Die PIN (Personal Identification Number) als Zugangs- und Identifikationscode stammt noch aus den Anfängen der Computer-Sicherheitstechnik, hat sich jedoch als Paßwortäquivalent in vielen Bereichen bis heute durchsetzen können: Mobiltelefone, Kredit- und Scheckkartensysteme, Zugangskontrollgeräte, elektronische Wegfahrsperren und viele weitere Anwendungen bedienen sich dieser einfachen Paßworte.

Die Vorteile einer Zahl als Paßwort liegen aus der Sicht der Systementwickler auf der Hand: Zur Eingabe einer PIN ist als Tastatur ein preiswerter Zahlenblock mit zwölf bis sechzehn Tasten ausreichend. Insbesondere im Bereich der vandalismussicheren SB-Geräte ist diese Beschränkung gegenüber einem großen Keyboard zur Texteingabe eindeutig im Vorteil. Im Falle kleiner Terminals, z.B. für Point-of-Sale Anwendungen, stehen ergonomische Gründe im Vordergrund; Tasten und Beschriftungsfelder müssen zur angenehmen und fehlerfreien Bedienung bestimmte Mindestabmessungen besitzen.

Wie stellt sich andererseits die PIN auf Seiten des Verbrauchers dar? Es handelt sich bei einer Geheimzahl um ein Interface zwischen der Person des Kunden und dem zur Interaktion vorgesehenen Terminal, etwa einem Geldausgabeautomaten. Dieses Interface stellt damit ein sensibles System dar, welches nicht nur Angriffen von außen ausgesetzt sein kann, sondern auch vielen Einflüssen aus der persönlichen Verwaltung der PIN durch den Kunden unterliegt. Die übliche, allgemein anerkannte Methode zur Vergabe einer PIN beinhaltet die sichere Generierung einer Geheimzahl und ein gesichertes Mailingverfahren bzw. eine persönliche Übergabe an den Kunden. Danach tritt die Sorgfaltspflicht des Kunden für die weitere Geheimhaltung in Kraft, und an diesem Punkt erschwert sich die Beurteilung des Risikos eines solchen Paßwortes in extremer Weise.

Eine vom Kunden nicht wählbare PIN muß in jedem Falle auswendig gelernt werden, was in Abhängigkeit der Stellenzahl der Geheimnummer mehr oder weniger gut gelingt. Ist einerseits das Risiko des Erratens einer nur dreistelligen PIN sehr hoch, kann andererseits eine fünf- oder sechsstellige PIN nur schwer auswendig gelernt werden und wird daher in den meisten Fällen schriftlich in der Nähe der Karte niedergelegt. Als Kompromiß wird daher beispielsweise die ec-PIN zur Zeit als vierstellige Zahl ausgegeben.

Obwohl bekannt ist, daß eine selbstgewählte vierstellige Zahl sehr viel besser gelernt werden kann als eine vorgegebene PIN und damit größere Akzeptanz findet, raten viele Sicherheitsexperten dringend davon ab, die Option persönlich änderbarer Geheimzahlen einzuführen. Aus Bequemlichkeit werden häufig Geburtstage, Telefonnummern, Geheimzahlen aus anderen Bereichen (GSM-Handy) oder sogar Teile der auf der ec-Karte aufgedruckten Kontonummern oder Kartennummern verwendet, womit das Risiko für den Kunden extrem anwächst. Die Sorgfaltspflicht des Kunden weitet sich auch auf die Wahl seiner PIN aus - ein juristisch kaum zu übersehendes Problem.

Um dieses Problem zu umgehen und dem Kunden zu ermöglichen, auch mehrere PIN sicher zu verwahren, wurden zahlreiche Produkte entwickelt, die im Folgenden in Bezug auf ihre Sicherheit genauer beleuchtet werden sollen:

Nahezu alle Merkhilfen basieren auf der Idee, daß die eigentliche PIN, beispielsweise einer ec-Karte, mit einem Verschlüsselungsverfahren in eine andere Zahl oder ein Paßwort umgewandelt wird, welches vom Kunden selbst gewählt werden kann.

PIN-Datenbanken verwenden ein elektronisches Verschlüsselungsverfahren. Mehrere PIN, die verschlüsselt und gesichert in einem Speicherbereich abgelegt sind, können nach Eingabe einer Master-PIN oder eines Master-Paßwortes wieder gelesen werden. Das Programm ‘Credit Card Safe’ (Abb.1) beispielsweise ist in der Lage, die PIN sowie wichtige Informationen über verschiedene Karten verschlüsselt auf der Harddisk eines PC abzulegen.

Abb.1

Diese PC-Programme entsprechen der Verwahrung einer PIN in schriftlicher Form in einem Safe, und eignen sich somit nicht zur direkten Verwendung vor Ort. Praktischer sind hierfür erweiterte Taschenrechner, die über einen paßwortgeschützten Datenbankbereich verfügen (Abb.2). Diese meist zur Speicherung von Adressen verwendeten Geräte sichern die zu verwaltenden Daten in einem EEPROM oder einem batteriegepuffertem statischen RAM.

Abb.2

Außer diesen Mehrzweck-Taschendatenbanken sind auch scheckkartengroße Entwicklungen auf dem Markt, die speziell an das Problem der PIN-Speicherung angepaßt wurden (Abb.3). Der fünfzehn Gramm leichte ‘Uni-Code-Safe" speichert maximal dreiunddreißig Geheimnummern bis zu sechs Stellen und ist gegen unbefugtes Auslesen gesichert; nach dreimaliger Fehleingabe der Master-PIN werden die gespeicherten Daten aktiv gelöscht.

Abb. 3

Die Geräte können sich unterschiedlicher Methoden zur Sicherung der PIN bedienen, im einfachsten Fall werden die Daten im Klartext in einem internen Speicher abgelegt, der über den Mikroprozessor mit einem Master-Paßwort geschützt wird. Dies entspricht den Möglichkeiten einer intelligenten Speicherchipkarte. Ein aufwendigeres Verfahren ist die Verschlüsselung der Daten mittels des Master-Paßwortes. Die Wahl der Sicherungsmethode ist hier weniger kritisch als im Falle der PC-Programme, da es durch den gekapselten Aufbau der Geräte sehr schwierig ist, Einblick in die Daten zur Analyse zu erhalten.

Das einzige Problem dieser Datenbanken stellt das ‘Pooling’, also die Reduzierung von mehreren PIN auf ein einzelnes Paßwort dar. Wird dieses z.B. durch Ausspähen bekannt, sind gleichzeitig alle in der Datenbank gespeicherten PIN bedroht. Da die Eingabe des Master-Paßwortes dem Kunden überlassen bleibt, stellt diese Art der PIN-Sicherung bei unglücklicher Auswahl eine Verschlechterung des ürsprunglich vorhandenen Sicherheitsstandards dar.

Die Umwandlung einer oder mehrerer vorgegebener Geheimzahlen in ein vom Kunden selbst wählbares Wort bzw. eine Master-PIN kann außer durch elektronische Verfahren auch mittels sehr viel einfacherer Vorrichtungen erfolgen: Die sogenannten Memory Cards entsprechen Umwandlungstabellen (‘Maps’), wie sie aus den Anfängen der Kryptografie bekannt sind. Eine Zahl wird durch eine Eintragung in einer Tabelle mit einer anderen Zahl oder einem Buchstaben verknüpft.

Das einfachste Beispiel für diese Verschlüsselungstechnik liefert die Merkhilfe ‘Pinsafe’ der Bank of Melbourne. Es handelt sich um eine zweireihige Tabelle, mit deren Hilfe die Karten-PIN in ein frei wählbares Wort mit vier Buchstaben umgewandelt werden kann. Zunächst werden die Ziffern der PIN nacheinander unter den Buchstaben des Wortes eingetragen.

Das folgende Beispiel zeigt den Ersatz der vorgegebenen PIN ‘1637’ durch das Wort ‘GREY’. Unter dem ‘G’ für den ersten Buchstaben wird die Zahl ‘1’ als erste Stelle der PIN eingesetzt, unter dem ‘R’ die Zahl ‘6’; ‘E’ und ‘Y’ werden durch die Zahlen ‘3’ und ‘7’ dargestellt.

Um die Ziffern der PIN vor Dritten zu verbergen, wird diese Tabelle anschließend mit zufällig gewählten Zahlen aufgefüllt:

Ein hierzulande verwendetes Äquivalent dieser Karte ist die ‘MEMOCARD’ der Sparkassen, die vor einigen Jahren an ec-Kunden verteilt wurde. Auch diese Karte konvertiert eine vorgegebene PIN in ein frei wählbares Paßwort mit vier Buchstaben. Ein ähnliches Prinzip wird hier jedoch aufwendiger realisiert:

Eine MEMOCARD besteht aus zwei Buchstabenreihen sowie vier Zahlenreihen. Wie auch im Falle der ‘Pinsafe’-Karte werden zunächst die Ziffern der PIN nacheinander unter die Spalten der betreffenden Buchstaben des Paßwortes eingefügt, die erste Ziffer jedoch in die erste Zahlenreihe, die zweite Ziffer in die zweite Zahlenreihe etc., danach werden auch hier die freien Felder der Tabelle mit beliebigen Zahlen aufgefüllt.

Abb.4

Das abgebildete Beispiel zeigt die Umwandlung der vorgegebenen PIN ‘9876’ in das frei gewählte Wort ‘WALD’ (Abb.4).

Auf den ersten Blick erscheint die MEMOCARD sehr sicher, da die für die vier Stellen der PIN zur Verfügung stehenden zehn Ziffern von Null bis Neun lediglich durch jeweils eines von dreizehn Buchstabenpaaren ersetzt werden. Entscheidend für die sichere Verschlüsselung ist jedoch die Wahl dieser Buchstaben. Da in den allermeisten Fällen ein deutsches Wort, eine gebräuchliche Abkürzung oder ein Vorname als Paßwort eingesetzt wird, läßt sich mittels einer Wortliste die Auswahl der möglichen Geheimzahlen einer Memocard auf etwa eintausend Zahlen bzw. Worte einschränken.

Da die vier Ziffern der Geheimzahl stets vor den zufällig gewählten Zahlen eingetragen werden, sind diese, wie Versuche zeigten, schriftbildlich oft sehr sorgfältig ausgeführt. Das Erscheinungsbild dieser Ziffern unterscheidet sich in vielen Fällen in Qualität und Schriftrichtung deutlich von den anschließend in schneller Folge eingefügten Ziffern, so daß auch eine graphologische Auswertung möglich ist. Hier stellt sich vor allem die juristische Frage, inwieweit das Ausfüllen einer Memocard mit einer für den Fachmann oder durch ein Schriftanalyseprogramm erkennbaren PIN eine Verletzung der Sorgfaltspflicht des Kunden darstellt.

Fatale Folgen konnte die Verwendung einer Memocard noch vor kurzer Zeit mit sich ziehen: Das Risko eines einfachen und effektiven Angriffs auf die ec-PIN, der am 20.4.1997 erstmals publiziert wurde und die früher während der Ausgabe der Geheimzahlen entstandene Ungleichverteilung der Ziffern nutzt (vgl. Card Forum 9, 1997, S.39-47), kann mit Hilfe einer Memocard noch einmal deutlich erhöht werden. Etwa zehn Prozent aller ec-Geheimnummern, die mittels des alten Verfahrens generiert wurden, waren dadurch gekennzeichnet, daß nach einer führenden Eins die letzten drei Stellen dieser Geheimnummern die Ziffern Null bis Fünf enthielten. Täter mit dieser Kenntnis konnten, um die Ratechance für eine unbekannte PIN zu erhöhen, am Geldautomaten nach Eingabe einer entwendeten Karte drei von 216 dieser sehr häufigen PIN ausprobieren. Besaß ein Kunde eine dieser häufigen PIN, und hatte er gleichzeitig eine ausgefüllte Memocard zusammen mit der ec-Karte verwahrt, so stieg sein Risiko dramatisch an. Tests mit mehreren Versuchspersonen zeigten, daß in ungünstigen Fällen durch diese Kombination nur noch zwischen etwa fünfzehn Geheimzahlen zu wählen ist, bei drei Versuchen liegt die Chance für den Täter damit bei 1:5. Bald nach der Diskussion um den Wert solcher zweifelhafter Merkhilfen wurde die Verteilung der Memocard eingestellt.

Oft werden zur Verschlüsselung einer Geheimzahl eigene Verfahren angewendet, beispielsweise wird sehr häufig zur eigentlichen Geheimzahl eine selbst gewählte Zahl addiert und das Ergebnis schriftlich niedergelegt. Auch hier ist eine juristische Beurteilung im Schadensfall sehr schwierig; hat ein Kunde beispielsweise zehn Geheimzahlen auf diese Weise mit dem gleichen Additionswert (‘Master-PIN’) verschlüsselt zusammen auf einen Zettel geschrieben, kann diese Master-PIN zwar nicht größer sein als die kleinste der auf dem Zettel befindlichen Zahlen, die Einschränkung nutzt dem Dieb jedoch wenig, da er nicht weiß, welche PIN welcher Anwendung bzw. Karte zuzuordnen ist. Eine weitere umstrittene Möglichkeit der Verwahrung ist die Vertauschung der Ziffern der PIN. Als eindeutige Verletzung der Sorgfaltspflicht wird dagegen die Ablage der unveränderten PIN als Telefonnummer im Adressbuch beurteilt.

Alle angeführten Punkte machen deutlich, daß eine Geheimzahl heutzutage nur ein ungenügendes Hilfsmittel zur sicheren Identifizierung, beispielsweise zur Transaktion an einem Geldausgabeautomaten, darstellen kann. Insbesondere weil immer mehr Applikationen aus dem täglichen Leben einen Zugangscode in Form einer PIN verlangen (Handy, Kreditkarten, Mobiltelefon, Zahlenschlösser, Wegfahrsperren usw.), entsteht für den Kunden eine ‘Inflation’ der Geheimnummern und damit auch eine Abnahme der Sicherheit jeder einzelnen Anwendung. Hinzu kommt das Problem der Paßwortalterung, viele Kunden besitzen beispielsweise eine seit zehn Jahren unveränderte ec-PIN, während moderne EDV-Systeme in Sicherheitsbereichen es kaum zulassen, daß ein Paßwort länger als drei Monate verwendet wird, oder daß nach kurzzeitigem Wechsel wieder das alte Paßwort gewählt wird, wie dies bei der Umstellung auf frei wählbare Geheimzahlen der Fall sein kann. Durch den mehr oder weniger vorsichtigen Umgang mit den PIN-Codes kann die Sicherheit im Einzelfall extrem schwer beurteilt werden, dies ist, besonders im juristischen Bereich zur Bewertung von Betrugsfällen, ein enormer Nachteil.

Eine Veränderung ist demnach dringend nötig und kann auf vielen Wegen erfolgen. Die beste Lösung ist die Abschaffung der Geheimzahlen als Interface zwischen Mensch und Terminal; denn der ideale Identifikationscode ist zweifellos der Mensch selbst. Moderne biometrische Verfahren ermöglichen in Kombination mit heute verfügbarer Standard-Terminalhardware eine sehr sichere Identifizierung des Kunden anhand wählbarer Merkmale. Der Gefahr des Mißbrauchs persönlicher Daten, z.B. des Fingerabdrucks, kann dabei begegnet werden, indem die Speicherung der biometrischen Daten ausschließlich in der zur Transaktion verwendeten Karte erfolgt. Da beispielsweise für die Speicherung der Merkmale eines Fingerabdrucks nur etwa 70 Byte benötigt werden, ist außer der internen Verifizierung auf einer Chipkarte sogar die Speicherung der verschlüsselten Daten auf herkömmlichen Magnetstreifenkarten möglich. Die Möglichkeiten der biometrischen Datenerfassung haben sich in den letzten Jahren rapide verbessert. Aus der lange bewährten Technologie der Netzhautabtastung (‘retina scan’), die noch verlangte, daß ein Auge sehr dicht an die entsprechende Kameraöffnung gebracht werden mußte, entwickelte sich ein Verfahren zur Auswertung der Merkmale der Regenbogenhaut des Auges (‘iris scan’). Stand der Technik ist die eindeutige Erkennung einer Person aus etwa einem Meter Entfernung, auch für den Fall daß Kontaktlinsen oder eine Brille getragen werden. Da die Regenbogenhaut die Pupille umschließt und diese als ‘Blende’ des Auges je nach Lichtverhältnissen ihren Durchmesser ändert, kann weiterhin durch kurzzeitige Änderung der Beleuchtung eine Änderung der Pupillengrösse induziert werden: Eine Simulation, z.B. ein Foto, wird sofort erkannt, da dieses auf Lichtreize nicht reagieren kann. Weitere physiologische Merkmale, wie z.B. die dynamische Bewegung der Muskeln im Auge (‘Tonus’) und die Helligkeitsunterschiede durch den Puls, erschweren die Manipulation eines Irisscan-Systems.

War ein derartiges System noch vor einigen Jahren extrem teuren Hochsicherheitsanwendungen vorbehalten, kann es heute, realisiert durch eine preisgünstige Schwarzweiß-CCD-Kamera mit spezieller Optik und Auswertungscomputer, zu akzeptablen Preisen in einen Geldautomaten integriert werden.

Noch stehen dem großflächigen Einsatz der Iris-Scanner als Identifikationsmedium beispielsweise für das eurocheque-System jedoch weitreichende Probleme entgegen. Einerseits müßten für eine hohe Effektivität sämtliche Geräte mit den Erweiterungen versehen bzw. ausgetauscht werden, da sonst Lücken in der Gesamtsicherheit des Systems entstehen. Betrüger würden weiterhin die Geldautomaten nutzen, die nicht nachgerüstet wurden. Während die Installation der Iris-Biometrie an stationären Geldautomaten unproblematisch ist, lassen sich die kleineren Terminals, z.B. POS-Geräte, aus Gründen der geringen Abmessungen zur Zeit noch nicht umrüsten. Das Hauptvolumen der auftretenden Betrugsfälle würde sich somit nur in andere Bereiche verlagern.

Hohe Sicherheit, kostengünstige Projektierung und Fertigung, einfache Bedienung, Wartungsfreiheit und natürlich geringe physikalische Abmessungen und niedriger Stromverbrauch des zu integrierenden Sensormoduls sind Anforderungen an ein ideales Biometrie-System.

Der Zeilenscanner FingerChip^TM von Thomson-CSF erfüllt einen großen Teil dieser Voraussetzungen. Es handelt sich hierbei um eine Anordnung (‘linear array’) von Wärmesensoren mit den Abmessungen 2mm x 17.5 mm (Produktname FC2x17), die extrem schnell reagieren und es somit ermöglichen, durch einfaches einmaliges Herüberziehen des Fingers über die Oberfläche einen gesamten Fingerabdruck aufzunehmen. Hierbei wird keine externe Lichtquelle oder Optik benötigt.

Abb.5

Ein digitaler Ausgang erleichtert eine weitere Verarbeitung der Daten, hier sollte jedoch erwähnt werden, daß die Rekonstruktion des kompletten Abdrucks aus den Einzelsegmenten (Abb.5) im Mikrocontroller des Terminals erfolgen muß. Dies ist, besonders wenn die Geschwindigkeit der Fingerbewegung schwankt, recht aufwendig.

Einen weitern sehr interessanten Ansatz zur biometrischen Erkennung auch an kleinen Terminals zeigt eine Entwicklung der Firma SGS-Thomson. Der ‘Fingerprint Imager’ STFP2015-50 TouchChip^TM ist ein Silizium-Microchip mit einer relativ großen Oberfläche, auf die ein Finger aufgelegt werden kann (Abb.6: Chip auf einer Platine angeordnet). Ein Feld von 20.000 Sensoren registriert die durch das aufliegende Gewebe hervorgerufene Kapazitätsänderung an der Oberfläche; je nach Abstand der Haut an der betreffenden Stelle liefert jeder einzelne Sensor einen Wert, der einem Grauwert zugeordnet werden kann und auf diese Weise ähnlich wie ein optisches System direkt ein Bild des Fingerabdrucks liefert. Die Auflösung des Verfahrens beträgt 50 Mikrometer (508 dpi), das entstehende Bild kann ohne weitere kontrastgebende Rechenverfahren verwendet werden.

Fingerprint Imaging auf der Basis der Siliziumsensoren wird zweifellos zum Verfahren der Wahl für portable Geräte avancieren. Geringe Stromaufnahme bei niedriger Betriebsspannung und hohe mechanische Stabilität zeichnen den Sensor ebenso aus wie die Möglichkeit, ohne weitere mechanische oder optische Bauteile (Kameraoptik, Prisma, Leuchtmittel) und aufwendige Justierung dieser Komponenten in der Fertigung auszukommen. Der Sensor ist darüber hinaus relativ unempfindlich gegen Verschmutzung und Fremdlicht-einstrahlung, ein weiterer Vorteil gegenüber optischen Systemen. Ähnlich wie ein Chip einer CCD-Kamera liefert der Fingerprint Imager momentan mit einer Frequenz von zehn Hertz, also zehnmal in einer Sekunde, die reinen Bilddaten des Fingerabdrucks. Somit können bereits vorgefertigte Softwarepakete zur Bildanalyse eingesetzt werden, die für herkömmliche optische Systeme eingesetzt wurden. Der Chip wird von einer speziellen Beschichtung, die eine hohe Mohrsche Härte besitzt, gegen Verkratzung gesichert. Dies ist besonders für den Einsatz an öffentlichen Terminals wichtig; Verschleißprobleme von Prismen für die optische Erkennung von Fingerabdrücken sind lange bekannt und führten zum Einsatz von teuren gehärteten Gläsern als Material für die benötigten Prismen. Auch die während des Betriebs auftretenden Verschmutzungen können von den gehärteten Oberflächen besser entfernt werden.

Seit November 1997 sind Datenblätter des STFP2015-50 erhältlich, Evaluation Kits für Entwickler, die den Sensor sowie eine einfache Ansteuerungselektronik beinhalten, stehen bereits zur Verfügung. Als ‘Target Price’ wurden 50 US$ bei einer Abnahme von 10.000 Stück genannt, der Preis für einzelne Muster beträgt etwa 150 US$.

In naher Zukunft steht möglicherweise der Einsatz eines integrierten Fingerprint Imagers im Körper einer Chipkarte bevor. Wurde schon vor vielen Jahren die ‘SuperSmartCard’ entwickelt, die es ermöglicht, mit Hilfe einer eigenen Folientastatur eine PIN einzugeben, so könnte nun mittels der neuen Technik die direkte Identifikation des Kunden gegenüber der Chipkarte gelingen. Problematisch bleibt momentan noch die Realisierung einer solch großen Siliziumfläche auf einer biegsamen Karte, da sich mit der maximalen Dicke von 0.8 mm nach ISO durch kein bekanntes Material eine ausreichende Biegefestigkeit erreichen läßt. Als Ausweg wäre die Aufteilung des Sensors in viele kleine Einzelsegmente, die gegen Biegung und Torsion wesentlich unempfindlicher sind, oder dessen Realisierung aus biegsamen elektrisch leitfähigen Polymeren denkbar. Eine derartige Karte wäre nicht nur sehr sicher und benutzerfreundlich, sondern auch im Hinblick auf den Datenschutz unbedenklich, da die für den Fingerabdruck relevanten Daten während des gesamten Identifikationsprozesses niemals die Chipkarte verlassen.

Ein weiteres Low-Cost Biometrieverfahren stellt die Erkennung der Stimme des Kunden dar. Außer einem Miniatur-Kondensatormikrofon, welches auch nachträglich in jedes Terminalgehäuse integriert werden kann, und einem Analog-Digitalwandler, der die aufgenommene Stimme digitalisiert, werden keine zusätzlichen Komponenten benötigt. Aufwendiger ist dagegen der Verarbeitungsprozess zur Analyse der Sprachmerkmale. Soll dieser Schritt im Terminal selbst erfolgen, muß ein sehr leistungsfähiger Mikrocontroller und ein Signalprozessor sowie relativ viel RAM-Speicherplatz eingesetzt werden. Eine Alternative bietet die digitale Übertragung der aufgenommenen Stimme an einen Zentralrechner, in dem auch die Autorisierung vorgenommen wird. Gelingt hier jedoch die Identifikation des Kunden nicht auf Anhieb, beispielsweise bei Anwesenheit lauter Nebengeräusche, so erhöht sich die Wartezeit bis zur erfolgreichen Transaktion auf ein vielfaches, so daß hier das Fingerprint Imaging eindeutig im Vorteil ist.

Die Zunkunft der sicherheitsrelevanten Chipkartenapplikationen wird zweifellos von Low-Cost-Biometriesystemen bestimmt. Sobald es die Modulpreise zulassen, werden PIN oder Paßworte als ‘veraltetes Interface’ auch für Konsumanwendungen obsolet.