MÜNCHEN - Nicht unerheblichen Aufruhr löste Anfang November ein Beitrag von Siegfried Martial in der COMPUTERWOCHE 45/ 85 aus, der kritisch eine Sendung im ARD-Ratgeber Technik zur Sicherheit von Magnetstreifen auf Eurocheque-Karten beleuchtete. Inzwischen nun beschäftigt sich die Kripo Köln, genauso wie die Kripo Frankfurt, mit Betrügereien in diesem Bereich. Trotz Anstrengungen der Hersteller und Banken scheint das Sicherheitsrisiko von EC-Karten immer noch nicht völlig ausgeräumt.

Weder sind Magnetstreifenkarten fälschungssicher noch

GAA-Geräte, wie Geldausgabeautomaten abkürzend genannt werden, vor Trickdieben sicher, wenn die Geräte mit gewissen Schwächen der Installation befrachtet sind. Dies ist in Fachkreisen längst bekannt. Man arbeitet auch konsequent an Verbesserungen. Langfristig wird die Umstellung auf Chipkarten angesteuert; das ist die Devise des Kreditgewerbes.

Inzwischen überlegt man, aufgeschreckt durch Automatenplünderer aus Köln, ob nicht gar die Geheimnummer (PIN) auf sechs statt auf vier Stellen ausgelegt werden und eine Videokamera je Automat aufgebaut werden soll. Ergänzend wird der Online-Verbund im Sparkassenbereich favorisiert, was den Ambitionen von Verbandsrepräsentant Starke vom Deutschen Sparkassen- und Giroverband ohnehin seit längerem ein wichtiges Anliegen ist.

Die Automatenplünderer von Köln wurden rasch gefaßt. Wie die Kriminalpolizei bei ihren Vernehmungen herausbekam, hatten die beiden Täter, die in Köln und an anderen Orten fast 80 000 Mark abstaubten, ihre entscheidenden Anregungen aus der NDR-Sendung "ARD-Ratgeber Technik" am 27. Oktober 1985 bezogen. Hier wurde vorgeführt, wie man eine EC-Karte für eine Mehrfachnutzung präparieren kann. Um diesen Trick gewinnbringend zu nutzen, mußten EC-Karten und die dazugehörende Geheimnummer "gestohlen" werden (siehe Kasten).

Die Kölner Betrügereien decken eine empfindliche Schwäche zahlreicher GAA auf: Wenn keine "MM-Box" installiert ist, kann nicht unmittelbar geprüft werden, ob die Kartenstruktur, die in der Magnetpiste verschlüsselt gespeichert ist, mit der eingelesenen Karte übereinstimmt.

Und weiter: Wenn vor allen anderen Prüfungen vom Kunden die Eingabe der PIN verlangt wird, dann steckt darin eine Gefahr. Denn der ahnungslose Bankkunde gibt die angeforderte PIN ein, obwohl nicht sicher ist, daß es wirklich seine Karte ist, die geprüft und vielleicht einbehalten wird - derweil beobachtet schon ein Betrüger diese Eingabe.

Hatten also Testhacker vom NDR recht? Diese Frage ist nicht leicht zu entscheiden. Sie zeigten am 27. Oktober 1985 Manipulationsmöglichkeiten, die, für sich genommen, keinerlei Schaden anrichten konnten, weil dort das eigene Konto ausschließliches Ziel der Angriffe war. Allerdings animierten sie auch Kundige, die die notwendigen Systemergänzungen vorzunehmen imstande waren, fremde Scheckkarten zu mißbrauchen.

Die Täter in Köln sind gefaßt, weil Videokameras Fahndungsfotos lieferten. Aber die Abhebungen im Raum Frankfurt konnten die Ermittlungsbehörden noch nicht orten. Wer weiß, was noch auf die Kreditwirtschaft zukommt, vor allem, wenn gewitzte Täter Karten im Inland klauen, aber im Ausland nutzen, wo die Laufzeiten zur Frankfurter Evidenzzentrale der Gesellschaft für Zahlungssysteme (GZS) wesentlich länger sind?

Fazit: Der NDR hat leider in gewissem Umfang recht behalten, gerade weil er Handlungshilfe für Leute gab, die vielleicht bislang auf diesen Trick -nicht gekommen waren. Die prognostizierten Schadenssummen pro endwendeter EC-Karte sind aber nicht eingetreten. Das jedoch spricht die Automatenaufsteller nicht davon frei, Sicherheitslücken übersehen zu haben.