Das ist das Ergebnis einer Forschungsarbeit an der Universität Cambridge, das auf der Kryprographie-Konferenz CHES präsentiert wurde, wie die Financial Times berichtet. Fehler in der Datenverschlüsselung machen es möglich, die Details einer Transaktion über das Karten-Lesegerät in Erfahrung zu bringen. Die Cambridge-Forscher berichten von einer grossen Anzahl von Missbrauchsfällen und machen die Banken verantwortlich.

Realitätsverweigerung bei Banken

Die Forscher aus Cambridge beschäftigen sich schon seit Jahren mit der Sicherheit von Bezahlsystemen und haben bereits wiederholt auf die Lücken in der «Chip and Pin»-Technologie aufmerksam gemacht. Das System, bei dem die Karte in ein stationäres oder tragbares Lesegerät gesteckt und die Transaktion mit PIN bestätigt wird, ist in Einzelhandel und Gastronomie weit verbreitet. Banken und Kreditkartenfirmen haben die Probleme laut den Forschern wiederholt heruntergespielt oder als «theoretisches Problem» bezeichnet.

Zum Schutz der Konsumenten unterliegen die Bezahl-Terminals und Karten eigentlich strengen Sicherheitsauflagen. «Unsere Terminals sind EMV (Europay, MasterCard, Visa) und PCI (Payment Card Industry) zertifiziert beziehungsweise unterliegen diesen strengen Standards. Die Sicherheit wird von unabhängigen Stellen geprüft. Die Richtlinien werden ständig angepasst und die Geräte auf dem neusten Stand gehalten. Benutzt ein Händler ein Zahlungs-Terminal ohne EMV-Standard, obwohl die Karte, mit der Zahlungsvorgänge durchgeführt wurden, über einen EMV-Chip verfügt, dann haftet er im Betrugsfall für den Schaden», sagt Thomas Mohl von der Firma HOBEX payment systems gegenüber pressetext.

Seit vergangenem Juni sind die Cambridge-Forscher laut eigenen Angaben durchschnittlich ein Mal wöchentlich von Opfern der löchrigen Kartensysteme kontaktiert worden. «Wir sind auf viele Fälle von Personen gestossen, die im Urlaub mit ihren Karten bezahlt haben und deren Konten dann von Geldautomaten in der Nähe des Verwendungsortes belastet wurden. So sind Tausende von Pfund an Schaden entstanden», sagt Ross Anderson, einer der verantwortlichen Cambridge-Forscher. Wer für den Schaden aufkommt, ist nicht immer klar geregelt.

Banken sollen zahlen

Entsteht der Schaden durch eine Kreditkarte, haftet die ausstellende Firma normalerweise für den entstandenen Schaden, ausser es liegt ein Fall von grober Fahrlässigkeit durch den Besitzer der Karte vor. Bei EC-Karten ist die Lage allerdings etwas vertrackter. Banken übernehmen die Haftung nicht immer oder nur bis zu einer gewissen Höhe. In Fällen, die vor Gericht gekommen sind, haben die Richter in Österreich zuletzt allerdings oft die Banken zur Übernahme der entstandenen Schäden verpflichtet. Britische Studien aus den Jahren 2008/2009 kamen zu dem Ergebnis, dass 44 Prozent der Betrugsopfer nicht ihre gesamten Verluste ersetzt bekamen.

«Die Banken haben Kunden immer wieder versichert, das System sei sicher und immer wieder hat sich herausgestellt, dass das nicht stimmt. Die Banken verweigern oft Entschädigungen aufgrund der angeblichen Unknackbarkeit des Systems. Das ist ein grosser Regulierungsfehler», so Anderson. Die Forscher haben die Banken bereits zu Jahresbeginn von den Fehlern im System in Kenntnis gesetzt. Mit ihren Ergebnissen hoffen die Wissenschaftler, den Druck auf die Banken zu erhöhen, damit sie öfter für entstandene Schäden aufkommen.

(knob/pte)