Verified by Visa bzw. Mastercard Securecode

Nach Schulnoten sind beide Verfahren mindestens eine 7, hinsichtlich des Sicherheitsgewinns eine 11 bis 12. (Zur Referenz: Mit 6 fällt man durch, 7 bedeutet man wäre für den Schulalltag untragbar.)

Ich habe eine Visa-Karte. Bislangen wurde ich allerdings kein Opfer von VbV, entweder weil es meine Karte noch nicht kann, oder weil ich bisher glücklicherweise bei den richtigen Webshops eingekauft habe. Was ich hier schreibe ist also Hörensagen, gehe aber davon aus, ich habe es richtig verstanden.

Man muss vorausschicken, dass VbV nicht nur Snakeoil ist. Snakeoil ist nur dann angebracht, wenn es nur einen trügerischen Sicherheitsgewinn schafft, aber ansonsten nicht weiter schädlich ist. Dies ist bei VbV eben nicht so, es schafft nicht nur eine trügerischen Sicherheitsgewinn, es ist außerdem noch direkt schädlich. Daher die Schulnote 7 (destruktiv).

Aus Expertensicht - und ich bin nicht einmal einer, ich bin nur Diplommathematiker, der sich auf Algorithmen (aka. Informatik) spezialisiert hat - ist die Sache noch viel schlimmer. Sie ist nicht nur destruktiv, sondern eine Unmöglicherkeit.

Mal anders ausgedrückt hier ein Gleichnis:

Wenn ein 6-jähriger ein Verschlüsselungsverfahren entwickelt um mit seinen Freunden geheime Botschaften auszutauschen, können Kryptoexperten darüber nur meistens lächeln. Derartige Verfahren sind so naiv, dass sie einer ordentlichen Kryptoanalyse nicht standhalten.

Allerdings gibt es talentierte Kinder, denen es durchaus gelingt, Verfahren zu entwickeln, die deutlich schwerer zu knacken sind als Enigma, die Verschlüsselungsmaschine die im 2. Weltkrieg eingesetzt wurde und die zu knacken es erst einmal einen genialen Mathematiker vom Schlage des Alan Turing benötigte der damit einen Grundstein für die moderne Kryptoanalyse legte.

Einem Kind ist es nachzusehen, wenn es ein in der Praxis untaugliches Verfahren herstellt. Wenn dasselbe ein Kryptoexperte tut, handelt er allerdings bereits vorsätzlich, denn es gehört zu seinem Beruf, zu wissen, dass derart naive Verfahren nichts bewirken und somit als schädlich angesehen werden müssen.

In Sicherheitskreisen ist allgemeine Auffassung, dass Scheinsicherheit schlechter ist als gar keine Sicherheit. Ein schlechtes (scheinsicheres) Verfahren ist somit grundsätzlich als schädlich anzusehen. Wer solch ein Verfahren dann auch noch obligatorisch macht, der handelt vorsätzlich grob fahrlässig, oder landläufig gesagt, offensichtlich in betrügerischer Absicht.

Genau das muss man jetzt Visa und Mastercard zum Vorwurf machen, nämlich dass die Kreditorganisationen mit der obligatorischen Einführung von "Verified by Visa" bzw. "Mastercard Securecode" vorsätzlich in betrügerischer Absicht handeln.

Im weiteren Text erkläre ich, wieso.

Warum das Verfahren nicht hilft

Kennen Sie die Filme, bei denen die Paranoia einer Figur dadurch dargestellt wird, dass er seine Tür mit vielen Schlössern versehen hat?

Genau so handeln die Kreditkartenorganisationen. Um die Online-Sicherheit zu verbessern bauen sie weitere Schlösser in die Tür, und behaupten, so wäre es sicherer.

Sicherer aber würde es nur, wenn sie eine andere Art Schloss verwenden würden, was sie nicht tun.

Augenscheinlich scheint es sich zwar um eine andere Art Schloss zu handeln, aber technisch ist das nicht der Fall.

Wie eine andere Art Schloss aussehen könnte

Eine andere Art Schloss führt uns Google mit der 2 Factor Auth vor. Die ist zwar auch nicht unbedingt das, was ich "das grüne vom Ei" nenne (scherzhaft), also nicht wirklich ein deutlicher Sicherheitsgewinn, aber zumindest ist das, was Google tut, ein Schritt in die richtige Richtung. Das ist bei dem was die Kreditkartenfirmen taten eben nicht der Fall.

Ein zusätzliches Schloss anderer Art müsste über einen Kanal laufen, den ein Angreifer auf das Verfahren nicht kontrtollieren kann. Also z. B. wie das mTAN-Verfahren bei den Banken per SMS auf das Handy. Das wäre ein zusätzlicher Kanal, den man nutzen könnte, aber genau das wurde nicht gemacht.

Interessanterweise ist das mTAN-Verfahren dem iTAN-Verfahren in Punkto Sicherheit deutlich unterlegen. Mit iTAN konnte ein Angreifer ohne Mitwirkung des Kontoinhabers das Verfahren nicht knacken. Dank mTAN gehört das der Vergangenheit an, ein Angreifer der das Mobilfunktelefon kontrolliert kann jetzt unberechtigt voll über das Konto verfügen, ohne dass der Kontoinhaber davon auch nur die Spur mitbekommen muss.

Der momentane Sicherheitsgewinn liegt alleine daran, dass es zur Zeit keinen bekannten Angriff dieser Art gibt. Die Zeit wird sich eher in Monaten denn in Jahren rechnen, in denen die Angreifer umgelernt haben werden. Die Banken haben mit mTAN somit die modernen Mobilfunkplattformen zum Angriffsziel Nummer 1 gemacht. Ob das auf lange Sicht gut oder schlecht war wird sich zeigen.

Im Falle der Kreditkartenzahlung im Internet würde die Nutzung eines Handys bedeuten, dass tatsächlich ein deutlicher Sicherheitsgewinn entstünde. Tatsächlich nutzen manche Kreditkartenorganisationen das Telefon mit geschultem Personal um entsprechende Transaktionen zu bestätigen.

Ich hatte den Fall schon mehrfach, dass bei "ungewöhnlichen Transaktionen" das Kreditkartenunternehmen von der Kartenakzeptanzstelle verlangte anzurufen und mir den Telefonhörer zu geben. Dasselbe könnte man auf dem Mobiltelefon des Kartenkunden machen. Dass dies die Sicherheit des Verfahrens zumindest nicht beeinträchtigt kann man hier deutlich erkennen.

Warum das neue Verfahren kein neuer Kanal ist

Wenn ein Angreifer als MitM agieren kann, egal ob durch Trojaner oder auf Netzebene, bietet das neue Verfahren keinerlei Schutz. Dies habe ich bereits 1998 den Banken erklärt, als sie die Beweislast beim Online-Banking auf den Kunden abwälzen wollten.

Nach einer leicht panikhaften Reaktion der Bank damals wurde ihr vom Experten vom Bakenzentralverband dann erklärt, dass das doch alles schon lange bekannt sei. Mein Einwand (dass man darauf keine Beweislastumkehr stützen kann) wurde also als vollkommen richtig bestätigt. Da fragt man sich doch, warum die Bank das in ihren Klauseln gegenteilig formulierte.

Wenn das alles aber schon 1998 bekannt war, warum kommen uns die Kreditkartenorganisationen jetzt wieder mit diesen ollen Kamellen und behaupten, die Sicherheit zu erhöhen wenn dies faktisch das Gegenteil der Fall ist?

Für den Angriff ist übrigens kein Trojaner notwendig. Für den unbedarften Surfer reicht einfaches Umleiten aus. Selbst für den gut ausgebildeten Surfer ist kein Trojaner notwendig, es reicht die Nutzung eines vorher akzeptierten Self-Signed-Certificates.

Nutzer moderner wLAN-Gateways haben vermutlich ein solches Zertifikat bereits auf ihrem Rechner. Es ist zwar nicht ganz so einfach das zu nutzen, aber hier geht es dann ja nicht um den ungezielten Angriff auf Lieschen Müller, sondern um gezielte Angriffe die etwas Recherche wie z. B. das Ausspähen des wLAN-Schlüssels um unbemerkt in das wLAN einzudringen oder den Einsatz eines IMSI-Catchers enthalten.

Fakt ist, dass ein solcher Angriff möglich und sogar relativ einfach ist, ohne direkte Spuren zu hinterlassen. Ein Nachweis des Angriffs ist anschließend also nicht mehr möglich, anscheinlich hat solch ein Angriff sogar niemals stattgefunden! Der einzige "Beweis" für den Angriff ist somit die nichtautorisierte Transaktion.

Technisch heißt das, wenn der Angreifer einen einzigen Kanal kontrollieren kann, hat er das Verfahren geknackt. Es reicht also wenn er das Netzwerk des Kontoinhabers oder den Webshop kontrolliert, und der angebliche Sicherheitsgewinn ist dahin.

Allerdings suggeriert das Verfahren ein höheres Vertrauen, was die Wachsamkeit erniedrigt. Sicherheitstechnisch bedeutet der angebliche Sicherheitsgewinn somit eine deutliche und direkte Schwächung der Sicherheit.

Was das neue Verfahren verhindert

Es werden zwei Szenarien verhindert durch das neue Verfahren:

  • "Zufälliger Diebstahl" der Karte: Eine ohne zusätzliche Informationen gestohlene Karte ist somit für Online-Transaktionen nicht mehr zu gebrauchen. Oder fast nicht. Tatsächlich wird es sogar in einigen Punkten schlechter, siehe unten.
  • "Unbedarftes Phishing": Das Abphishen der einfachen Kreditkartendaten durch ein (nicht auf die neuen Gegebenheiten angepasstes) Fake-Formular wird verhindert. Dazu muss man sagen, dass die Anpassung eines Phishing-Formulars auf die neuen Gegebenheiten schnell und einfach machbar sind. D. h. hier wird überhaupt nichts verhindert.
Somit verhindert das nur eine einzige Sache, nämlich die Nutzung von offline erhaltenen Kreditkarteninformationen im Online-Zahlungsverkehr. Selbst das wird in Zukunft immer weniger wichtig, da in Zukunft immer mehr Offline-Bezahlstellen auf die "bequemere" Online-Verfahren umstellen, d. h. ich kaufe zwar Dinge im Laden, bezahle aber auf einem Internetterminal über den Webshop.

Diese Entwicklung können Kreditkartenorganisationen gar nicht verhindern. Jeder Laden der auch einen Online-Shop hat wäre dumm, das nicht zu machen. Erstens spart das Personal, denn das Terminal können die Leute ganz in Ruhe nutzen ohne irgendjemandes Zeit in Anspruch nehemen zu müssen. Das spart außerdem Personal und erübrigt die Prüfung der Unterschrift, die sowieso die wenigsten Shops überhaupt Gewissenhaft durchführen.

So gesehen steigern POS-Terminals die Servicequalität, vereinfachen Abläufe und machen sie effizienter, und können so - richtig genutzt - sogar der Sicherheit dienen (jedenfalls aus Sicht der Akzeptanzstellen. Dass das für die Kunden eine Verschlechterung darstellt kann der unbedarfte Kunde nicht erkennen, dazu ist nicht einmal das "shiny Verified-by-Visa-Logos" notwendig).

Wem geht es beim Bezahlen an der Supermarktkasse nicht ebenso wie mir, wenn er sehen muss, wie umständlich sich die Leute beim Bezahlen anstellen?

  • Die 15 Jahre alte Oma, die mühsam die Pfennige im Portemonnaie zusammenzählt um den Betrag auch ganz besonders passend zusammenzubekommen?
  • Derjenige, der schon zum 2. Mal die PIN falsch eingegeben hat, worauf die Kasse verweigert und der Schlüssel zum Reset geholt werden muss?
  • Übliche Transaktionsfehler, weil gerade mal was nicht klappt. Oft ist nicht die PIN schuld, sondern die Karte wurde zu früh gesteckt oder zu früh rausgezogen.
  • Das Rumnesteln, bis man endlich die richtige Karte gefunden hat.
  • Das kritische Prüfen der Unterschrift. Ja, gerade wenn mal ein Verkäufer die Unterschrift prüft wird es besonders unangenehm, denn so eine Prüfung braucht mindestens 10 Sekunden, in denen ein geübter Verkäufer bereits einen halben Einkaufswagen über die Scanner geschoben hätte.
  • Wenn man so freundlich war, jemanden mit nur einem einzigen Produkt vorzulassen, und der dann 15 Minuten an der Kasse braucht, weil er in seinen 150 Taschen nach den fehlenden 10 Cent sucht.
Ich bin jedenfalls egoistisch veranlagt. Wäre ein POS-Terminal da - Gegenbeispiel allerdings ist IKEA, das funktioniert da so quälend langsam, dass es ein Witz ist - würde ich es verwenden. In der Zwischenzeit könne der Kassierer bereits die Waren vom nächsten Kunden scannen, die Schlangen an den Kassen könnten um 1/3 kürzer werden! Und genau das ist es, warum ich als Kunde(!) solche POS-Terminals begrüßen würde.

Nebenbei würde das die Kassierer entlasten. Die Kontrolle des Geldes ist nämlich wirklich etwas, das diesen Leuten abgenommen werden könnte, um die Qualität des Arbeitsplatzes zu steigern. Es muss ja nicht so aussehen wie in REWE in Mitteldeutschland, mit diesen martialisch aussehenden gepanzerten Geldautomaten an jeder Kasse.

Was das neue Verfahren nicht verhindert

Die Vorteile sind also nur marginal oder sogar noch schlimmer, eher nur scheinbar. Vielleicht verhindern sie einen gerade besonders stark vertretene Form des Betruges. Leider wird er sich in Windeseile den neuen Erfordernissen anpassen, ich gehe von maximal einem Jahr aus, das man sich so erkaufen kann.

  • MitM z. B. durch Kontrolle der Shop-Website: Wenn man bei einem unsicheren Shop einkauft wird überhaupt nichts verhindert. Der Shop kann die "Verified"-Seite zu 100% nachbauen. Der Unterschied zwischen dem Original und dem Nachbau kann sich einem normalen Menschen nicht ergeben. Die persönliche Begrüßung übrigens bietet keinerlei Schutz. Es reicht einein einzigen Shop zu kontrollieren, und alle Sicherheitsmaßnahmen der Kreditkartenorganisation laufen ins Leere. Wird der Shop erkannt und blockiert wird halt auf den nächsten umgeschaltet. Bei über 100 Millionen infizierter PCs ist dies zu Gewährleisten für halbwegs intelligente Botnetzbetreiber überhaupt kein Problem.
  • Nutzung uninitialisierter Karten: Ein besonderes Feature ist, dass der Kunde seine Karte mit einem persönlichen Kennwort und einer persönlichen Begrüßung versehen kann. Viele Leute werden das nicht tun. In meiner Verwandschaft kenne ich einige, die ihre Karte niemals Online einsetzen geschweige denn mit diesem "Verified by Visa" überhaupt klarkommen, da sie Online-Banking noch niemals gemacht haben und mich fragen würde, wenn so etwas erforderlich wäre. Diese Karten sind uninitialisiert. Die Sicherheitsfunktion zur Einrichtung - so höre ich - fragt aber keine Daten ab, die sich nicht oft auch in der gleich mitgeklauten Handtasche, z. B. der mitgeklauten EC-Karte, Ausweis usw., befinden. Wie soll das auch anders sein? Gäbe es eine weitere PIN, man bräuchte diese ganze Sache mit der Personalisierung ja nicht.

Das Fehlverhalten das das neue Verfahren fördert

Das neue Verfahren löst nichts, es macht die Situation aufgrund der damit erkauften Verunsicherung und Training der Kunden in die falsche Richtung viel schlimmer als vorher!

Und folgende sicherheitskritische fehlerhafte Verhalten werden sogar noch gefördert:

  • Phishing: Das ist eine sehr interessante neue Möglichkeit. Ich rede mir den Mund fusselig, dass man online niemals seine Kontonummer irgendwo anders eingibt, als auf der Seite der Bank. Aber auch nur, wenn man die Seite der Bank direkt und selber angesurft hat, also niemals in ein Popup oder eine Seite, die automatische geöffnet wurde. Wir haben keine andere Möglichkeit es den Leuten anders beizubringen. Den Unterschied erkennt ja oft nicht einmal der geschulte Experte, wie soll es da Otto-Normalsurfer erkennen können? Und jetzt kommen diese Gegenteile von Genies von Kreditkartenunternehmen daher, und machen den in den letzten 10 Jahren mühsam errungenen Lernerfolg zunichte, bevor er überhaupt eine Chance hatte, sich zu etablieren. Da kann man eigentlich nur noch Forest Gump zitieren: "Dumm ist, wer Dummes tut."
Meine Mutter ist so schlau, dass sie zur Sichereit ihre Kontonummer niemals online in einen Computer eingibt. Nicht ins Web, sie schickt sie nicht per eMail oder faxt sie. Sie macht nur beleghafte Überweisungen, und um ihre Kontonummer anderen mitzuteilen schreibt sie einen Brief oder ruft an. Einfach, gut, effizient und vor allem, extrem vernünftig. Aber erklärt das mal den Kreditkartenorganisationen, die die Kontonummer zur Freischaltung diese ach-so-tollen neuen "Schutzfunktion" benötigen, und zwar online!

Ich habe meiner Mutter beigebracht, dass die Kreditkarte für sie die sicherste Bezahlungsmethode im Internet darstellt. Da sie aber niemals an VbV teilnehmen kann, jedenfalls nicht ohne meine Hilfe, wird sie wohl ihre Kreditkarte nicht mehr benötigen, sobald dieses oder ein ähnlich schlcht konstruiertes Verfahren zum Einsatz kommt.

Meine Mutter wird mich fragen. Ich werde ihr erklären, dass mit VbV der Einsatz der Kreditkarte im Internet für sie gefährlicher wird als bisher. Eben weil die Banken dieses neue Sicherheitsmerkmal - wie inzwischen bekannt - entgegen der Beteuerung einer offensichtlich dubionen Bankenvereinigung (jemand der offensichtlich falsche Aussagen in den Ring wirft ist dubios) gegen den Kunden in Stellung bringen.

Das wird sie nicht sofort zur Kündigung bringen, aber sie wird ihre KK nicht mehr online einsetzen (weil sie nicht teilnimmt und es also nicht mehr kann). Nach 1-2 Jahren wird sie die KK dann kündigen, weil sie sie nicht mehr nutzt. Ich werde meine Konsequenz schneller ziehen - ich kündige 2 meiner 3 Kreditkarten und werde die eine vermutlich auch seltener und seltener einsetzen, bis ich ebenfalls damit aufhöre.

Bisher war das Argument für den Einsatz der Kreditkarte: "Wenn etwas schiefgeht bleibt kein Schaden an Dir hängen" Mit diesem Argument habe ich mehrere Leute für eine Kreditkarte überzeugen können! Aus Kundensicht(!) ist(war) somit die Kreditkarte das sicherste Zahlungsmittel der Welt!

In Zukunft gibt es dieses Argument nicht mehr. Vor Kreditkarten mit zusätzlichem Sicherheitsmerkmal kann ich nur deutlich und vehement warnen! Sie sind dann nicht einmal mehr besser als das Online-Bezahlverfahren mit EC-Karte, denn sie sind viel teurer. Das Kündigen der KK und Abschließen einer entsprechenden Versicherung gegen Missbrauch, die übrigens auch und gerade die EC-Karte abdeckt, kommt somit viel billiger!

Auch das Argument, man kann Kreditkarte im Ausland einsetzen, zieht nur sehr bedingt. In Europa ist EC genauso gut wie Kreditkarte, wenn nicht sogar besser. Selbst in China konnte ich mit der EC-Karte günstiger Geld abheben. Die Kreditkarte ist und bleibt beim Bezahlen der Hotels eine Bequemlichkeit, für die sich aber eine zweistellige Jahresgebühr nicht lohnt, denn Hotels nehmen auch sehr gerne Bargeld das man sich günstig aus jedem ATM inder Nähe besorgen kann. Und nötigenfalls gibt es genügend kostenlose Kreditkartenangebote, die man rechtzeitig zu einer solchen Reise beantragen und dann rechtzeitig vor Entstehen von Kosten wieder kündigen kann.

Und für die restlichen Fälle dass man doch noch eine KK braucht weil das die einzige Bezahloption ist (mir fällt eigentlich nur Disneyland Paris ein das man nur und einzig mit Kreditkarte buchen kann), reicht dann eine einzige Kreditkarte irgendwo in der Familie. Irgendwer hat schon ein Konto bei dem die KK kostenlos dabei ist.

Ein einziges Argument bleibt dann noch für die Kreditkarte:

Ich gebe meine PIN ungern in irgendwelche Maschinen ein. Ich weiß nicht wieso, aber die POS-Terminals sind mir ein Greuel. Vermtulich weil ich zuviel darüber weiß (z. B. warum man sie an und zu mal wiegen sollte um zu erkennen, ob sie manipuliert wurden). Deshalb verwende ich die Kreditkarte wann immer ich kann.

Aber auch das rechtfertigt die Kosten nicht, denn die gegenüber der Kreditkarte günstigere Missbrauchversicherung kann dieses Risiko dann abfangen.

Was den Kunden in dem kurzen Intermezzo mit dem neuen Verfahren jetzt beigebracht wird, werden wir in den nächsten 20 Jahren oder so (ja, so lange hält sich ein solcher falscher Usus mindestens) ausbaden dürfen.

Der einzige Trost ist, dass die Situation in wenigen Jahren dank der "Maßnahmen" der KK-Unternehmen wohlmöglich so drastisch verschlechtern wird, dass die KK-Unternehmen keine andere Wahl haben werden, um etwas einzuführen, das dann wirklich eine Verbesserung darstellt.

Wenn sie aber nicht aufpassen überholt die EC-Karte aber die Kreditkarten urplötzlich. EC führt mit dem Offline-TAN-Generator etwas ein, das durchaus auch in den Usus der Leute übergehen kann.

Die EC-Generatoren dieser ersten Generation haben zwar noch einige Fehler und Schwachstellen, aber das wird über die Jahre sicher mehr und mehr beseitigt:

  • Es ist zu teuer: Dem Kunden für dieses Gerät eine Gebühr abzuverlangen das dem Kunden keine zusätzliche Sicherheit bietet sondern lediglich den Geldunternehmen Geld spart ist eine Unverschämtheit.
  • Es ist unbequem: Man muss das Gerät immer dabei haben. Sinnvoll wäre, es ins Handy zu integrieren, aber so, dass es unabhängig vom Geräte-OS funktioniert, und auch dann wenn der Akku leer ist.
  • Es ist zu unflexibel: Dass man die EC-Karte stecken muss ist in Ordnung. Aber diese Bildschirm-Blinkerei ist ein Witz. Das hat schon mit Timex-Datalink schlecht funktioniert. Stichworte sind hier NFC, SMS und - als Fallback - diese Bildschirmsache wenn nichts anderes möglich ist, dazu noch eine Art TAN die man eigeben muss.
  • Es ist unbequem: Das Handling finde ich einfach zu kompliziert. Man steckt die Karte, sieht eine TAN, muss sie eingeben. Bäh. Steinzeit.
An sich wäre ich ja für eine Integration in die EC-Karte. Einfach ePaper auf die Karte integrieren. Es ginge auch stromlos per OLED, wenn diese lange genug nachleuchten:

  • Man steckt die Karte. Die Karte lernt die Bezahlung und zeigt sie an.
  • Man zieht die Karte und sieht die Transaktion auf deren Display angezeigt.
  • Man steckt die Karte und autorisiert so die Bezahlung.
Will man nicht bezahlen, steckt man die Karte nicht. Das Token verfällt nach 1 Minute.

Einfach, sicher, effizient.

Alles was man dann am PC braucht ist eine Tastatur mit Kartenslot. NFC-Terminals wären auch nicht notwendig.

Fehlt noch eine PIN-Eingabe dann könnte das wie folgt aussehen:

  • Man steckt die Karte in das POS-Terminal. Die Karte lernt die Bezahlung.
  • Man steckt die Karte um auf einen PIN-Pad und gibt die PIN ein.
  • Man steckt die Karte zurück in das POS-Terminal und autorisiert die Bezahlung.
Der eintscheidende Punkt ist der, dass dies alle Anwendungsfälle abdeckt:

  • Wenn das POS-Terminal ein kombiniertes Terminal ist, funktioniert es wie bisher: Man gibt die PIN ein und fertig.
  • Paranoide Naturen wie ich hätten ihr eigenes PIN-Pad dabei. Wahrscheinlich in Form ihres Handys.
  • Und Firmen die den Leuten etwas mehr Sicherheit vorgaukeln möchten, bieten dann separate "zertifizierte" PIN-Pads an. Wenn die Karte einen entsprechenden Schlüssel erkennt (Sperrlisten können sich viral verbreiten) kann sie die Farbe der Anzeige wechseln (z. B. von Gelb auf Grün).
Der Witz ist, dass man den Service erweitern kann, so dass ich z. B. in der Aldi-Filiale in der ich immer einkaufe gar keine PIN mehr eingeben muss. Ich autorisiere die Karte dann dort jederzeit einzukaufen.

Das Verfahren kann man noch weiter verbessern:

Die Karte kennt die Schlüssel der letzten N Akzeptanzstellen, und ich kann der Karte erlauben, diese automatisch zu autorisieren. Der Vorgang sieht dann so aus:

Beim ersten Mal:

  • Karte in das POS-Terminal stecken
  • Karte in das PIN-Pad stecken, PIN eingeben
  • Karte in das POS-Terminal stecken, Zahlung autorisieren
Danach:

  • Karte wieder in das PIN-Pad stecken.
  • Letzte Transaktion aufrufen.
  • Karte für die Transaktion in Zukunft freischalten. Dabei kann man ein Tageslimit (z. B. 20 EUR) eingeben, bis zu dem man ohne PIN einkaufen kann.
Später sieht das so aus:

  • Karte in das POS-Terminal stecken
  • Karte erkennt den Schlüssel vom POS-Terminal, und autorisiert die Bezahlung sofern sie unter dem Tageslimit liegt.
  • Man zieht die Karte und ist fertig.
Jetzt kommen ein paar Kleinigkeiten:

  • Die Karte braucht keine Uhr, also kann sie den Tag nicht erkennen.
  • Aus diesem Grund hält das POS-Terminal einen Tagescode bereit. Dieser wird von der kartenausgebenden Stelle übermittelt. Die Karte kann diesen Code prüfen. Ist er neu (neuer als der letzte) dann wird die Bezahlung einmalig autorisiert.
  • Der Tagescode kann durch Eingabe der PIN an einem PIN-Pad rückgesetzt werden. Dann ist jeder Tagescode wieder neu.
  • Außerdem wäre Hilfreich, wenn man die nächste Transaktion "vorautorisieren" kann. Dann reicht das Stecken der Karte in das POS-Terminal um zu bezahlen.
Damit geht dann folgendes:

  • Vor dem Bezahlen (während die Waren gescannt werden) stecke ich die Karte in mein PIN-Pad.
  • Ich gebe meine PIN ein und autorisiere so die nächste Bezahlung.
  • Um zu bezahlen ziehe ich die Karte aus dem PIN-Pad, stecke sie ins POS-Terminal und ziehe sie wieder nach dem Pieps. Zum Stecken der Karte habe ich ca. 30s Zeit, danach verfällt die Autorisierung (entladener Kondensator).
  • Dann gucke ich auf die Karte und sehe wieviel ich bezahlt habe, weil sie das noch 30s anzeigt.
  • Eigentlich brauche ich auch keine Papierquittung, die kann die Karte gespeichert haben und die kann ich auf meinem Handy bequem anzeigen. Einreichen bei der Steuer dank elektronischer Unterschrift der Akzeptanzstelle sollte damit auch kein Problem darstellen.
  • Habe ich mein Tageslimit überschritten, kann ich immer noch mit PIN bezahlen.
  • Läuft im POS-Terminal der Speicher über wird der Tagescode der Bank gelöscht. Es reicht pro Bank (kartenausgebender Stelle) ein Tagescode! Wenigen MB RAM sollten reichen, die Tagescodes von allen Stellen zu speichern. Der Tagescode muss nicht jeden Tag neu übermittelt werden, da dieser abhängig von der Akzeptansstelle in der Karte verwaltet wird, er wird also nur übermittelt, wenn sowieso die Transaktion übermittelt wird. Heutige Karten sollten außerdem einige 100 Bezahlstellen verwalten können.
  • Habe ich kein eigenes PIN-Pad dabei kann ich ein beliebiges PIN-Pad verwenden. Ich kann das vom Laden verwenden oder von einem anderen in der Schlange.
  • Paranoide Personen können die PIN der Karte dann ändern. Wichtig ist, die Karte akzeptiert immer nur PIN-Aktionen oder andere Aktionen. Kombinierte Aktionen sind nur an autorisierten (zertifizierten) Terminals möglich. Steckt man die Karte also in ein infiziertes PIN-Pad wird nur die PIN gespeichert, die anderen Kartendaten zur elektronischen Bezahlung werden nicht übermittelt. Die Karte kann außerdem Fehler speichern, d. h. geht das PIN-Pad nicht kann man die Karte hinterher fragen, welche Infos sie preisgegeben hat - und entsprechend handeln, z. B: das Konto wechseln.
Ich sage ja nicht, dass jeder Idiot das alles wissen muss, aber es ist möglich. D. h. man hat die Kontrolle und die Sicherheit für den Fall der Fälle. Die Banken können verdächtige Transaktionen der Karte erkennen (warum soll die Karte ihr Log nicht an die Bank verschlüsselt übertragen? Die Bank hat eh alle Kontobewegungen und Bezahlvorgänge) und so kann die Bank den Kunden schützen. Vollautomatisch!

Die Gefahr wenn die Kontodaten in falsche Hände geraten sind nichtautorisierte (widerrufliche) Abbuchungen. Die kann man leicht durch eine zusätzliche Autorisierung verhindern, indem der Kunde aufgefordert wird, bisher unbekannte neue Abbucher als bekannt zu markieren.

Reagiert der Kunde nicht oder macht kein Online-Banking, kann man ihn ja mal anrufen. Service der Bank. Vielleicht kann man ihm ja noch etwas anderes dabei andrehen oder seine Zufriedenheit steigern, wäre doch auch was!

Wichtig sind für mich folgende Kriterien:

  • Flexibilität: Wenn etwas schiefgeht (OOPS, ich habe das Gerät nicht dabei) geht es trotzdem. Der Fallback ist allerdings auf ein unsichereres Niveau das dem von heute entspricht.
  • Sicherheit: Ein überwiegender Großteil (99,9%) der Transaktionen werden zügig auf einem höheren Sicherheitsniveau ablaufen als heute. Ein Angreifer kann nicht mehr auf das niedrigere Niveau vertrauen - es fällt in der Masse zu stark auf, die Banken können diese wenigen Transaktionen sehr effizient und kostengünstig prüfen.
  • Akzeptanz: Da das Verfahren sehr bequem ist, Zeit spart und in der Regel schneller ist als alles sonst, wird es von den Leuten auch akzeptiert.
  • Leichtigkeit: Das neue Verfahren ist schneller als das alte. Es benötigt am Anfang wenig Lernerfahrung (nicht mehr als die heutigen Verfahren) und die weiteren Möglichkeiten werden von den meisten Leuten sehr schnell erlernt und verwendet. Kinder lernen mit Geld umzugehen. An solch einer Lernkurve ist nichts schlechtes, wenn sie eingängig und einfach ist. Dass das Verfahren haptisch orientiert ist einer der wichtigen Punkte (früher hatte ich mal die Idee, die Karte müsse einen Knopf haben und piepsen. Zu kompliziert, das lernen die Leute nie. Stecken, ziehen, stecken aber ist einfach und schnell verständlich).
  • Kompatibilität: Das Verfahren ist vollkommen kompatibel zum vorhandenen Verfahren. Einzig braucht es eine neue Karte mit einem zusätzlichen Display. Karten der alten Bauart können weiter verwendet werden, benötigen aber ein POS-Terminal mit PIN-Pad. POS-Terminals mit PIN-Pads können weiter verwendet werden, sie brauchen nur eine neue Firmware. In einer Übergangszeit können die neuen Karten vollumfänglich mit alten POS-Terminals zusammenarbeiten - nach dem alten Verfahren.
  • Schleichender Umstieg: Aufgrund der Zeitersparnis werden Händler mit entsprechendem Duchsatz dafür sorgen, dass das neue Verfahren zügig zum Einsatz kommt, da es sich für sie rechnet. Das übt Druck auf die anderen Händler aus, die nicht so schnell sind, da immer mehr Kunden das neue Verfahren gewohnt sind und sie ständig erklären müssen "ja, wir machen noch das alte Verfahren". Im Zuge des Ersatzes werden zunehmend neue POS-Terminals angeschafft, und die Kunden werden auch auf den Umstieg zur neuen Kartengeneration animiert. Dazu kommt, dass die Handyhersteller wieder eine Sau haben, die sie durchs Dorf treiben können (Handy mit integrierten PIN-Pad).
  • World-Domination: Wer damit anfängt hat die Nase vorn, dass die Welt dieses wirklich einfache und effiziente Verfahren nutzt. Nicht nur EC-Karten sondern auch Kreditkarten können auf dieselbe Weise arbeiten. Sie brauchen nur Chip und Display.
Wenn die EC-Karten entsprechend hochrüsten würden - der einzige Nachteil von ihnen sind die komplizierteren POS-Terminals - verlören die Kreditkarten immer weiter an Boden. Dazu kommen die zunehmend fehlenden Vorteile der Kreditkarte, von der weltweiten Akzeptanz mal abgesehen.

EC wäre dann aber fähig, in das Marktsegment der Kreditkarten einzudringen, gerade im Bereich der wichtigen Online-Bezahlfunktion. Es wäre sicherer (für Kunde, Bank und Händler), günstiger (Transaktionsgebühren) und leichter (stecken statt CCV). Auf einen komplizierten Kartenleser mit PIN-Pad kann verzichtet werden - das PIN-Pad gibt es sparat, evtl. im Handy. Einzig ein Kartenleser ist notwendig (und schon in viele PCs eingebaut).

In diesem Moment hätten die Kreditkarten echt ein Problem.

Fazit

Ich habe bewiesen, dass das neue Verfahren nicht sicherer ist als das alte, sondern mit einem vergleichbaren Aufwand geknackt werden kann.

Ich habe bewiesen, dass das neue Verfahren schädlich ist, sowohl von der falschen Lernerfahrung der Kunden her als auch für die weitere zukünftige Entwicklung.

Ich habe bewiesen, dass es ein besseres Verfahren gibt, das die Sicherheit auch wirklich steigern würde.

Mehr braucht man dazu eigentlich nicht zu sagen, außer dass in diesem Text nichts neues steht. Alle Erkenntnisse hier sind entweder offensichtlich (also nicht patentfähig) oder wurden von anderen schon als Problem beschrieben und angeprangert.

Meine eigenkreative Tätigkeit in dieser Sache war lediglich, die Offensichtlichkeiten zusammengetragen.

Nun der fehlende Beweis meiner Aussage

Die Kreditkartenorganisationen sind nicht dumm. Sie müssen dies alles wissen.

Wissen sie es wirklich nicht vermitteln sie ein falsches Bild von sich. Sie sind Zahlungsdienstleister und behaupten, man könne ihnen vertrauen. Sich absichtlich ein solches Vertrauen zu erschleichen mit dem Ziel der Bereicherung (unabhängig davon ob man sich bewusst ist, dass man das Vertrauen nicht genießen darf) fällt nach meiner unmaßgeblichen Lesart (IANAL) unter §263 (1) StGB.

Wenn sie vorgeben es nicht zu wissen fällt das IMHO sogar unter Abschnitt (3), also schweren Betrug.

Auch die anderen Tatsachen sprechen dafür, dass sie hier dem Kunden eine zusätzliche Sicherheit vorgaukeln, die es für den Kunden gar nicht gibt. Im Gegenteil nutzt es ausschließlich den Kreditkartenorganisationen, weil sie nun Risiko auf den Kunden abwälzen können, und die - nach Hörensagen - auch tun, entgegen vorheriger Lippenbekenntnisse.

Wenn sich die Kunden deshalb nach Strich und Faden belogen und betrogen vorkommen, ist dies vollauf berechtigt. Es gibt keine andere Erklärung dafür, als dass die Kreditkartenorganisationen dies in voller Ansicht tun.

Damit ist mein eingangs genannter Vorwurf mehr als nur berechtigt. Ich halte ihn für hinreichend bewiesen.

Schlimmer noch, die wahren Gründe werden verschleiert und verschwiegen. Ich gehe davon aus, es gibt wohl handfeste Gründe dafür was die Kreditkartenorganisationen hier tun. Der Fehler ist aber, hier nicht mit offenen Karten zu spielen, und das ganze mit Mitteln des Marketings auszufechten. Gerade aus sicherheitstechnischer Sicht ist das Kontraproduktiv.

Um den Betrug einzudämmen ist es erforderlich den Kunden einzubinden und aufzuwecken. Stattdesen wird ein gesteigerter Sicherheitsgewinn veranschaulicht und der Kunde eingelullt. Statt den Kunden auf die zukünftige Entwicklung vorzubereiten wird ihm beigebracht in die falsche Richtung zu sehen.

Und all diese falschen Behauptungen werden dann auch noch gegen den Kunden ins Feld geführt um von der eigenen Verantwortung abzulenken. Das nennt man volkstümlich kriminell, denn es braucht einiges an krimineller Energie um derart unverfrohren vorzugehen.

Kurz noch etwas zum StGB und Absicht:

Absicht ist Voraussetzung für eine Straftat. Ein Mensch kann durchaus unabsichtlich Betrug begehen, was dann strafrechtlich nicht geahndet werden kann. Beispielsweise wenn jemand unfähig ist, die Tatsachen richtig zu bewerten, kann er tatsächlich der Meinung sein, keinen Betrug zu begehen zu wollen, obwohl er de facto jedes Kriterium für Betrug erfüllt. Ich kenne mehrere solche Fälle, in denen Menschen unabsichtlich andere Betrogen haben oder andere Straftaten begingen, ohne dass man ihnen das vorwerfen kann, weil sie unzurechnungsfähig waren.

Eine Firma (wie die Kreditkartenorganisationen) als juristische Person kann dasselbe für sich nicht in Anspruch nehmen. Firmen können nicht unabsichtlich Falschaussagen tätigen. Das wäre auch vollkommen unlogisch. Jede Falschaussage einer Firma kann per UWG kostenpflichtig abgemahnt werden. Dagegen ist die Meinungsfreiheit - auch die falsche Meinung - von natürlichen Personen gesetzlich geschützt.

Eine Firma, die eine Aussage tätigt, muss diese auch beweisen können. Das Marketing darf diese Ausssagen dann so lange verzerren und "gut darstellen" so lange sie wahr bleiben. Sobald die Grenze der Unwahrheit aber überschritten wird, muss die Firma damit aufhören. Es kann nicht anders sein dass sie vollumfänglich für ihre falschen Aussagen verantwortlich ist, da man ein Geschäft niemals unabsichtlich betreiben kann.

Die Aussagen von Firmen geschehen immer absichtlich, nämlich um den Geschäftsprozess zu unterstützen. Damit ist es unerheblich, aus welchem Grund eine Firma die Unwahrheit sagt. Es ist lediglich eine Frage der internen Schadensbegrenzung, ob die Aussage aus Unfähigkeit, mangelnder Führungsstärke oder Marketingübertreibung geschehen ist. Rein juristisch daft dies keine Auswirkungen haben, sonst wäre aufgrund der Marktmacht von Unternehmen ein Verbraucherschutz nicht mehr möglich.

Der Verbraucher, so wird es ständig bestätigt, kann sich immer auf die Aussagen der Firmen berufen, egal ob diese nun fälschlich begangen wurden oder nicht. Auch die falschen Aussagen werden immer zum Vertrangsbestandteil, lediglich bei Schließung des Vertrages hat die Firma nochmals das Recht auf Irrtum. Danach werden Falschaussagen immer zum Schaden der Firma ausgelegt.

Allerdings hat der Vorwurf des absichtlich begangenen Betruges keine direkte strafrechtliche Auswirkung. Nur natürliche Personen unterliegen direkt den Strafen. Man kann eine juristische Person ja schlecht 10 Jahre ins Gefängnis sperren. Ob und wieweit die beteiligten Personen in den Kreditkartenorganisationen den Betrug absichtlich begangen haben, darüber habe ich keine Aussage gemacht.

Meine Aussage ist lediglich, dass das, was man von den Kreditkartenorganisationen hört (Hörensagen!) von diesen offensichtlich und vorsätzlich in betrügerischer Absicht verlautet wird.

Eine weitere Konsequenz indes gibt es nicht, außer, dass die Kreditkartenorganisationen jetzt ein kleines Problem haben, da all dieser Blödsinn den sie da verzapfen dann auch Vertragsbestandteil wird und entsprechend im Bedarfsfall gegen sie verwendet wird.

Wenn sie also irgendwer im Brustton der Überzeugung behauptet, dass aufgrund dieser höheren Sicherheit der Kunde Schuld ist, wenn irgendwo eine (behauptete) falsche Transaktion passierte, dann muss er sich vorwerfen lassen, auf die Aussagen der Kreditkartenorgansiationen hereingefallen zu sein, und dass er offensichtlich gar keine Ahnung hat wovon er spricht.

Interessant in diesem Zusammenhang ist außerdem, dass bei dieser Form der "Verteidigung" gegen Schadensübernahme immer die Schuld nur einseitig auf den Kunden abgewälzt wird:

  • Die Anforderungen an den Kunden werden ständig höher und höher. Es werden immer höhere Erwartungen an den Kunden gestellt, und dann ständig unterstellt, er hätte gegen diese Erwartung verstoßen. Kein Wunder, je komplizierter es wird desto uneinhaltbarer sind all die Randbedingungen.
  • Im Gegenzug wird das eigene Risiko ständig schmäler und schmäler, und statt das zu tun, wofür man bezahlt wird, nämlich die Sicherheit wirklich zu steigern, spart man sich das, weil das würde ja wirklich mal Geld kosten. Um das Sharholder Value zu maximieren wird somit das, wofür man bezahlt wird, mehr und mehr auf den Kunden abgewälzt. Verkauft wird es ihm mit weichgespültem Marketinggejubel welches sich zwar schön anzuhören scheint, aber für den Kunden überhaupt keine Verbesserung darstellt, obwohl es ihm so verkauft wird!
Die Bezahlsysteme haben ein Problem. Die Angriffe werden immer perfider. Das liegt daran, dass die Attacken all die neuen Möglichkeiten ausschöpfen, die Bezahlsysteme aber immer noch nicht bereit sind, die seit über 15 Jahren bekannten und notwendigen Maßnahmen auch nur ansatzweise umzusetzen.

In den letzen 10 Jahren war weiß Gott genug Zeit dafür, es richtig zu machen. Unternommen wurde nichts. Es ist jetzt nicht Aufgabe der Kunden, das Versäumte nachzuholen, sondern es ware eine (schlicht: falsche) Unternehmerische Entscheidung, so lange abzuwarten statt zu handeln.

Die Technologie ist da. Man muss sie nur richtig nutzen. Das geht nicht zum Nulltarif. Aber es geht - wie gezeigt - sogar so, dass man dem Kunden mehr Kontrolle, ein einfacheres Handling und weniger zu beachten gibt, und dabei die Sicherheit auch nicht vernachlässigt.

Der Preis für die Einführung dieser Technologie dürfte sich in wenigen Jahren amortisiert haben, ohne Gebührenerhöhung, einfach durch die gestigene Sicherheit. Aber ich weiß, 100 Millionen zu investieren um über die Jahre 1 Milliarde zu sparen, soviel Risiko können moderne Manager nicht mehr übernehmen. Man muss ja an das Sharholder Value denken. Und zwar heute. In 5 Jahren ist vielleicht ein anderer Manager an der Macht, und der würde dann die Loorbeeren einheimsen, und nicht man selber. Das kann man ja nicht zulassen.

-Tino, 2011-08-17