Kreditkarten sind unser alltäglicher Begleiter.
Doch wie funktionieren die Karten und wie sicher sind diese?
Dieser Beitrag erklärt die Funktion der Chipkarte.
Starten wir!
Wie funktioniert eine Kreditkarte?
Eine Kreditkarte ist eine Chip-Karte. Eine Chip-Karte ist eine genormte Plastik-Karte mit einem eingestanzten und verklebten Computer. Dieser Computer ist sehr schwach und kann nur wenige spezialisierte Aufgaben erfüllen.
Das Zusammenspiel mit dem Kartenlesegerät
Der Computer bezieht im Gegensatz zu Deinem Smartphone den Strom nicht aus einem Akku, sondern aus dem Kartenlesegerät. Der Computer in der Chip-Karte ist nur aktiv, wenn das Kartenlesegerät diesen unter Strom setzt. Von außen sichtbar sind nur die Kontakte (Contact Smartcard), welche für die Stromzufuhr und Datenübertragung notwendig sind.
Schlaues flaches Gehirn – Der Microchip
Der eigentliche Computer befindet sich darunter. Der Chip ist mit feinen Drähtchen mit den Kontakten verbunden. Der Computer besteht aus einem Hauptspeicher (RAM), Dauerspeicher (elektronisch löschbar, programmierbarer, nur lesender Speicher; EEPROM) und einen Prozessor, ein Logik-Gatter.
Kann viel, kann wenig – Die Funktion
Chipkarten sind normiert und vereinheitlicht.
Diese verarbeiten und verstehen nur eine bestimmte Menge an Befehlen. Das Terminal kennt diese und die Chip-Karte führt die Aktionen dann aus. Eine Chip-Karte kannst Du frei programmieren, wenn diese für andere Zwecke in der Industrie oder dem Alltag verwendet werden sollen.
Kontaktlos geht es auch
Chipkarten gibt es inzwischen nicht nur mit Chip. Viele sind mit einem RFID-Tag ausgestattet. Dieser ermöglicht z. B. das kontaktlose Zahlen.
Der RFID-Chip besteht aus Antennen mit einem Schaltkreis. Diese haben auch keinen Akku, sondern erhalten den Strom durch die elektromagnetische Induktion kontaktlos.
Strom kabellos übertragen – Elektrische Induktion
Ein bewegtes Magnetfeld (angeschaltete elektrische Spule) beeinflusst die Elektronen in einem benachbarten Kabel. Die Spule kann einen kleinen Strom übertragen (induzieren), welcher den Schaltkreis des RFIDs zum Arbeiten bewegt. Die RFID-Tags auf den Chip-Karten beinhalten Kennungen, mit der das NFC-Lesegerät die Kreditkarte zu ordnen kann.
Über die Technologie RFID bzw. NFC habe ich einen ganzen Artikel verfasst. Lese diesen durch, um ein tieferes Verständnis zu bekommen.
Alt, aber immer noch da – Der Magnetstreifen
Die dritte Technologie, welche heute selten verwendet wird, ist der Magnetstreifen. Verkäufer in den alten US-Filmen ziehen die Kreditkarten durch ein Magnetlesegerät. Der Kartenhersteller kann die Magnetstreifen mit Daten beschreiben. Die Daten sind standardmäßig in 3 Spuren mit 2,95 Bits pro mm eingeprägt.
7 Bit alphanumerische Zeichen (0-9, A-Z, a-z) sind in den Streifen eingebrannt. Prinzipiell kannst Du alle möglichen Daten auf den Magnetstreifen schreiben. Diese sind aber normiert, sodass die Kreditkartenlesegeräte, die auch verstehen.
Wie sicher sind die Daten in der Kreditkarte?
Auf die Daten kann der Kartenlesegerät-Besitzer nicht einfach zugreifen. Der Besitzer muss per PIN, das Auslesen freigeben. Die Inhalte sind mit kryptografischen Verfahren, speziellen Algorithmen, vor unberechtigtem Auslesen geschützt.
Die Bank und die Infrastruktur
Die Banken unterliegen strikten Zertifizierung im Kreditkartenbereich.
Die Kreditkarte ist nur eine von vielen Komponenten, die für eine sichere Zahlung auf die Sicherheit geprüft sein müssen. Bei einer Kreditkartenzahlung muss nicht nur die Karte selber, sondern auch die Hintergrund-Server sicher sein. Zertifizierungen können in Deutschland z. B.
- Payment Card Industry Data Security Standard (PCI DSS) schreibt vor, wie Systeme Updates erhalten müssen und welche Passwortlängen Administratoren haben sollen. Diese Standards sind nicht nur eine Selbstverpflichtung, sondern Auditoren prüfen pingelig die Umsetzung. Wer den Standard nicht erfüllt, darf keine Kreditkarten verwalten.
- International Organization for Standardization Nr. 27001 ist ein Standard für die Informationssicherheit, welcher alle Bereiche von HR bis hin zum Updates an Servern beschreibt.
Da nicht jede Bank oder Händler den Aufwand betreiben möchte, lagert er den Bezahlprozess an ein Unternehmen aus, welches sich darauf spezialisiert hat. Die sicherste Kreditkarte ist nutzlos, wenn die Server unsicher sind.
Das Problem mit den Updates
Weil eine Kreditkarte in der Regel nicht aus der Ferne ein Update erhält, haben diese ein Verfallsdatum.
IT-Standards ändern sich und das Sicherheitsniveau wächst, weil die Kriminellen tagtäglich mit neuen Methoden betrügen. Das bedeutet, dass die Bank jede Kreditkarte in Deutschland nach X Jahren durch eine neuere Karte garantiert ersetzt. Selbst wenn die PIN gleich bleibt oder nicht länger wird, verbessern die Kartenhersteller die Systeme auf der Software und Hardwareseite.
RFID Schnellkauf-Revolution
Ein Beispiel hierfür ist RFID: vor ein paar Jahren war RFID eine Seltenheit. Durch den Wunsch der Händler schnellere Zahlungen durchzuführen, haben die Banken auf jede neue Karte einen RFID-Tag geklatscht.
Gleichzeitig müssen die Händler mit neuen Geräten aufrüsten. Diese Geräte erhalten automatische Updates aus dem Internet oder der Hersteller tauscht diese freiwillige alle X Jahre aus. Der Hersteller verkauft nicht die Hardware wie einen normalen Computer, sondern bietet einen Bezahlservice an (10 – 20 € pro Monat).
Ist das Gerät nicht auf dem Stand der Technik, tauscht der Hersteller das Gerät aus und kümmert sich um die Software und Wartung. Alternative Modelle verlangen einen Anteil an jeder durchgeführten Transaktion (0,25 bis 0,9 Prozent von jeder Transaktion).
Warum geben Händler Geld aus, um Geld zu erhalten? Bargeld kostet doch keine Gebühr? Der Sicherheits-Transport zur Bank, die Tresoren und Schließfächer an der Kasse kosten Geld. Die Bank könnte für Einzahlungen Geld verlangen, weil bargeldlose Methoden für diese einfacher sind.
Wie funktioniert eine sichere Transaktion?
Stell Dir vor, Du willst Dir ein Brötchen für 0,99 € beim Bäcker kaufen. Die Transaktion findet mit PIN oder kontaktlos in wenigen Sekunden statt, weil die folgenden Schritte automatisiert sind:
Der Verkäufer braucht zuerst ein Kartenlesegerät, welcher der Finanzdienstleister (z. B. Visa) einem Händler vermietet.
Der Kartenbesitzer startet den Prozess, in dem dieser die Karte per Chip oder RFID vorweist (1-Faktor Besitz). Um die Transaktion anzustoßen, muss der Besitzer den PIN in das Gerät eingeben. Das Gerät hasht den PIN und sendet diesen zum Finanzdienstleister (Acquirer) über einen sicheren Kanal (HTTPs / VPN).
Die Bank, welche das Geld verwaltet, lässt die Transaktion durch oder verweigert diese z. B. wegen eines Überzugs, einer Verpfändung oder eine Vermutung auf kriminelle Aktivität.
Die Bank meldet die Information über den gesicherten Kanal zurück an das Kartenlesegerät (positive Rückmeldung) und stößt die Transaktion an. In 2024 sind Realzeitabbuchungen immer noch nicht der Standard, deshalb kann es Tage dauern, bist Du etwas davon mitbekommst. Eine richtige Kreditkarte rechnet den Betrag am Ende des Monats ab.
Nach all den Bits und Bytes gibt der Bäcker Dein Brötchen.
