EMV (Kartenzahlungsverkehr)

Die Abkürzung EMV bezeichnet eine Spezifikation für Zahlungskarten, die mit einem Prozessorchip ausgestattet sind, und für die zugehörigen Chipkartengeräte (POS-Terminals und Geldautomaten). Die Buchstaben EMV stehen für die drei Gesellschaften, die den Standard entwickelten: Europay International (heute MasterCard Europe), MasterCard und VISA.

Chip statt Magnetstreifen

In der zweiten Hälfte der 1990er Jahre wurden in mehreren Ländern Europas Debitkarten mit Mikrochip ausgestattet, um Kartentransaktionen nicht mehr über den technisch überholten Magnetstreifen abwickeln zu müssen. Diese Chips waren alle proprietär und auf die Bedürfnisse der jeweiligen Länder ausgerichtet. Der Mangel, nicht grenzüberschreitend eingesetzt werden zu können, wurde rasch erkannt und durch den EMV-Standard behoben.

Die wesentlichsten Vorteile der Chiptechnik und damit auch Gründe für den Ersatz des Magnetstreifens durch den Chip sind:

• Der Chip kann im Gegensatz zum Magnetstreifen mittels technischer Verfahren wirksam gegen eine Duplizierung oder Veränderung geschützt werden. Der Chip kann eine Verschlüsselung ausführen, ohne dass ein verwendeter geheimer Schlüsselwert ausgelesen werden könnte. Ein Dieb, der eine Chipkarte gestohlen hat, kann diese nur verwenden, falls er die PIN kennt.
• Beim Einsatz von Chipkarten kann die Erkennung der Kartenechtheit (Card Authentication) und die Prüfung der PIN (Cardholder Verification) stattfinden, auch ohne dass eine Online-Verbindung besteht.
• Im Gegensatz zum Magnetstreifen, der als rein passiver Datenspeicher fungiert, ist ein Chip ein Miniaturcomputer mit einer Rechenleistung, vergleichbar einem PC aus den 1980er Jahren, mit geschützten Datenbereichen und Anwendung kryptographischer Verfahren. Dadurch sind auch Zusatzfunktionen wie eine Elektronische Geldbörse und Stammkundenprogramme möglich. Die Spezifizierung dieser Zusatzanwendungen ist jedoch nicht Teil von EMV, da sich EMV auf Zahlungsapplikationen beschränkt.

Der EMV-Standard

Europay International, MasterCard und VISA als größte Zahlungskarten-Organisationen entwickelten gemeinsam den nach ihnen benannten EMV-Standard. Die erste stabile Ausgabe der EMV-Chipspezifikationen war die EMV’96 Integrated Circuit Card Specification, Version 3.1.1., die entgegen ihrem Namen erst 1998 veröffentlicht wurde. Die neu gegliederte, korrigierte und erweiterte EMV 2000 Integrated Circuit Card Specification, Version 4.0, wurde Ende 2000 veröffentlicht. Diese Spezifikation gilt für alle Zahlungskarten, d. h. sowohl für Debitkarten als auch für Kreditkarten. EMV 4.1 stellt nur eine Revision des Standards EMV 4.0 dar und wurde im Juni 2004 veröffentlicht.

Der EMV-Standard baut im Wesentlichen auf den Prinzipien der Interoperabilität und der Flexibilität auf. Interoperabilität bedeutet dabei, dass die gleiche system- und länderübergreifende Karten- und Terminalnutzung, die es bei der Magnetstreifentechnik gibt, auch bei der Chipkartentechnik vorhanden ist. Flexibilität bedeutet, dass jedes Zahlungsverkehrssystem die Möglichkeit haben muss, individuelle Bedürfnisse jenseits der Interoperabilität realisieren zu können. Der Standard EMV 4.1 teilt sich in vier sogenannte „Books“ (Bücher) auf. Book 1 definiert die Schnittstelle zwischen Karte und Terminal (mechanisches Verhalten, elektrisches Verhalten, Transportprotokoll) und die Application Selection (Anwendungsauswahl; gleich für alle Karten und alle Terminals); Book 2 behandelt „Security and Key Management“ (Sicherheit und Schlüssel-Handhabung), Book 3 die „Application Specification“ (Anwendungsspezifikation) und Book 4 die „Interface Requirements“ (Schnittstellen-Anforderungen). Aus der Toolbox des EMV-Standards können die Systembetreiber (Zahlungsverkehrssysteme) ihre Optionen wählen, wobei der Grundgedanke ist, dass das Terminal alle angeführten Optionen unterstützen muss und für die Karte nur einzelne Optionen herangezogen werden können.

Für die Entwicklung des gemeinsamen Standards und seine Weiterentwicklung wurde von den EMV-Namensgebern eine eigene Gesellschaft, EMVCo LLC, gegründet. Der EMV-Standard wurde von dieser Gesellschaft definiert und von ihr weiterentwickelt. EMVCo LLC prüft und zertifiziert darüber hinaus die Hersteller von EMV-fähigen Geräten wie z. B. Geldautomaten und POS-Terminals, die EMV-Technik verwenden. Für die Aufbringung der darüber hinausgehenden individuellen Bedürfnisse der Zahlungsverkehrssysteme sind diese selbst verantwortlich.

EMV-Zahlungen

Bei einer EMV-Zahlung wird auf dem EMV-Chip eine Anwendung ausgewählt. Diese hat eine Kennung, welche auf den Kundenbeleg gedruckt wird. Die Kennung wird application identifier (AID bzw. AppID) genannt und besteht aus einem 5 Byte großem registered application provider identifier (RID) und einem 2 bis 5 Byte großem proprietary application identifier extension (PIX). Die RID des Interessenverbandes Die Deutsche Kreditwirtschaft ist A000000359 und der PIX der girocard ist 1010028001. Folglich steht auf fast jedem EC-Beleg die AID A0000003591010028001.

Migration zu EMV

Zur Realisierung der Chiptechnik haben die Europay/MasterCard- und die VISA-Organisation einen Migrationsplan erstellt, wonach bis 2005 alle europäischen Zahlungskarten einen EMV-Chip haben und alle europäischen Terminals (POS und Geldautomaten) EMV-chipfähig sein sollten. Finanzielle Anreize sollten dabei die Umstellung befördern. So wird bei Europay International/MasterCard International die Terminalmigration und bei VISA EU die Ausgabe von EMV-fähigen Karten belohnt. Am 1. Januar 2005 kam es darüber hinaus zur so genannten Haftungsumkehr. Das heißt, wenn ein auf Kartenfälschung beruhender Schadensfall eintritt, haftet der „Acquirer“ (die vertragsunternehmensabrechnende Bank) bzw. der „Issuer“ (die kartenausgebende Bank), die terminalseitig bzw. kartenseitig EMV nicht unterstützt.

Es wurde erwartet, dass sich die Chiptechnik mit all diesen Maßnahmen auf Karten und Terminals rasch (vorerst) parallel zur Magnetstreifentechnik ausbreitet und diese danach in einem gleitenden Übergang ersetzt. Tatsächlich wurden jedoch auch noch 2008 in Deutschland fast alle Kreditkarten ohne EMV-Chip ausgegeben, während die im Markt befindlichen Debitkarten (ec-Karten) zu ca. 70 % mit einem EMV-Chip ausgestattet sind. Geldautomaten sind Mitte 2009 sowohl in Deutschland als auch in Europa zu 92 % EMV-kompatibel. Insbesondere in den USA wird der Magnetstreifen ausschließlich verwendet, so dass dort keine Umstellung geplant ist.

2010-Bug

Zum 1. Januar 2010 kam es in Deutschland bei rund 30 Millionen älteren EC- und Kreditkarten mit EMV-Chip zu Verarbeitungsschwierigkeiten, da die Mikrochips fehlerhaft programmiert worden waren. Betroffen waren nur die Karten, welche mit einem Chipmodul des Herstellers Gemalto^[1] ausgerüstet waren. Dies führte dazu, dass die betroffenen Kunden weder an Geldautomaten Bargeld abheben noch an POS-Terminals bargeldlose Zahlungen leisten konnten.

Da dies zu erheblichen Problemen im Zahlungsverkehr führte, die betroffenen Banken aber aus Zeit- und Kostengründen keinen Umtausch der fehlerhaften Karten durchführen wollten, wurde als Konsequenz die Software der Geldautomaten und Zahlungsterminals zeitweise umkonfiguiert^[2]. Bei Geldautomaten wurde kurzfristig der bereits in EMV für fehlerhafte Karten vorgesehene Fallback verwendet. Hierbei "fällt" die Transaktion vom sicheren Chip auf den Magnetstreifen zurück. Da im deutschen Zahlungsverkehr das MM-Sicherheitsmerkmal auf dem Magnetstreifen der Zahlungskarten und für Geldautomaten vorgeschrieben ist, blieb die Sicherheit der Transaktion gewährleistet. An Electronic-cash-Terminals wurde der Ablauf so konfiguriert, dass auf die in den betroffenen Chipkarten noch vorhandene alte nationale Electronic-cash-Chipanwendung umgeschaltet und somit die fehlerhaft arbeitende EMV-Anwendung der Chipkarte nicht mehr benutzt wurde. Diese Sofortmaßnahmen waren innerhalb einer Woche abgeschlossen.

Danach wurde ein Update-System zur Anpassung der fehlerhaften Datenelemente in der Karte umgesetzt, welches die Umkonfigurierung der CDOL1 auf der Chipkarte vornahm. Dafür wurden die für die CDOL1 relevanten Daten in einer anderen Reihenfolge vorgeschrieben, bei welcher der 2010-Bug nicht mehr auftritt. Zur Einspielung des Updates musste eine Transaktion ohne Zahlung erfolgen. Die Kunden wurden auf die Umkonfigurierung der Karte am Terminal nach erfolgreichem Update hingewiesen.

Sicherheit

Am 11. Februar 2010 hat eine Gruppe von Computerwissenschaftlern der University of Cambridge einen effektiven Man-in-the-middle-Angriff gegen ein POS-Terminal der hausinternen Cambridge Cafeteria veröffentlicht, welches nach britischem Standard Chip Authentication Program (CAP) zertifiziert wurde. Der Angriff erlaubt es, durch Eingabe einer beliebigen PIN die Transaktion zu bestätigen.^[3] Bei diesem Angriff wird eine falsche Karte in das Terminal geschoben, die mit einer echten Karte verbunden ist. Die Nachricht des Terminals an die Chipkarte, die die zu prüfende PIN enthält, wird abgefangen und mit einer Nachricht „PIN OK“ beantwortet. Das Terminal glaubt also, dass die richtige PIN eingegeben wurde, während die Karte davon ausgeht, dass mit Unterschrift bezahlt wurde. Dieser Angriff funktioniert, weil die Antwortnachricht nicht kryptographisch abgesichert sein muss. In Deutschland kann der Angriff nur bei der Verwendung des veralteten deutschen Chip-Betriebssystems SECCOS v5 funktionieren, für welches mittlerweile die Übergangsfrist ausgelaufen ist. Laut ZKA ist Deutschland daher nicht von dem Problem betroffen.^[4]

Die EMV-Spezifikation "Common Payment Application Specification"^[5] von 2005 sieht in Kapitel "15.5.3.4 Terminal Erroneously Considers Offline PIN OK Check" für den Fall der fälschlich vom Terminal angenommenen positiven PIN-Verifikation zwingend eine Prüfung vor. Dasselbe Kapitel findet sich auch als Kapitel "5.2.5.5.3 Terminal Erroneously Considers Offline PIN OK Check" in der deutschen ZKA Spezifikation "Interface Specifications for the SECCOS ICC - EMV Commands" von 2007.

Technisch gesehen wird nach dem Kommando VERIFY PIN beim 1st GENERATE APPLICATION CRYPTOGRAM in CDOL1 das Bit für "PIN verification performed by ICC" über die Cardholder-Verification-Method Results (9F34) vom Terminal an die Karte mitübertragen. Die Karte muss dies prüfen und dann fordern, dass online gegangen oder die Transaktion abgebrochen wird. Spätestens hier hätte daher der Hack auch in Großbritannien versagen müssen.

Spezifikationen

• 1996: EMV 3.0
• 1999: EMV 3.1.1
• 2000: EMV 4.0 (EMV 2000)
• 2004: EMV 4.1
• 2008: EMV 4.2

Weblinks

• EMVCo LLC

Einzelnachweise

1. ↑ Französische Firma schuld an 2010-Fehler Spiegel Online Wirtschaft
2. ↑ Stellungnahme des ZKA: Lessons learned aus dem "2010-Problem" - Business Continuity Management in Chipkartensystemen
3. ↑ Steven J. Murdoch, Saar Drimer, Ross Anderson, Mike Bond: Chip and PIN is Broken. In: IEEE Symposium on Security and Privacy. 2010 (http://www.cl.cam.ac.uk/research/security/banking/nopin/oakland10chipbroken.pdf).
4. ↑ Stellungnahme des ZKA
5. ↑ Common Payment Application Specification