtswelt schon einen aehnlichen Fall, wie z.B. den der rumaenischen organisierten Banden, die in Italien stadtviertelweise Karten geklont haben, gegeben hat. Wenn ja wuerde mich das Gerichtsurteil interessieren, da es sich ja nicht um Einzelfaelle mit grober Fahrlaessigkeit geht, sondern hochspezialisierte Massenkriminalitaet.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.