Schutz vor PIN-Skimming
der Abgeordneten Jan Korte, Karin Binder, Caren Lay, Petra Pau, Jens Petermann, Raju Sharma, Frank Tempel, Halina Wawzyniak und der Fraktion DIE LINKE.
Vorbemerkung
Am 2. Januar 2011 berichtete die „Frankfurter Allgemeine Sonntagszeitung“ (FAS), dass das Bundeskriminalamt (BKA), als Maßnahme gegen das 2010 stark angestiegene Ausspähen der Daten von EC- und Kreditkarten an Geldautomaten (Skimming), eine flächendeckende Einführung magnetstreifenloser Debitkarten fordert.
Seit dem 1. Januar 2011 werden die Transaktionen zwischen Karte und Geldautomat im Euro-Raum von einem EMV-Chip abgewickelt, der die im Magnetstreifen enthaltenen Daten verschlüsselt speichert und das Fälschen von Karten unmöglich machen soll. Trotzdem haben die meisten EC- und Kreditkarten auch weiterhin zusätzlich einen Magnetstreifen, damit die Geldkarten auch außerhalb des einheitlichen Euro-Zahlungsraumes eingesetzt werden können.
In ihrer am 9. März 2011 vorgestellten Präsentation „Credit Card skimming and PIN harvesting in an EMV world“ (http://dev.inversepath.com/download/emv/emv_2011.pdf) beschreiben vier Forscher, wie sich die Kommunikation zwischen Terminal und Chip durch eine flache Platine im Kartenschlitz belauschen und manipulieren lässt, um an eine PIN zu gelangen.
Dabei sei es laut einem Bericht bei „heise online“ vom 16. März 2011 „unerheblich, ob die Karte einen billigen Chip ohne eigene Kryptografiefunktion (SDA) oder einen teuren, bislang als sicher geltenden Chip mit Dynamic Data Authentication (DDA) enthält“. Der Bericht zitiert Daniele Bianco, einen der vier Forscher, mit folgender Aussage: „Das eigentliche Problem bei EMV ist, dass durch die scheinbare Sicherheit des Verfahrens die Beweislast auf den Kunden abgewälzt wird. Es wird ihm unterstellt, dass er fahrlässig mit seiner PIN umgegangen ist.“ Betroffen seien nach Daniele Biancos Ansicht alle EMV-Installationen, demnach auch die in der Bundesrepublik Deutschland.
Von diesen grundsätzlichen Sicherheitsproblemen wissen Hersteller und Banken jedoch offenbar schon seit über fünf Jahren. Am 8. März 2006 berichtete das ARD-Fernsehmagazin „Plusminus“ bereits über Schwachstellen von Kreditkarten, die mit der neuen Chiptechnologie ausgestattet sind. Damals demonstrierten Wissenschaftler der Universität Cambridge bereits in einem Skimming-Angriff auf SDA-Karten unter Laborbedingungen, wie sich die Kommunikation der Karte mit einem präparierten Chipkartenterminal abhören lässt. Vor rund einem Jahr zeigten dieselben britischen Forscher zudem einen Weg auf, mit dem sich das EMV-Verfahren bei EC- und Kreditkarten so aushebeln lässt, dass Karten scheinbar beliebige PIN akzeptieren. Diese Manipulation ließ sich allerdings im Nachhinein aufdecken, so dass, anders als bei den neuesten Skimming-Attacken, die Kunden nicht automatisch in Haftung wären (vgl. hierzu auch heise online vom 8. März 2011).
Laut FAS schlägt das BKA im Kampf gegen Skimming den Banken vor, standardmäßig EC- und Kreditkarten ohne Magnetstreifen auszugeben. Lediglich an Kunden, die ihre Karten auch im außereuropäischen Ausland einsetzen wollen, soll auf Antrag eine zweite Karte mit Magnetstreifen ausgehändigt werden, was jedoch nur 5 Prozent der Bankkunden betreffe (FAS vom 2. Januar 2011).
Schon im Juli 2010 hatte das BKA davor gewarnt, dass bei Skimming-Angriffen ein neuer Höchststand bevorstünde. Nach Angaben des BKA wurden bereits im ersten Halbjahr 2010 so viele Skimming-Fälle registriert wie im gesamten Vorjahr und dieser Trend hätte sich auch im zweiten Halbjahr fortgesetzt (vgl. FAS vom 2. Januar 2011).
Wir fragen die Bundesregierung:
Fragen14
Wie viele Debitkarten sind derzeit bei den in der Bundesrepublik Deutschland lebenden Bürgerinnen und Bürger im Umlauf (bitte nach Kartenart und Ausstattungsmerkmalen aufschlüsseln)?
Wie bewertet die Bundesregierung das derzeitige Risiko von PIN-Skimming in der Bundesrepublik Deutschland, vor dem Hintergrund der aktuell aufgedeckten Sicherheitsprobleme bei der bislang als sicher geltenden DDA-Chipklasse?
Wie viele der sogenannten Skimming-Angriffe, von denen in der Bundesrepublik Deutschland lebende Bürgerinnen und Bürger betroffen waren, wurden seit 2005 vom BKA im In- und Ausland registriert (bitte nach Halbjahr/Jahr, Land, Bundesland und Angriffsart aufschlüsseln)?
Wie hoch beläuft sich der durch die sogenannten Skimming-Angriffe entstandene Schaden seit 2005 (bitte nach Halbjahr/Jahr, Land und Bundesland aufschlüsseln)?
Wie viele Fälle konnten vom BKA und anderen mit dem Problem befassten Polizeistellen seit 2005 aufgedeckt und aufgeklärt werden (bitte nach Jahr und Bundesland aufschlüsseln)?
Wer kommt bei Skimming-Attacken aufgrund welcher Rechtslage für den entstandenen Schaden auf?
In wie vielen Fällen mussten die betroffenen Kunden den Schaden selbst tragen, in wie vielen Fällen gelang es eine Manipulation nachzuweisen, und in wie vielen Fällen wurde der Schaden von den Banken übernommen?
Wie bewertet die Bundesregierung, vor dem Hintergrund der aktuell aufgedeckten Sicherheitsprobleme bei den bislang als sicher geltenden DDA-Chips, die Forderungen des BKA an die Banken, standardmäßig nur noch EC- und Kreditkarten ohne Magnetstreifen auszugeben?
Wie war nach Kenntnis der Bundesregierung die Resonanz bei den Banken auf die Forderungen des BKA, und was hat sich an der Kartenausgabepraxis seitdem geändert?
Erwägt die Bundesregierung gesetzgeberische Initiativen zur Verbesserung der Sicherheit von EC- und Kreditkarten?
Wie beurteilt die Bundesregierung das geschilderte Beweislastproblem bei EMV, und hat sie bereits Maßnahmen erwogen oder unternommen, um hier die Kunden zu schützen und gegenzusteuern?
Wenn ja, welche waren/sind dies?
Wenn nein, warum nicht?
Wurden und werden Mittel aus dem Bundeshaushalt (z. B. im Bereich der Sicherheitsforschung) zur Entwicklung sicherer Bankautomatentransaktionen verwendet, und wenn ja, in welcher Höhe?
Wie erklärt sich die Bundesregierung die ausbleibende Reaktion auf die 2006 bekannt gewordenen Sicherheitsprobleme, und hat die Bundesregierung in dieser Sache irgendetwas unternommen?
Wenn ja, was?
In welchen Ländern des einheitlichen Euro-Zahlungsraumes, und in welchen anderen Ländern sind derzeit Karten ohne Magnetstreifen überhaupt, und in welchem Ausmaß einsetzbar?
Erforschen BKA und das Bundesamt für Sicherheit in der Informationstechnik die Sicherheitsprobleme mit Bankkarten, und wenn ja, in welcher Form, seit wann, in welchem Umfang, und mit welchem Aufwand?