taz_archiv_11462231328988

Mit der Geheimnummer auf du und du
: Viele niedrige Ziffern

■ Das Sicherheitssystem der PIN-Codes für EC-Karten hat seine Schwächen

Die Zweifel am Sicherheitssystem seiner Euroscheck-Karten, die einen Bremer Spanien-Urlauber befallen haben (vgl. taz vom Samstag) sind nach Meinung vieler Experten durchaus berechtigt. Der Mann hatte trotz falscher Geheimnummern mehrfach mit seinen EC-Karten der Sparkasse Bremen aus Geldautomaten Bares gezogen.

Wie der Ausfall des wichtigsten Sicherungssystems im Falle von Verlust oder Diebstahl der Scheckkarten möglich war, will die Sparkasse nun prüfen. Wahrscheinlich ist, daß die Automaten nicht am Netz hingen oder die Datenleitung für den Rückabgleich der Nummern in der Heimatbank blockiert war.

Wenn sich nun Fremde am eigenen Konto bedienen, sind die Geheimnummern meistens ausgespäht und die Scheckkarten gestohlen worden. Dennoch läßt sich das Sicherheitssystem mit krimineller Energie auch rechnerisch knacken, wie die Zeitschrift Finanztest berichtet.

Dabei sieht das Sicherungssystem auf den ersten Blick solide aus. Wer Geld aus dem Automaten holen will, muß seine vierstellige persönliche Identifikationsnummer (PIN) eingeben. Diese Nummer ist nirgendwo auf dem Magnetstreifen der Karte gespeichert. Die PIN wird aus der Bankleitzahl, der Kontonummer und der laufenden Kartennummer errechnet, die mit einem speziellen Datenschlüssel verschlüsselt werden. Daraus erstellt der Bank-Computer eine 16stellige Zahl und greift an fest vorgegebenen Stellen dieser Zahlenkolonne vier Ziffern heraus. Diese müssen mit der vom Kunden eingetippten PIN-Zahl übereinstimmen, dann gibt der Computer den Automaten frei.

Jede Bank benutzt ihren eigenen Datenschlüssel. Weil aber die Kunden auch an Automaten der anderen Bankgruppe Geld bekommen sollen, gibt es neben dem Institutsschlüssel noch einmal einen Schlüssel für jede Bankgruppe, den die Experten Poolschlüssel nennen. Da liegt nach Einschätzung der Finanztester ein Schwachpunkt im System: Wer einmal in den Besitz der Poolschlüssel kommt, kann die PINs per Computer in Sekundenschnelle knacken.

Zwei Studenten haben außerdem nachgewiesen, daß bestimmte Ziffern häufiger als andere in PINs vorkommen, so daß weniger als die ursprünglich 10.000 verschiedenen Kombinationen vergeben sind. Schon weil PINs nie mit 0 anfangen, fallen 1.000 Möglichkeiten weg. Außerdem, so haben zwei Studenten aus Kiel und Hamburg festgestellt, sind die Ziffern 0 bis 5 doppelt so häufig vertreten wie die Ziffern 6 bis 9. Besonders oft steht die 1 an erster Stelle. Die Zahlen 1.000 bis 1.555 ohne die Kombinationen mit 6,7,8 und 9 – also zum Beispiel 1 342 – sind extrem häufig vergeben. Nach Berechnungen der Studenten entfallen zehn Prozent aller EC-Karten auf diese nur noch 216 Zahlenkombinationen. jof