EC-Karten-Problem zeigt Rückständigkeit der Bezahlverfahren

Viele Deutsche haben momentan damit zu kämpfen an ihr Geld zu kommen beziehungsweise mit ihrer EC-Karte im Geschäft zu bezahlen. Der Grund: ein Softwarefehler! Was klingt wie ein schlechter Scherz, ist zur Zeit Realität für Millionen Bank- und Sparkassenkunden in Deutschland. Bei Reisen ins Ausland empfiehlt der Deutsche Sparkassen- und Giroverband “genügend Bargeld oder Reisechecks mitzuführen” und findige Einzelhändler und Kunden versuchen, mittels eines Tesastreifens älteren Geldautomaten oder POS-Terminals vorzutäuschen, es sei kein Chip auf der Karte vorhanden und das Gerät so zur Nutzung der Informationen auf dem technisch überholten, aber immer noch vorhandenen Magnetstreifen zu bringen. Die Kreditwirtschaft versucht per Softwareupdate, denselben Effekt bei den Geräten zu erzielen: Der fortschrittliche Chip soll ignoriert und der alte Magnetstreifen wieder verwendet werden. Der Grund ist einfach – ein Austausch aller betroffenen Karten würde wohl mit einem höheren dreistelligen Millionenbetrag zu Buche schlagen.

Der aus Sicherheits- und Effizienzgründen eingeführte Chip auf den Karten war die größte technische Innovation im Zahlungsverkehr seit 20 Jahren. Hierbei wird jedoch nicht nur von einem ungesicherten Speichermedium (dem für jedermann auslesbaren Magnetstreifen) auf ein gesichertes Speichermedium übergegangen: Der Chip auf der Karte ist ein Computer, der über ein Betriebssystem verfügt und auf dem Software ausgeführt wird. Waren die Anwendungen also bisher rein serverbasiert und lasen nur einige wenige Daten von der EC- oder Kreditkarte, so laufen nun Teile der Anwendungslogik auf der Karte ab – eine erhebliche Änderung, die für den Kunden jedoch weitgehend unsichtbar ist. Der positive Effekt liegt auf der Hand, die Karte ist durch Betrüger nicht mehr sinnvoll kopierbar und die Zahlungsautorisierung läuft effizienter ab.

Allerdings verlässt man sich nun auf Software, die auf dem Chip im Portemonnaie des Kunden liegt und nicht mehr zentral geändert werden kann – es sei denn durch Austausch der Karte. “Der Systemtest ist natürlich in solchen Fällen von entscheidender Bedeutung und war hier offensichtlich nicht vollständig”, so der Wirtschaftsinformatiker Dr. Key Pousttchi, der an der Universität Augsburg die Forschungsgruppe ‘wi-mobile’ leitet und sich seit vielen Jahren mit Bezahlverfahren befasst. “Ein modernes Mobile-Payment-Verfahren beispielsweise ist robuster gegen ein derartiges Problem, da ein Update der Software über die Luftschnittstelle möglich ist.”