Jaro's Techno Ecke präsentiert : PINs und POSsen Ein jeder von uns schleppt ständig mehrere kleine Freunde mit sich herum, die das Leben so einfach machen und sich auch noch wundersam vermehren: Kredit-, EC- oder Kundenkarten. Alle diese Karten stellen einen Ersatz für Bargeld dar und sind daher auch vor Mißbrauch schützenswert. Für den direkten, also elektronischen, Einsatz der Karten gibt es dazu einige nette Mechanismen: EC- und Kreditkarten haben auf ihrer Rückseite einen Magnetstreifen, der insgesamt 105 Zeichen in 27 Feldern speichert und der bei der beabsichtigten Transaktion ausgewertet wird. Das Verfahren ist einfach und doch trickreich: Wird eine solche Karte in den Leser einer POS (Point-of-Sale) Kasse oder eines Geldautomaten (ATM = Automatic Teller Machine) gesteckt, wird zuerst festgestellt um welche Kartenart es sich handelt. Nur falls das jeweilige Terminal die Kartenart mag, wird im zweiten Schritt ausgelesen, welches Bankinstitut die Karte ausgibt und welcher Netzbetreiber für die Autorisierung zuständig ist. Dies können Rechenzentren der einzelnen Banken oder Clearingstellen, wie die Gesellschaft für Zahlungssysteme (GZS), sein. Es ist relativ einfach, rohe Karten zu bekommen und in deren Magnetstreifen gültige Informationen gestohlener EC-Karten zu kopieren. Um das zu erkennen, gibt es bei EC-Karten ein sogenanntes maschinenlesbares Merkmal (MM). Es besteht aus einem unsichtbaren und (angeblich) fälschungssicheren Strichcode in der Mitte des Kartenmaterials, der nur mit einem speziellen Lesegerät im Infrarotbereich gelesen werden kann. Nur wenn dieser Strichcode, nach einer Verschlüsselung, mit dem Kartensicherungscode im Feld 20 des Magnetstreifens der Karte übereinstimmt, ist die Karte nicht gefälscht. Bei Kreditkarten gibt es das MM nicht, da genau an dieser Stelle die Kartennummer eingeprägt ist. Bei der EC-Karte oder bei Geldautomaten für Kreditkarten kommt jetzt die berühmte PIN (Personal Identification Number) ins Spiel. Diese wird vom Benutzer eingegeben und mit den anderen Kartendaten verschlüsselt in das heimische Rechenzentrum gesandt. Zur Verschlüsselung wird dabei das amerikanische DES (Data Encryption Standard)-Verfahren angewandt. Als Schlüssel stehen zwei Alternativen zur Wahl. "Spricht" man mit dem Geldautomaten seiner Hausbank, wird ein Institutsschlüssel verwendet; spricht man mit einer fremden Bank, so wird ein Schlüssel aus einem allgemeinen Pool verwendet. Ein Beispiel: Von der Karte wird gelesen: Bankleitzahl 12345678, Konto-Nr. 1234567890, Kartenfolge-Nr. (bei mehreren Karten zu einem Konto) 1. Ergibt zusammen die zu verschlüsselnde Folge 4567812345678901. Nach der Umwandlung mit einem Pool- oder Institutsschlüssel kommen dabei 8 Bytes (= Zeichen) in hexadezimaler Schreibweise, z.B. 104D78ACDD36829F, heraus. Davon werden jetzt nur das dritte und vierte Zeichen verwendet, also 78AC. Mit einer geheimen Konvertierungstabelle werden diese vier Ziffern einzeln in andere Ziffern übersetzt, z.B. in 4378. Wurde ein Poolschlüssel verwendet, muß jetzt noch ein Offset addiert werden, der jeweils vom Zentralen Kreditausschuß veröffentlicht wird und ebenfalls auf der Karte gespeichert ist. Mit einem Offset von 7307 ergibt sich, bei stellenweiser Addition ohne Berücksichtigung der Zehner, die Zahl 1675. Das ist die errechnete PIN. Stimmt diese mit der eingegebenen überein, so geht das System davon aus, daß der richtige Kunde draußen vor der Türe auf sein Geld wartet. Dieses Verfahren ist insofern sicher, als man ohne Kenntnis der Schlüssel und der Konvertierungstabelle nicht die PIN aus den Kartendaten gewinnen kann. Da die PIN nicht unverschlüsselt über die Leitung gejagt wird, nicht auf der Karte selber gespeichert wird und alle zur Berechnung notwendigen Informationen nur auf dem Zentralrechner der Bank lagern, ist kaum Angriffsfläche für die bösen Hacker vorhanden. Die PIN zu erraten, ist müßig, da man nur drei Versuche hat. Ein entsprechender Zähler wird auch auf die Karte (Feld 12) geschrieben. Nach dem dritten Fehlversuch - Futsch. Bei Bezahlung mit Kreditkarten in Geschäften oder mit EC-Karten an manchen POS-Kassen (z.B. in vielen Bekleidungsgeschäften) wird keine PIN eingegeben, sondern die Transaktion per Unterschrift autorisiert. Stimmt bis jetzt alles, gibt es immer noch ein paar Hürden zu nehmen. So wird im Rechenzentrum geprüft, ob die Karte aus Gründen wie z.B. Diebstahl oder Bonitätsproblemen gesperrt ist. Auch in diesem Fall - ade Karte. In Feld 8 und 9 des Magnetstreifens steht nämlich, wieviel Geld in welchem Zyklus (institutsabhängig, 1 bis 99 Tage) abgehoben werden darf. Sind es also z.B. 2000 DM pro Woche, oder 400 DM am Tag. Ist dieses Limit überschritten - sorry. Zusätzlich kann auch festgelegt werden, daß an Geldautomaten nur einmal am Tag abgehoben werden darf, egal wie groß die ausgegebene Summe (im Rahmen der obigen Limits) ist. Bei POS-Kassen ist diese Beschränkung inaktiv. Und damit der liebe Benutzer nicht auf die Idee kommt, einfach zu einem Automaten einer anderen Bank zu gehen, wird die Information über erfolgte Abhebungen dieses Tages bzw. des laufenden Zyklus auch auf der Karte gespeichert und mit den Limits verglichen. Auch jeder fremde Automat wird sich dann standhaft weigern seiner heiligen Pflicht nachzukommen. Ist aber alles in Ordnung, fängt der Automat an Geld auszuwerfen, bzw. das Verkaufspersonal bekommt ein glückliches Gesicht. Und wieder ist es Zeit etwas in Ehrfurcht zu schwelgen, ob der technischen Wunder, die hinter der simplen Bezahlung einer Tankrechnung stehen! Übrigens was tut Ihr, um euch die eine oder andere PIN zu merken? Die Banken scheinen uns da etwas entgegenzukommen: Ich habe feststellen müssen, daß bei SÄMTLICHEN meinen Karten mit PIN, und das waren in den letzten 10 Jahren mehr als 30, in der PIN IMMER mindestens eine Ziffer doppelt vorgekommen ist (z.B. 1351). Mir ist keine offizielle Aussage dazu bekannt, aber es scheint System zu haben. Sollte jemand ähnliche (oder zur Not auch gegenteilige) Erkenntnisse haben, würde ich mich über ein entsprechendes Feedback freuen. Bis zum nächsten Mal und Gruß an euren Lieblingsgeldautomaten JARO Quellenangabe: iX, 10/1991, S. 80-83