Bitte geben Sie Ihren Suchbegriff ein

Rückschau: Bankkarten

Wirklich alles sicher? 

Bildunterschrift: Was ist auf dem Chip gespeichert? ]
(© WDR) Richtig überrascht war Professor Christof Paar von der Ruhruniversität nicht: „Das EC-Kartensystem ist ein kompliziertes Zusammenspiel von vielen Playern“, erklärt der Fachmann für Kryptologie. „Da sind die Banken, die Software-Hersteller, die Geldautomaten-Fabrikanten und noch etliche Dienstleister im Hintergrund. So ein System in den Griff zu bekommen ist nicht ganz leicht. Die Gefahr, dass etwas schiefgeht ist da groß.“

Ebenso wenig überrascht ist Professor Manfred Pausch. Seit Jahren kritisiert er die mangelhaften Sicherheitsvorkehrungen der Banken: „In Fachkreisen war bekannt, dass es zu Problemen kommen würde. Die Banken haben das schlicht ignoriert, wollten davon nichts wissen.“.

Noch schärfer fällt die Kritik von Markus a Campo, einem vereidigten Gerichtssachverständigen aus Aachen, aus: „Der Fall zeigt deutlich, dass die Banken ein Problem mit ihrem Qualitätsmanagement haben. Sie wissen häufig nicht, welche Sicherheitsrisiken in ihren System stecken. Hätten sie davon gewusst, hätten wir das Problem zum Jahreswechsel niemals gehabt.“ Dagegen sieht der Bundesverband Deutscher Banken keinen Grund zur Sorge. Auf der Internetseite heißt es: „Es ergeben sich (aber) keine Einschränkungen bei der Kartensicherheit.“

Unheilvolle Allianz zwischen Banken und Gerichten

Seit Jahren versichern Banken und Sparkassen immer wieder, dass ihre EC-Kartensysteme sicher sind. Dennoch ist die Verunsicherung bei den Kunden groß. Die Panne zu Beginn des Jahres mit 30 Millionen betroffenen Bankkunden hat da ihr Übriges getan. Zudem kommt es immer wieder zu unerklärlichen Geldabhebungen durch unbekannte Dritte. Der Chaos Computer Club ging 2007 von über 800.000 Schadensfällen pro Jahr aus. Die Kreditwirtschaft glaubt dagegen an wesentlich weniger Fälle, kann aber keine genauen Zahlen nennen. Fest steht: Vor den Gerichten haben geschädigte Verbraucher, die auf die Sicherheit des bargeldlosen Zahlungsverkehrs vertraut haben, im Schadensfall schlechte Karten.

Ob gewollt oder nicht, es waren Richter des Bundesgerichtshofs, die dazu beigetragen haben. 2004 urteilten sie, dass bislang noch nichts vorgetragen worden sei, was dazu geeignet wäre, an den Sicherungsvorkehrungen der Banken zu zweifeln. Seit diesem Urteil haben es nur noch wenige Verbraucher geschafft, vor Gericht die Phase der Beweiserhebung zu erreichen. „Durch das BGH-Urteil ist eine unheilvolle Allianz zwischen der Rechtsprechung und den Banken entstanden“, kritisiert dementsprechend Markus Feck von der Verbraucherzentrale Nordrhein-Westfalen. „Die Banken weisen berechtigte Ansprüche der Verbraucher unter Bezugnahme auf dieses Urteil zurück und die erstinstanzlichen Gerichte nutzen dieses Urteil, um gar nicht erst in eine Beweisaufnahme einzutreten.“

Eine Ausnahme von dieser Regel macht ein Sammelklageverfahren der Verbraucherzentrale Nordrhein-Westfalen vor dem Landgericht in Bonn. Hier hat die Verbraucherzentrale geschafft, was seit dem BGH-Urteil fast undenkbar ist: In einer Beweisaufnahme wird untersucht, ob das System der Banken tatsächlich so sicher ist, wie behauptet. „Vor dem Hintergrund des BGH-Urteils ist es wirklich eine kleine Sensation, dass wir hier eine Beweisaufnahme erreicht haben. Die Richter haben anerkannt, dass es nicht allein um die Frage von technischer Sicherheit geht. Einerseits könnte auch menschliches Versagen vorliegen, andererseits haben die Richter anerkannt, dass die Sicherungssysteme der Banken derart unbekannt sind, dass man diese mal dringend nachprüfen muss“, so Markus Feck.

Unsicherheiten im System

Wie wenig Bankkunden und letztlich auch Richter über die Sicherheitsstandards von Bankkarten wissen, zeigen zwei Beispiele:

1. Sechs statt drei Fehlversuche
So ist dem Aachener Gerichtssachverständigen Markus a Campo vor laufender Kamera der Beweis gelungen, dass EC-Karten erst nach sechs und nicht schon nach drei fehlerhaften PIN-Eingaben gesperrt werden. Die Erklärung dafür ist so einfach wie verblüffend: „Die meisten EC-Karten haben zwei Systeme: Einmal den alten Magnetstreifen, der bis Ende des Jahres durch das Chipkartensystem abgelöst werden soll, jetzt aber wegen der Probleme mit dem Chip wieder aktiviert wurde. Und es gibt eben das Chipsystem. Beide Systeme arbeiten unabhängig voneinander. Deswegen hat man jeweils drei Versuche auf den Chip und drei Versuche auf die Magnetkarte.“ Sechs statt drei Fehlversuche bedeuten aber eine doppelt so hohe Wahrscheinlichkeit, die richtige PIN durch bloßes Raten herauszubekommen.

2. Bis zu neun gültige PIN
Ebenso unbekannt unter Bankkunden: Manche Bankkarten haben mehr als nur eine gültige PIN. plusminus zeigt Videomaterial eines Zuschauers, auf dem dokumentiert ist, dass er an Geldautomaten mit zwei unterschiedlichen PIN Geld mit seiner VISA-Card abholen kann. Verblüffend für Bankunden, denn auch damit steigt das Risiko, dass Kriminelle die PIN durch bloßes Erraten herausbekommen. Experten, wie Christof Paar von der Ruhruniversität Bochum sind dagegen nicht überrascht: „Kollegen von der University of Cambridge haben herausbekommen, dass 60 Prozent der Karten zwei gültige PIN haben. Eine gewisse Untermenge, weniger als ein Prozent haben fünf oder mehr. Das ist vom Wissenschaftlichen her nicht verwunderlich, weil die PIN Kontrollnummern umrechnen und die verschiedenen PIN die gleichen Kontrollnummern besitzen.“

Allen Ungereimtheiten zum Trotz: Banken mussten dank des BGH-Urteils Gerichtsverfahren bislang nicht fürchten. Die Hoffnung geprellter Verbraucher liegt jetzt in den Händen der Richter am Bonner Landgericht. Denn die könnten mir ihrer Beweisaufnahme die „unheilvolle Allianz“ zwischen Rechtsprechung und Banken beenden.

Dieser Text informiert über den Fernsehbeitrag vom 19.01.2010. Eventuelle spätere Veränderungen des Sachverhaltes sind nicht berücksichtigt.

• nach oben
• Zu allen Themen dieser Sendung