Forscher warnen vor Schwachstelle bei Bank-Geheimnummer

EnterpriseSicherheit

Das PIN-System im Finanzwesen ist verwirrend. Aber wer es versteht, der kann die Codes in wenigen Versuchen knacken und die Geheimnummer missbrauchen.

Zu diesem Ergebnis sind jetzt israelische Forscher gekommen. Omer Berkman und Odelia Moshe Ostrovsky von der School of Computer Science in Tel Aviv erklären in ihrem wissenschaftlichen Bericht, dass Finanzsysteme anfällig seien und Bankmitarbeiter ganz leicht an die PIN-Codes von Kunden herankämen.

Das Problem sei das Verfahren, heißt es in dem Papier ‘The unbearable lightness of PIN cracking’. Die PIN, die ein Bankkunde bei Abheben am Geldautomaten eingibt, wird mitsamt der Kontonummer über Kontrollstellen in der Hausbank oder einem anderen berechtigten Institut verifiziert. Oft hebt der Kunde aber nicht dort ab. Dann wird die Eingabe über meist mehrere Kontrollstellen, die so genannten ‘Switches’, weitergegeben bis zur Hausbank oder einem angeschlossenen Institut. Den Code schützt ein PIN-Format und eine Verschlüsselung. Jeder Switch entschlüsselt den Code, überprüft ihn und verschlüsselt ihn zum Weitertransport wieder.

Jetzt kommt der Bankmitarbeiter ins Spiel. Wer hier mit bösen Gedanken unterwegs ist, der kann den PIN am Switch abfangen und für eigene Zwecke nutzen. Meistens geht es dann nicht nur um einen PIN. Manche Switches bearbeiten 18 Millionen Datensätze pro Stunde, berichten die Autoren. Und es kommt noch dicker. Das Problem ist nicht unbekannt, allerdings seien die jetzt erforschten Ausmaße so nicht erwartet worden, heißt es. Bei bisherigen Attacken führten etwa 15 Versuche, den Code herauszufinden, zum Erfolg. Nun würden ein bis zwei Versuche ausreichen, um in den Besitz des korrekten PINs zu kommen, warnen die Forscher. Die theoretische Auslegung des vierstelligen Codes erfordert im Schnitt 5000 Versuche.