Eine Freundin, die gerade in Spanien weilt, mailte mir folgendes:
Anderntags holte ich auf der Bank meine EC-Karte ab, und als ich nach einer PIN Nummer fragte, stand der ältere, grummelnde Bankbeamte auf, ging mit mir hinaus auf die Strasse, steckte einen Schlüssel in den Bankomat, danach meine Karte, tippte wilde Sachen ein und zeigte dann auf eine Nummer. Das ist also meine PIN. IST DAS NORMAL …!?
Ich war eigentlich davon überzeugt, dass die PIN, auf Versicherung unzähliger Geldinstitute, nur mir bekannt ist, und sonst niemand. Wenn ich die PIN vergesse, dann kann mir auch meine Bank sie nicht nennen.
Wie kann dann also das oben geschilderte sein? Ich habe mal ein wenig gegoogelt…
Bei der Suche stolpert man immer wieder über die Seiten von Dipl. Inf. Bernhard Gramberg, der sich anscheinend recht viel mit dem Thema EC-Karten beschäftigt hat. Die von ihm zusammengetragenen Links sind jedoch fast ausschliesslich von 1998, also hoffnungslos veraltet. Die Jahre 1997/98 sind hier ein Schlüsselpunkt, denn zu diesem Zeitpunkt wurde die “alte” EC-Karte abgelöst und und die “neue” eingeführt. Und diese unterscheiden sich grundlegen.
Die PIN der alten EC-Karte errechnet (Beschreibung weiter unten) aus Werten wie Kontonummer, BLZ, Kartennummer und Bankschlüssel. Diese Werte werden verrechnet und sind somit nachvollziehbar – die PIN ist somit unsicher, zumal einige Zahlen häufiger als andere vorkommen und somit der Bereich der möglichen Zahlenkombinationen zusätzlich wesentlich verringert.
Wie und wo die neue PIN festgehalten wird, habe ich bisher auch noch nicht herausfinden können. Die Datenschleuder #61 des CCC, leider auch von 1997, sagt dazu auch nur “was die Verwendung der Offset-Felder beim “neuen” PIN-Verfahren “ohne” Poolkey betrifft, ist noch etwas unklar. Zumindest bis zum Congress.”
Die FAQ Sicherheit von EC-Karten findet sich an der Uni Trier und fasst das auch nochmals alles zusammen. Ebenfalls Datum 1996/1997, wie auch das Arbeitspapier “Datenschutzfreundliche Technologien”.
Dokumente, die die Überprüfung der PIN beschreiben und nach 1998 geschrieben wurden, habe ich bis jetzt leider keine gefunden. Oder enfach nicht nach den richtigen Suchbegriffen gegoogelt.
Mir persönlich würde es einleuchten, wenn auf der Karte eine Prüfsumme festgehalten ist, gegen die meine Tastatureingabe geprüft wird. Dann wäre allerdings keine Online-Verbindung zur jeweiligen Autorisierungszentrale der kartenausgebenden Bank notwendig. Eine Beschreibung hierzu habe ich unter www.dirk-web.de gefunden. Ohne diese Onlineverbindung ist im Einzelhandel lediglich das ELV, das elektronische Lastschriftverfahren, möglich. Wenn aber meine PIN zu einem Rechenzentrum übertragen wird, um dort überprüft zu werden, dann braucht die PIN theoretisch nicht auf der Karte zu sein. Wie kann dann aber der Spanier die PIN aus der Karte holen? Denkbar wäre ein Unterschied zwischen der deutschen und der spanischen EC-Karten-Implementation – aber auch das kann ich nicht nachprüfen.
Das ganze ist leider mangels Literatur eher zu einer theoretischen Überlegung geworden. Um so mehr werde ich das Gefühl nicht los, dass einen die Banken belügen. Vonwegen dass eine vergessene PIN bedeutet, dass sie mir eine neue Karte ausstellen müssen. Auch Beschwörungen, dass die PIN nicht auf der Karte steht. Wie kann es dann sein, dass ein einfacher Bankangestellter die PIN aus einer Karte auslesen kann?
Falls sich mit diesen Dingen irgend jemand besser auskennt und etwas mehr Licht zu Erhellung beitragen kann: bitte, nur zu! Das würde mich wirklich brennend interessieren.