Howard Fuhs
Howard Fuhs
Howard Fuhs
IT-Sicherheitsberater
IT-Sicherheitsberater
IT-Sicherheitsberater

Kreditkarten, Electronic Commerce

und die Probleme mit der Sicherheit

Copyright (C) 02/1998 by Howard Fuhs


Gerade heute kam die Meldung in den Radionachrichten. Der Vertrieb der Software "Cards", entwickelt von der deutschen Firma SAD, wurde vom Landgericht Frankfurt untersagt. Geklagt hatte die Firma Euro Kartensysteme, denn mit der Software können Magnetstreifen von Kreditkarten und Euroscheckkarten ausgelesen, gespeichert, manipuliert und zurückgeschrieben werden. In der Urteilsbegründung hieß es, die Vertriebsfirma leiste "Beihilfe zum Mißbrauch von Scheck- und Kreditkarten". Zwar stellt sich generell die Frage, für was eine solche Software gut sein soll außer zur Manipulation von Magnetkarten, doch wird mit diesem Verbot das derzeitige System der Magnetkarten auch nicht sicherer.

Früher
Magnetkarten waren schon zu C64-Zeiten ein beliebtes Angriffsziel. Zwar waren damals die Magnetkartenleser noch teuer und sehr schwer zu beschaffen, doch Manipulationssoftware gab es damals schon, wenn auch nur im Computeruntergrund verbreitet und nur mit viel Fachwissen zu bedienen. Damals kam auch noch "Security by Obscurity" zum tragen. Man wußte einfach nicht genug über den technischen Aufbau eines System, um darin die Sicherheitslücken entdecken zu können. Doch das änderte sich mit der Zeit.

Situation heute
So schön die C64-Zeit auch gewesen sein mag, die Zeiten ändern sich. Leistungsfähige Computersysteme sind preiswert zu haben, Magnetkartenleser gibt es auch bei vielen gut sortierten Fachhändlern und das Internet bietet alle Möglichkeiten zum Informationsaustausch. Sieht man sich in den entsprechenden Grauzonen des Internets um, findet man genügend "Hackertools" zum Thema Magnetkarten. Zugegeben, keines der einzelnen Tools ist so umfassend in der Funktion und so einfach in der Bedienung, doch in der Gesamtheit genauso leistungsfähig wie Cards". Was hat das gerichtliche Verbot der Software "Cards" nun gebracht? Nichts! Vor allen Dingen keine Sicherheit für den normalen Kreditkartenbesitzer/nutzer. Denn das Vertriebsverbot gilt nicht für andere Staaten. Und ein Vertrieb über das Internet wäre auch nicht kontrollierbar.

Sicherheitsgedanken
In einer Zeit, in der elektronische Zahlungsmittel wie Kreditkarte und Euroscheckkarte bereits weit verbreitet sind und E-Cash-Systeme für das Internet entwickelt werden, müßte den federführenden Firmen und Banken eigentlich klar sein, dass mit gerichtlichen Verboten von irgendetwas die eigentliche Systemsicherheit nicht erhöht wird. Das Hauptaugenmerk muss heute auf die Systemsicherheit gelegt werden, denn nur dann kann Schaden von den Nutzern moderner Zahlungssysteme abgewandt werden. Heute eine Magnetkarte als sicher zu bezeichnen ist schlichtweg falsch. Hier bedarf es schon eher der Einführung von Chipkartensystemen. Doch auch hier gilt es, Vorsicht walten zu lassen. Nicht jedes Chipkartensystem kann auch als sicher bezeichnet werden. Bestes Beispiel sind die Telefonkarten. Noch vor einigen Jahren als sicher von der Deutsche Telekom gepriesen, sind heute wiederaufladbare Telefonkarten nicht schwer zu bekommen. Entsprechend sind die Verluste an bestimmten Kartentelefonen.

Chipkarten
Im Gegensatz zum passiven System einer Magnetkarte ist die Chipkarte in der Lage, das unerwünschte Auslesen oder Verändern von Daten aktiv zu verhindern. Der Computerchip, der sich in der Chipkarte befindet, kann aktiv Gegenmaßnahmen gegen Manipulationsversuche treffen, die bis hin zum Löschen der zu schützenden Daten geht, was die Chipkarte für jeden Manipulator unbrauchbar macht.

Auch die Fälschung einer Chipkarte ist nicht mehr so einfach wie bei einer Magnetstreifenkarte. Während man bei einer Magnetstreifenkarte lediglich einen Kunststoffträger in der entsprechenden Stärke und Größe der Originalkarte benötigte, auf den man dann einen Magnetstreifen aufklebte, steht der Fälscher einer Chipkarte vor anderen technologischen Problemen.

Versuche von Reverse Engineering kann die Karte durch sicheres Produktionsdesign abwenden. Das Modifizieren oder Austauschen der Software in dem Chip ist nicht möglich, da das Betriebssystem des Chips in aller Regel in einem ROM gespeichert ist und nur Daten im EEPROM abgelegt sind.

Angriffsflächen
Wird die Chipkarte z.B. als ein Zahlungsmittel eingesetzt, so bestehen mehrere Angriffsmöglichkeiten, die Daten auf dem elektronischen Weg vom Point-of-Sale zur Bank abzufangen, zu verändern oder einfach nur mitzulesen und aufzuzeichnen. Da man Kommunikationswege durch die unübersichtliche Leitungsführung nicht wesentlich sicherer machen kann, ist es hier besonders wichtig, dass die entsprechenden Daten ausschließlich in verschlüsselter Form übertragen werden. Dadurch kann sicher gestellt werden, dass Unbefugte die Daten nicht weiterverwenden können.

Es sollten aber auch einige kritische Überlegungen über Chipkarten angestellt werden. Gerade weil die Chipkarte sehr sicher ist, ist es sehr schwer zu kontrollieren, welche Daten auch tatsächlich auf einer Chipkarte gespeichert sind. Auch frei zugängliche Lesegeräte können darüber letztlich keine verläßlichen Angaben machen, da durch die Computing-Power, die der Chip auf der Karte besitzt nur die Bereiche dem Besitzer angezeigt werden können, die der Hersteller oder die Anwenderfirma bereit ist, ihm mitzuteilen. So ist es durchaus denkbar die Chipkarte in einen "öffentlichen" Bereich und einen "internen" Bereich zu unterteilen, wobei gerade im "internen" Bereich der Chipkarte ohne Wissen des Besitzers Daten erhoben und gespeichert werden, die nur von wenigen befugten Personen z.B. in einem Unternehmen abgerufen werden können. So kann der Einsatz von Chipkarten auch ein weiterer Schritt zum gläsernen Menschen sein.

Frankfurt/Main (dpa) - Ein Computerprogramm zur Manipulation von Eurocard-Kreditkarten darf nach einem Urteil des Landgerichts Frankfurt nicht verkauft werden. In der Urteilsbegründung hieß es am Mittwoch, die Vertriebsfirma leiste "Beihilfe zum Mißbrauch von Scheck- und Kreditkarten". Die Zivilkammer folgte damit dem Antrag des Unternehmens Euro Kartensysteme, in deren Besitz etwa 3,5 Millionen Eurocards sind. Die Firma hatte gegen den Software- Hersteller S.A.D. Vertriebs- und Produktionsgesellschaft geklagt. Bundesweit gibt es 7,9 Millionen Eurocard-Kreditkarten.

Mit dem Programm "Cards" und einem Kartenlesegerät können Magnetstreifen kopiert und auf andere Karten übertragen werden. Außerdem gehen Experten davon aus, dass Gültigkeitsdaten, Zutritts- und Zugriffscodes oder Limits verändert werden können. Die Kammer meinte, angesichts der Manipulationsmöglichkeiten "erscheint es dem Gericht als fernliegend, dass die Software vom Anwender ausschließlich für legale Zwecke erworben und verwendet wird".

Das umstrittene Programm wurde seit November 1997 auf CD-ROM verkauft. Am 15. Dezember hatte das Landgericht eine einstweilige Verfügung gegen den Verkauf der Software erlassen. Diese wurde nun bestätigt. S.A.D. hatte argumentiert, das richtige Mittel gegen Mißbrauch sei eine bessere technologische Absicherung der Kreditkarten.

Laut Gericht kommt als legale Nutzung des Programms nur das Lesen der eigenen Karte in Betracht. Das sei aber lediglich als "Spielerei" anzusehen und damit für Abnehmer der Software uninteressant. Wesentlich interessanter sei "Cards" dagegen als "Tatwerkzeug" für illegale Handlungen. Dieser Aspekt sei auch in Werbeaussagen des Herstellers betont worden, wonach bei der Nutzung der Software außer der Ausstattung mit Personalcomputer und Kartenlesegerät auch eine gewisse "kriminelle Energie" nötig sei. Der Hersteller hatte in seiner Werbung betont, es sei möglich, die Karten zu "frisieren" - und damit "in kürzerer Zeit mehr Geld" abzuheben. Später warnte der Hersteller aber vor Missbrauch.

Das Gericht meinte, die Möglichkeit der illegalen Nutzung mache den Vertrieb der Software wettbewerbswidrig. Euro Kartensysteme erleide durch den Vertrieb der Software eine erhebliche Schädigung seiner Wettbewerbsinteressen. Das gelte auch, falls "Cards" nur in geringer Stückzahl auf den Markt komme. Die Software könne nämlich unschwer kopiert werden, womit sich die Zahl möglicher Benutzer vervielfältige. (AZ: 3-12 O 207/97)

  © dpa
  041132 Februar 1998

 


Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.

Copyright (C) 02/1998 by Howard Fuhs

 

Fuhs Security Consultants
 
Alle Rechte
vorbehalten!

 
 Realisation:
Frank Ziemann
Home Impressum


WebCam
24h WorldTimer PCI DSS Publikationen Digital Publishing EN English
Thema 00
Hier finden Sie Information über Dinge, von denen wir jetzt noch nichts verraten wollen.
Fallbeispiele
Fallbeispiele aus der alltäglichen Datenunsicherheitspraxis.
Neues
Aktuelle Neuigkeiten und Medieninformationen.
Service
Sichern Sie Ihr Unternehmen durch unsere Dienstleistungen und Serviceangebote ab.
Fallbeispiele
Die neue 24h WorldTimer Uhrenserie mit standardisierter astronomischer Zeitangabe nach ISO 8601 für 24-Stunden-Umgebungen
PCI DSS
Dienstleistungen und Serviceangebote rund um den Payment Card Industry Data Security Standard
Publikationen
Fachartikel und Buchmanuskripte von Howard Fuhs.
Digital Publishing
Publikationen von Howard Fuhs auf CD-ROM.
EN English pages
Please find here our English pages for international visitors.
      E-Mail
Sie erreichen uns
per E-Mail unter
  info@fuhs.de
    Realisation
EDV-Beratung
Frank Ziemann
www.fz-net.com
Themen  
Themen
Papers Satellite Hacking
Fachartikel deutsch
Präsentationen
Fachartikel englisch
Bücher von Howard Fuhs
Buchrezensionen
Medienberichte
Datensicherheitsinfos
Sicherheitsinfos
Computerviren und ihre Vermeidung
Information Security Bulletin
Bilder PCBRL
Bilder DCF77
Jokes
Fachartikel deutsch
Deutsche Fachartikel von Howard Fuhs.
Präsentationen
Präsentationen von Howard Fuhs.
Fachartikel englisch
Englische Fachartikel von Howard Fuhs.
Sicherheitsinformationen
Sicherheitsinformationen auch aus Quellen des Computeruntergrunds.
Computerviren und ihre ...
Buchmanuskript von Howard Fuhs über Computerviren, erstmals veröffentlicht 1993.
Jokes
Einfach nur Witze.
Bücher von Howard Fuhs
Buchveröffentlichungen von Howard Fuhs.
Howard Fuhs in den Medien
Medienbericherstattung über Howard Fuhs.
Datensicherheitsinformationen
Allgemeine Datensicherheitsinformationen von Howard Fuhs.
Bilder PCBRL
Technische Bilder von Howard Fuhs für das Printed Circuit Board Research Lab.
Information Security Bulletin
Deutsche Ausgaben des Information Security Bulletin von CHI-Publishing Ltd., UK.
Papers Satellite Hacking
Englische Texte zum Vortrag Satellite Monitoring, Satellite Hacking and Satellite Security
DCF77 Funkuhr
Vintage Gallery - Bilder einer DCF77 Funkuhr von 1972
Buchrezensionen
Howard Fuhs bespricht Fachbücher