- Projekt des Informatikkurses 13 IF 1
Thema: Kryptologie
Unterthema: PIN / Elektronische Geldgeschäfte
Gliederung: 1. Was ist eine PIN? (in Arbeit)
2. PIN im Internet
2.1. Kreditkarte
2.2. Anonymität gewährleistet?
- PIN im Internet
2.1. Kreditkarte
Die wohl offensichtlichste Möglichkeit für Geschäfte im Internet ist es, Zahlungen über Kreditkarten abzuwickeln. Dabei wird die Nummer der Karte in einem Formular eingegeben und zum Verkäufer übermittelt. Diese Möglichkeit wird schon seit langem (auch ohne Verschlüsselung) eingesetzt. Dabei kam es zu zwei Problemen. Zum einen wurden Übertragungen angezapft und Nummern auf dem Weg zum Verkäufer ausgespäht. Dies wird durch die Verwendung eines sog. SSL Protokolls weitgehend ausgeschlossen. Von einer Verwendung von Kreditkarten ohne solche Sicherheitsprotokolle wird abgeraten. Zum anderen wurden Kreditkartennummern aus unzureichend gesicherten Servern von Läden kopiert.
2.2. Anonymität gewährleistet?
Die Anonymität des Benutzers hat bei elektronischem Geld einen höheren Stellenwert als bei Bargeld oder etwa bei Kreditkarten. Bei einer Bezahlung durch Bargeld ist die Anonymität des Käufers absolut gewährleistet. Er kann nicht anhand der Geldscheine identifiziert werden.
Anders verhält es sich bei Kreditkarten. Hier erfährt der Verkäufer die Identität des Käufers. Des weiteren wäre es der Kartengesellschaft theoretisch möglich, eine komplette Akte über die Kaufgewohnheiten des Benutzers anzulegen.
Die Hinweise, die ein Benutzer bei einem Erwerb hinterläßt, werden auch als "Datenspuren" oder "digitale Schleimspur" bezeichnet. Dabei ist möglich, kryptologische Systeme für elektronisches Geld so zu entwerfen, daß weder der Käufer, noch die Bank die Identität des Kunden erfährt.
Ist der PIN-Code unsicher ?– Verbraucherschutz
Alle auf einer EC-Karte gespeicherten Daten sind nach jüngsten Berichten des ZDF entgegen den Beteuerungen der Banken nicht sicher. Die PIN- Nummern seien ohne großen Aufwand und ohne spezifische Kenntnisse zu entschlüsseln. .Dennoch erklärt die Zentrale für Kreditausschuß des Bankgewerbes, daß das Verschlüsselungssystem der EC- Karten (PIN) nach wie vor "völlig sicher" sei.
In keinem konkreten Fall habe bisher eine Entschlüsselung des Codes nachgewiesen werden können.
Hingegen halten die Verbraucherverbände das 20 Jahre alte EC- Sicherheitssystem für "museumsreif". Es müsse dringend die Einführung eines neuen, sichereren Systems in Angriff genommen werden.
Es wird erwartet, daß die Banken auch weiterhin die Sicherheit des EC- Systems behaupten werden. Ein sichereres System mit längeren Schlüsseln wäre teuer.....
Berichte, wonach der PIN-Code mit einem Zusatzgerät zum Computer geknackt werden könnte, seien falsch. Selbst wenn es gelänge, die Quote für Wahrscheinlichkeitstreffer mit einem Computer zu erhöhen, würde ein Entschlüsselungsversuch an den Bankautomaten scheitern. Diese ließen nämlich nur drei Versuche zur Eingabe der richtigen Geheimnummer zu.
Inteview in der Bildzeitung vom Februar ´98 mit Andy Müller- Maghun (von CCC = Chaos Computer Club):
"Mit den richtigen Computerprogrammen können die Verbrecher eine Liste mit 100 Geheimzahlen, den sogenannten PIN-Codes, ausdrucken. Darunter ist immer auch die tatsächliche Geheimzahl der jeweiligen EC-Karte. Sie probieren einfach alle Nummern durch. Dafür schalten sie die Automatik des Geldautomaten aus, die normalerweise nach der dritten falsch eingegebenen Geheimzahl die Karte einbehält. Auch dieser Mechanismus ist auf dem Magnetstreifen gespeichert – und kann mit dem Lesegerät verändert werden."
Bei der Einführung der EC-Karten vor 20 Jahren gingen zudem die Banken davon aus, daß ein Hacker um die 1.900 Jahre benötigen würde, um mit einem Computer den Code zu knacken. Mit handelsüblichen PCs vom Typ Pentium soll das heute in nur einer Stunde zu erledigen sein
Chaos mit EC-Karten – Fehlbuchungen in Millionenhöhe - ein Beispiel
Wegen einer Computerpanne ist rund 13.000 Bank-Kunden an zwei Tagen das Hundertfache der Beträge abgebucht worden, die sie zu zahlen hatten ; offensichtlich kannten die Bank- Computer der BIK in Frankfurt am Main kein Dezimalkomma mehr. Dabei wurden insgesamt 270 Mio. DM von Privatkonten statt 2,7 Mio. DM an 1.200 Geschäfte und Tankstellen überwiesen.
Meine Emailadresse: ulrich@gym-no.mz.rp.schule.de