Die Suche nach dem Kreditkarten-Leck
Ein Fehler in einem Standard, der bei Kreditkarten zum Einsatz kommt, macht Zahlungen auch ohne Geheimzahl möglich. Britische Forscher der Cambridge University hatten im EMV-Standard ein Leck entdeckt und mit Karten von verschiedenen Herstellern ohne Geheimzahl Transaktionen durchgeführt. Zunächst wurde das von den Anbietern zurückgewiesen.
Jetzt aber will sich der Industrieverband EMVco mit dem Fehler auseinandersetzen und hat eine Untersuchung angekündigt. EMVco, das zu je einem Viertel den Kreditkartenunternehmen American Express, JCB, MasterCard und Visa gehört, entwickelt und verwaltet den EMV-Standard, der zur Absicherung von Zahlungen mit Debit- und Kreditkarten verwendet wird.
“EMVco wird eine eigene Analyse vornehmen und daraus Schlüsse ziehen”, heißt es in einer Erklärung des Verbands. Auch die Anbieter von Zahlungssystemen wollen demnach das Leck analysieren.
MasterCard erklärte, der EMV-Standard unterliege einer kontinuierlichen Überprüfung, um sicherzustellen, dass er sich weiterentwickle und neuen Anforderungen entspreche. “Unsere Anstrengungen umfassen häufige und regelmäßige Kontrollen der Sicherheit, um zu gewährleisten, dass die neusten umsetzbaren Sicherheitsvorkehrungen benutzt werden.”
Nach Ansicht von Ross Anderson, Leiter des Forschungsteams der Universität Cambridge, gibt es keine einfache Lösung für das Problem. Es sei aber möglich, die von den Forschern beschriebene Angriffsmethode mit einer Software zu verhindern. Dafür müssten verschiedene Teile des Transaktionsverfahrens miteinander verglichen werden, um festzustellen, ob die Authentifizierung korrekt erfolgt sei.
