Tobias Scheible Cyber Security & IT-Forensik Dozent
Fingerabdruck - IT-Sicherheit

Kreditkarte mit Fingerabdruckscanner?

Mastercard hat angekündigt, eine Kreditkarte mit einem integrierten Fingerabdruckscanner auf den Markt zu bringen. Auf der Karte selbst sollen dann die biometrischen Merkmale gespeichert werden, welche dann bei Benutzung mit den Daten des Fingerabdruckscanners verglichen werden. Eine ziemlich komplexe Lösung für ein seit Jahren unsicheres System.

Sonntag, 25. Januar 2015
5 Kommentare

Grundsätzlich stehe ich Fingerabdruckscannern skeptisch gegenüber, denn wenn einmal der eigene Fingerabdruck geklaut wird, kann dieser „Sicherheitsschlüssel“ (Fingerkuppe) nicht mehr verändert werden. Das heißt, Systeme, die nur auf einem Fingerabdruckscanner basieren, sind dann quasi immer unsicher. Das ist so, wie wenn man für alle Schlösser (Haus, Auto, ..) immer die gleichen Schlüssel verwenden würde und wüsste, er ist irgendwo im Umlauf. In meinem Artikel „Fingerabdruck oder Passwort – was ist sicherer?“ bin ich auf die Problematik bereits näher eingegangen.

Kreditkarte

Und nun möchte Mastercard einem Fingerabdruckscanner in der Kreditkarte integrieren. Eine ordentliche Herausforderung bei der geringen Dicke einer Karte. Der Karte selbst soll keine integrierte Stromversorgung besitzen, sondern per Induktion von einem Lesegerät mit Strom versorgt werden.

Mit heutigen Kreditkarten kann man auf zwei Arten bezahlen. Zum einen können die Daten der Karte mit einem Lesegerät ausgelesen werden oder altmodischer, es wird ein Abdruck gemacht und so ein Bezahlvorgang durchgeführt. Zur Sicherheit wird der Vorgang mit einer Unterschrift bestätigt, die zum Beispiel von einem Kassierer kontrolliert wird, also mit der Unterschrift auf der Rückseite verglichen wird. Und hier stolpert man schon über das erste Problem: das Sicherheitsmerkmal (Unterschrift) befindet sich auf dem gleichen Objekt (Kreditkarte) mit der eindeutigen Identifikation (Kreditkartennummer). Hat ein Angreifer eine Kreditkarte geklaut, kann er einfach die Unterschrift auf der Rückseite so lange üben, bis sie halbwegs übereinstimmt. Jeder wird es ja selber schon erlebt haben, dass die Kassierer nur einen flüchtigen Blick darauf werfen oder die Karte schon zurückgeben, bevor man unterschrieben hat. Es gibt zwar den Schutz per Pin-Code, der ist aber nur beim Abheben am Bargeldautomat zwingend erforderlich. Bei Bezahlung in einem Geschäft kommt er so gut wie nie zum Einsatz. Bei manchen Kreditkartenanbietern muss er sogar extra angefordert werden. Die andere Bezahlung erfolgt online per Eingabe der Kreditkartennummer, des Ablaufdatums und der Kartenprüfnummer. Also sind auch hier alle notwendigen Daten sichtbar für alle vorhanden. Wird die Karte entwendet, kann sofort eine Bezahlung durch den Angreifer vorgenommen werden. Oder bei einer Bezahlung in einem Restaurant kann ein Kellner die Daten zum Beispiel schnell abschreiben oder abfotografieren.

Sicherheit

Das Faszinierende ist, dass diese Methoden schon so lange funktionieren und nie ein großer Schritt in Sache Sicherheit unternommen wurde. Es wurde primär nur eine Methode gegen die Fälschung von ganzen Karten eingeführt. Ich habe jetzt leider keine Zahlen gefunden, wie viele Vorfälle es seit der Einführung der Kreditkarte gab, aber sicherlich werden es sehr viel sein. In Deutschland ist das Ganze nicht so relevant, da sich hier die Bezahlung per EC-Karte durchgesetzt hat. Hier ist das Objekt (EC-Karte) immer vom Geheimnis (Pin-Code) getrennt, so dass ein Angreifer mit dem Objekt oder mit dem Geheimnis jeweils alleine nichts anfangen kann. Übrigens ist dies eine schon sehr alte Zwei-Faktor-Authentifizierung.

Und nun wird also der Fingerabdruckscanner für die Kreditkarte kommen. Aber es würde auch einfacher gehen. Wieso kann nicht die Kartenprüfnummer etwas komplizierter sein und nicht auf der Karte aufgedruckt werden. Dann könnte man beim Online-Bezahlen die Kartenprüfnummer als Passwort verwenden, die nicht einfach bei jedem Bezahlvorgang für alle sichtbar ist. Für die normale Bezahlung könnte einfach ein Pin-Code immer verwendet werden. Wenn ein schnelles Bezahlen von kleinen Beträgen notwendig sein sollte, dann könnte man einfach ein Foto des Besitzers auf die Karte drucken. Eine Person und ein Foto zu vergleichen, ist die einfachste und schnellste Überprüfung von biometrischen Daten.

Sicherheit muss nicht immer auf komplexen technischen Lösungen basieren, sondern sollte mehrere getrennte Geheimnisse verwenden.

Über Tobias Scheible

Tobias Scheible

Hallo, mein Name ist Tobias Scheible. Ich bin begeisterter Informatiker und Sicherheitsforscher mit den Schwerpunkten Cyber Security und IT-Forensik. Mein Wissen teile ich gerne anhand von Fachartikeln hier in meinem Blog und in meinem Fachbuch. Als Referent halte ich Vorträge und Workshops für Verbände und Unternehmen u. a. auch offene Veranstaltungen für den VDI und die IHK.

Kommentare

Alex am 2. Februar 2015 um 12:58 Uhr

Klingt interessant aber ich steht den ganzen Verfahren, die auf den Fingerabdruck setzen auch skeptisch gegenüber.
Ich glaube aber auch, dass es noch einige Zeit dauern wird, bis man solche Karten wirklich, bekommen bzw. nutzen kann

Stefan am 1. März 2015 um 21:41 Uhr

Ich denke mal das es noch dauern wird bis diese Art von Bezahlung eingesetzt werden kann. Allerdings weiß ich auch jetzt schon, dass ich es nicht nutzen werde.

Lina am 25. März 2015 um 10:13 Uhr

Wenn man bedenkt, dass NSA oder andere Überwachungen eh schon alles von uns wissen, wirkt es beinahe banal sich um seine Kreditkarteninformationen zu sorgen. Auf der anderen Seite gibt es nach wie vor „Kleinkriminelle“. Für diese Leute denke ich, wäre eine Fingerabruckerkennung schwieriger zu knacken als Pin oder einefach nur der Klau der Kreditkarten/ des Portmonäs.
ich bin gespannt, wann es an dieser Front wieder neu Infos gibt über Fortschritt und Entwicklung dieser Karte…

Andy am 11. April 2015 um 11:43 Uhr

Ich denke, dass sich dieses System so schnell – zumindest – nicht durchsetzen wird. Letztendlich dürfte der Aufwand, die Systeme umzurüsten doch mit einem recht grossen Aufwand und zusätzlichen Kosten für die Umrüstung der Akzeptanzstellen verbunden sein. Dieses System kann eigentlich nur dann (einwandfrei) funktionieren, wenn jede Akzeptanzstelle entsprechend nach-, bzw. umgerüstet wird. Ansonsten denke ich ist das schon ein guter Ansatz zu mehr Sicherheit beim Zahlungsverkehr.

Dirk am 1. September 2015 um 21:24 Uhr

Glaube kaum das sich das durchsetzten wird ….dann schneiden sie dir halt den finger ab 🙂

Schreibe einen Kommentar!

Hilfe zum Kommentieren und Hiweise

Um kommentieren zu können, geben sie bitte mindestens ihren Namen und ihre E-Mail-Adresse an. Bitte nutzen Sie die Kommentarfunktion nicht dazu, andere zu beleidigen oder Spam zu verbreiten. Trolle und Spammer sind hier unerwünscht! Unangemessene Kommentare, die zum Beispiel gegen geltendes Recht verstoßen, eine Gefährdung anderer Besucher darstellen oder keinen sinvollen Inhalt beinhalten, werden gelöscht oder angepasst.

Name: Ihr Name, der oberhalb des Kommentars steht, gerne auch Ihren echten Namen, das erleichtert die Kommunikation für alle. Sollte ein Spam-Keyword als Name verwendet werden, kann dieses entfernt oder korrigiert werden.

E-Mail: Ihre E-Mail Adresse dient zur Identifizierung weiterer Kommentare und damit ich direkt Kontakt aufnehmen kann. Die E-Mail Adresse wird natürlich nicht veröffentlicht und nicht weitergegeben.

Website: Hier können Sie ihren eigenen Blog bzw. ihre eigene Website eintragen, dadurch wird Ihr Name und Ihr Avatar-Bild verlinkt. Werden rein kommerzielle Angebote offensichtlich beworben, setze ich den Link auf nofollow und unangemessene werden einfach entfernt.

Erlaubte HTML-Tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <hr> <big> <small> <sub> <sup> <u>

Ihre E-Mailadresse wird nicht veröffentlicht. Mit dem Absenden anerkennen Sie die Datenschutzhinweis des Blogs.