Angriff auf die PINs am Hochsicherheitsmodul (HSM)

Das ARD-Magazin "report aus München" greift in einem aktuellen Beitrag eine selten ins Spiel gebrachte Variante der PIN-Ausspähung auf. Die Betrüger greifen hier nicht die Karteninhaber, sondern die Banken an. Auf dem elektronischen Weg zur Autorisierung einer Zahlung durchlaufen die Transaktionsdaten üblicherweise mehrere Punkte. Vereinfachtes Beispiel:

PIN-Pad verschlüsselt Kundeneingabe mit Schlüssel K1, sendet Daten an Netzbetreiber
Netzbetreiber entschlüsselt Kundeneingabe mit Schlüssel K1
Kundeneingabe liegt im Klartext vor
Netzbetreiber verschlüsselt Kundeneingabe mit Schlüssel K2 und sendet Daten an Bank
Bank entschlüsselt Kundeneingabe mit Schlüssel K2
Kundeneingabe liegt im Klartext vor
Bank vergleicht Kundeneingabe mit PIN

Wie kommen Betrüger hier also an die PIN? Sie müssen entweder Kenntnis der Schlüssel K1 oder K2 erlangen. Oder aber es müsste ihnen gelingen, die Transaktionsdaten an einer Stelle abzuhören, an der die Kundeneingabe im Klartext vorliegt (im Beispiel an den Stellen 3 oder 6). Um dies zu verhindern dürfen solche sensiblen Operationen nur in technisch und organisatorisch stark reglementierten Sicherheitsumgebungen möglich sein. Ein Zugriff auf die Sicherheitssysteme oder ein Zugang zu den Sicherheitsräumen wäre für unautorisiertes Personal, wie etwa Putzpersonal, in Deutschland nicht möglich. Aber auch hier reicht natürlich ein schwaches Glied in der Kette für einen erfolgreichen Angriff.
Um an die PIN einer ec-Karte zu kommen bieten sich in Deutschland eine Reihe potentieller Angriffspunkte für die electronic cash-Verarbeitung. Hinzu kommen Angriffspunkte für die Maestro-Verarbeitung im Ausland. Vom "Bauchgefühl" würde die Branche Angriffe sicherlich eher dort vermuten; im Statement des Zentralen Kreditausschusses (ZKA) an den report München: "man habe ausländische Partnerbanken wiederholt auf die Wichtigkeit rigider Sicherheitsmaßnahmen bei HSM-Modulen hingewiesen" schwingt das ja mit. Warum müssten Partnerbanken denn sonst wiederholt auf die Sicherheitsmaßnahmen hingewiesen werden?
Alles in allem kann die Branche sicherlich sagen: "nichts neues". Aber schließlich ist auch Taschendiebstahl nichts neues, und dennoch ist es sinnvoll, sich gegen ihn zu schützen. Gut also, wenn im Zuge eines potentiellen Sicherheitsvakuums durch SEPA auch solche Sicherheitsbedenken wieder aufs Tapez kommen. Ein Dank an das Wissenschaftsteam, das sich mit diesem Thema beschäftigte und den report aus Bayern zur Berichterstattung bewog: Odelia Moshe Ostrovsky und Omer Berkman. (News vom 2.4.2007)

Geschrieben von Martin Schwartz in Kartenbetrug um 20:15 | Kommentare (0) | Trackbacks (0)

Trackbacks

Trackback für spezifische URI dieses Eintrags

Keine Trackbacks

Kommentare

Ansicht der Kommentare: (Linear | Verschachtelt)

Noch keine Kommentare

Kommentar schreiben

Name
E-Mail
Homepage
Antwort zu
Kommentar	Umschließende Sterne heben ein Wort hervor (wort), per _wort_ kann ein Wort unterstrichen werden. Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert. Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss um dieses Verfahren anzuwenden. Hier die Zeichenfolge der Spamschutz-Grafik eintragen:
	Daten merken? Bei Aktualisierung dieser Kommentare benachrichtigen
Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!