Eine Kuriosität besonderer Art stellt das kürzlich erschienene PC-Programm ‘CARDS’ der Ulmer Firma S.A.D. dar. Das Cover der im Fachhandel erhältlichen CD-ROM wird von einer optisch leicht veränderten ec-Karte geschmückt, deren Magnetstreifen von den Scheren eines afrikanischen Skorpions bearbeitet wird. Als Begleittext zu dieser Dastellung finden sich die Untertitel ‘Sicherheitsrisiko in Theorie und Praxis’ sowie ‘Die Wahrheit über Ihren magnetischen Freund’. Die Rückseite der Verpackung klärt über den Verwendungszweck der Software auf: ‘Sie kontrollieren ob Ihre Kreditkarte gegen einfaches Kopieren und Vervielfältigen geschützt ist. Sollte dies nicht der Fall sein [...] können Sie Ihre Bank oder Ihr Kreditinstitut anhand des CARDS-Ergebnisses eindeutig auf diesen Mißstand hinweisen.’ Zur Untermauerung der Sicherheitsbedenken wird weiter erwähnt: ‘Einen Schreib- oder Kopierschutz konnten wir jedenfalls nirgends entdecken.’ Das Booklet in der CD-Verpackung verspricht auch illegale Optionen: ‘Theoretisch können Sie auch das Limit Ihrer Kreditkarte heraufsetzen, das Gültigkeitsdatum verändern oder den Nutzungszyklus so frisieren, daß Sie in kürzerer Zeit mehr Geld ausgeben können.’ [1].

Kontroverse Meldungen nach der Präsentation des PC-Programms waren damit gleichfalls vorprogrammiert. Die Beurteilung der Presse schwankte zwischen Titelzeilen wie ‘Kopierprogramm für Kreditkarten’ [2], ‘Magnetkarten entschlüsseln’ [3] und ‘Kreditkarten - einfach kopiert ?’ [4].

Ein Test der A la Card Redaktion sollte daher zeigen, was dieses Programm wirklich zu leisten vermag. Die CD-ROM (Verkaufspreis 49,95 DM) enthält in vier Files außer einer Setup-Routine das entsprechende Programmarchiv - etwa vier Megabyte. Da die Software über kein eigenes Programm zur Deinstallation verfügt, empfiehlt sich hier die Verwendung eines externen Installationsschutzprogramms.

Nach der Installation, die auf einem üblichen Windows95-PC schon in einigen Sekunden beendet ist, finden sich auf der Harddisk des Systems zwei MSDOS-Programme zur Komprimierung und Verschlüsselung von Dateien (‘Secure&Compress’ und ‘Lock-It’) sowie das Hauptprogramm ‘CARDS’, welches als einzige der Anwendungen im Startmenü der Windows-Oberfläche erscheint. Wird dieses aktiviert, kann zwischen mehreren Menüpunkten zur Informationen über kartenspezifische Hard- und Software sowie Verschlüsselungstechniken gewählt werden.

Die hierin befindlichen, mit einem einfachen Scrollfenster zu lesenden Texte sind oft wenig ausführlich und zum Teil leider nicht nur orthografisch sondern auch fachlich fehlerbehaftet. Der Abschnitt ‘Kryptografie’ ist zwar mit viel Aufwand ausgestattet worden, es lassen sich beispielsweise zur Demonstration eigene kurze Texte mit einfachen Vertauschungsverfahren ver- und entschlüsseln, übliche Verfahren wie PGP, welches im Bereich privater elektronischer Post schon lange in großem Umfang eingesetzt wird, sowie 3DES (triple DES) [5] findet jedoch keine Erwähnung. Weitere Punkte geben Tips zur Sicherheit von Kreditkarten: ‘Merke: Eine Kreditkarte, deren Geheimnummer ausgespäht wurde, ist wertlos und sollte sofort zurückgegeben werden.’.

Die Erläuterung der möglichen Sicherheits-maßnahmen ist dagegen relativ gut gelungen, es werden Verfahren wie das MM-System der ec-Karte oder die Watermark-Magnetisierung ausführlich und verständlich beschrieben. Auch ein kurzer Überblick über die kartenrelevanten ISO-Normen mitsamt der nötigen Daten fehlt nicht.

Der Zentralpunkt der Software ist zweifellos das integrierte Lese- und Schreibprogramm für Magnetkarten. Im Booklet, welches der CD beiliegt, wird die dazu benötigte Hardware angeboten, ein Zweispur-Durchzugslesegerät für 198,- DM, ein Dreispur-Durchzugslesegerät für 225,- DM sowie ein Dreispur-Durchzugs-Schreib/Lesegerät für 1099,- DM zum ‘Vorzugspreis’. Die Software unterstützt, im Gegensatz zu frei erhältlichen Programmen, nur die Verwendung von Durchzugslesern mit eigener RS232-Schnittstelle, obwohl ohne großen Aufwand eine Integration preisgünstigerer Durchzugs- oder Einsteckleser ohne Auswerteelektronik (ca. 60,- DM) machbar wäre. Damit wird der Kunde vor zwei für ihn ungünstige Alternativen gestellt. Privatpersonen, die sich interessehalber gern mit der Technik der Magnetstreifenkarte auseinandersetzen möchten und dafür ein reines Lesegerät benötigen, sind mit der einfachen Lösung der Computerzeitschrift C’T sehr viel besser und preisgünstiger beraten [6]. Professionelle Anwender und Firmen benötigen in den meisten Fällen ein motorbetriebenes Schreib/Lesegerät für etwa DM 3000.-.

Nach anfänglichen Schwierigkeiten arbeitete die Software mit unserem Omron MKW1PC-Lese/Schreibgerät zusammen. Zur Behebung von Inkompatibilitätsproblemen ist es möglich, eigene Befehlssätze für den jeweils verwendeten Controller des Schreib/-Lesegerätes einzugeben. Übliche Magnetkarten können ausgelesen und geschrieben werden, die Auswerte- und Editierfunktionen lassen jedoch zu wünschen übrig. Obwohl der gesamte Magnetstreifeninhalt sehr einfach kopiert werden kann, stellt die Vermarktung dieses Programmes keine große Gefahr dar, denn die Möglichkeiten zur Manipulation, beispielsweise zur Veränderung der Daten, sind sehr beschränkt. Unter anderem lassen sich die benötigten Prüfsummen, z.B. nach Änderung der Kontonummer, nicht automatisch berechnen. Professionelle Betrüger verwenden zum ‘Skimming’, dem Kreditkartenbetrug durch Manipulation des Magnetstreifens [7], leistungsfähigere Programme, die beispielsweise auch in der Lage sind, einen kompletten Datensatz gültiger Kreditkarten zur illegalen Verwendung zu generieren [8]. Derartige Programme sind heutzutage problemlos von Internet-Servern erhältlich und frei verfügbar.

Von einer möglichen ‘Entschlüsselung’ der Daten auf ec-Karten durch das Programm ‘CARDS’ kann keine Rede sein. Anders lautenden Meldungen liegt die Tatsache zugrunde, daß in einer Sendung des ZDF vor kurzem behauptet wurde, man könne durch Analyse der auf den ec-Karten gespeicherten Informationen die Geheimzahl ermitteln [9]. Obwohl hier von der fälschlichen Voraussetzung ausgegangen wurde, daß eine ec-Karte drei sogenannte Pool-Offsets enthält und darüber hinaus die Wirksamkeit der Methode in der Sendung nicht bewiesen werden konnte [10], sorgten Sekundärquellen für Aufregung: ‘PIN-Codes einfach zu knacken’ lautete beispielsweise eine Meldung der renommierten Nachrichtenagentur Reuters [11]. Andere Quellen äußerten sogar Vermutungen über die Unsicherheit der neuen ec-Karten [12].

In diesen zeitlichen Rahmen fällt auch die Vermarktung des Programms ‘CARDS’. Vertreter der Firma S.A.D. und der Agentur Borgmeier legten auf einer Pressekonferenz dar, das Ziel der Aktion sei neben dem Verkauf der CD ein ‘PR-Effekt’, gleichzeitig wurde den Kreditinstituten medienwirksam das Angebot unterbreitet, durch Zusammenarbeit ‘Sicherheitslücken auszumerzen und das System zu verbessern’ [13]. Ein Bericht der Sendung ‘Focus TV’ zeigte daraufhin die Software als universelles Hackerwerkzeug zur Manipulation der ec-Karte [14]. Neben dem Auslesen des Fehlbedienungszählers und anderer Daten wurde eine ec-Karte mit dem Magnetstreifeninhalt einer anderen Bank überschrieben und an einem Kontoauszugsdrucker dieser Bank erfolgreich eingesetzt [15]. Außerdem konnte mit der manipulierten Karte ein Lastschriftverfahren mit Unterschrift (POZ, Point-of-Sale ohne Zahlungsgarantie) durchgeführt werden, da auch hier kein zusätzliches Sicherheitsmerkmal der ec-Karte ausgewertet wird [16]. Diese Form der Werbung zeigte Wirkung, es wurden bisher mehr als 30.000 Exemplare der CD-ROM verkauft.

Zusammenfassend läßt sich feststellen, daß die Einführung dieses Produktes mit einer sehr geschickten Marketingstrategie verknüpft ist. Das Programm leistet nicht, was von ihm nach den spektakulären Pressemeldungen erwartet wird bzw. das beiliegende Booklet verspricht.

Es ist ohne Frage sehr wichtig, auf Sicherheitsprobleme, die aus der Verwendung bestehender Kartensysteme resultieren, hinzuweisen und sich für eine Verbesserung einzusetzen. Oft genug wird jedoch die Grenze zwischen wissenschaftlicher Analyse des Sicherheitsrisikos und der Äußerung von wagen Vermutungen ohne Kenntnis der Topologie des gesamten Systems verwischt. Der komplizierte technische Hintergrund macht es häufig offensichtlich nicht einmal erforderlich, den mathematischen oder praktischen Beweis für eine angebliche Sicherheitslücke zu führen. Die Gründe sind einleuchtend: Lange Zeit war es sinnvoll, die eingesetzten Sicherheitsverfahren nicht oder nur teilweise zu veröffentlichen, um den Schutz durch diese Geheimhaltung noch zu erhöhen. Heute führt diese Vorgehensweise jedoch in vielen Fällen zu spektakulären Presseberichten aufgrund wager Vermutungen seitens der Kritiker, die proprietäre bzw. geheimgehaltene Verfahren kategorisch ablehnen und daher diese pauschal als unsicher klassifizieren.

Das ec-Kartensystem beispielsweise ist als dynamisches Sicherheitskonzept dauernden Veränderungen ausgesetzt, z.B. vor vielen Jahren der Einführung des MM-Sicherheitssystems, später der Umstellung auf den Online-Verbund und heute der Umstellung auf die neuen PIN-Verfahren. Um die Sicherheit eines Systems zu einer bestimmten Zeit, z.B. im Hinblick auf einen bestimmten Betrugsfall, juristisch zu beurteilen, muß die Gesamtkonfiguration, wie sie sich genau zu dieser Zeit darstellte, analysiert werden. Ein Beurteilungshilfe hierzu ist mit dem Programm CARDS nicht einmal ansatzweise gegeben.

[1] ‘CARDS’, Firma S.A.D. GmbH, Rötelbachstr.91, 89079 Ulm, Tel. 07305-96290.

[2] ‘Kopierprogramm für Kreditkarten’, Heise News Ticker, Verlag Heinz Heise, 27.11.1997.

[3] ‘Magnetkarten entschlüsseln’ (dr), IPD, Insider Communications, http://is.eunet.ch/ipd/news/ipd4002.htm .

[4] ‘Kreditkarten - einfach kopiert ?’ (ian), ZDNet-News, Ziff-Davis Verlag, 1.12.1997.

[5] ‘Sind DES-Schlüssel unsicher’, P.Laackmann, A la Card Aktuell 37-38, 1996, S.587.

[6] ‘PC liest Magnetkarten’, F.P.Volpe, D.Hoffmann, S.Karabiyik, C’T 1, 1994, S.182-187.

[7] ‘Magnetstreifenkarte und Betrugssicherheit’, F.Lücke, American Express International Inc., Smart Card Forum: Sicherheitstechnologien im Vergleich, Hamburg, 13.11.1997.

[8] ‘Credit Card Fraud by Creating Phantoms’, M.Janke, P.Laackmann, A la Card Euro-News 5, 1997, S.66-67.

[9] ‘WISO’, ZDF, Sendung vom 24.11.1997; ‘NetNite’, ZDF, Sendung vom 21.11.1997; ‘Wie sicher sind ec-Karten ?’, M.Scheuch, WISO Info zur Sendung am 24.11.1997.

[10] Nähere Informationen in ‘Zur Sicherheit des ec-PIN-Verfahrens’, DuD - Datenschutz und Datensicherheit 11, 1997, S.657; ‘Die ec-Karte und das Chaos’, A la Card Aktuell Top News 38, 1997, S.470; ‘Anmerkungen zum OLG Hamm’, DuD - Datenschutz und Datensicherheit 9, 1997.

[11] ‘ZDF - PIN-Codes von EC-Karten einfach zu knacken’, Agentur Reuters, rtz 125 4 wl 105 vvvr 971123J01202, 23.11.1997.

[12] ‘EC-Karten: Auch die neuen sind nicht sicher’, BZ Berlin, 25.11.1997, S.47.

[13] C.Borgmeier, Pressekonferenz S.A.D. GmbH, in ‘Focus TV’, ProSieben, Sendung vom 7.12.1997.

[14] ‘Focus TV’, Pro Sieben, Sendung vom 7.12.1997.

[15] ‘Wenig Schutz vor kriminellen Angriffen’, Stern 41, 1996, S.166-168.

[16] ‘Neue Chancen für Betrüger’, Computerwoche 5, 1992, S.60.