www.wikidata.de-de.nina.az

Contact EMV entstanden aus der Abkürzung EMV für Europay International MasterCard und VISA bezeichnet eine Spezifikation

Contact EMV

Contact EMV (entstanden aus der Abkürzung EMV für Europay International, MasterCard und VISA) bezeichnet eine Spezifikation für Zahlungskarten, die mit einem Prozessorchip ausgestattet sind und für die Anwendung in zugehörigen Chipkartengeräten wie POS-Terminals, Geldautomaten und TAN-Generatoren vorgesehen sind. Die Buchstaben EMV stehen für die drei Gesellschaften, die den Standard entwickelten: Europay International, heute MasterCard Europe, Mastercard und VISA International Service Association. Bis 2019 wurde der Standard als EMV bezeichnet. Aus der Kooperation entstand die Standardorganisation EMVCo, die seitdem weitere Zahlungsverkehrsverfahren, wie z. B. 3-D Secure und Contactless EMV entwickelt und standardisiert hat.

Chip statt Magnetstreifen Bearbeiten

In der zweiten Hälfte der 1990er Jahre wurden in mehreren Ländern Europas Debitkarten mit Mikrochip ausgestattet, um Kartentransaktionen nicht mehr über den technisch überholten Magnetstreifen abwickeln zu müssen. Diese Chips waren alle proprietär und auf die Bedürfnisse der jeweiligen Länder ausgerichtet. Der Mangel, nicht grenzüberschreitend eingesetzt werden zu können, wurde rasch erkannt und durch den EMV-Standard behoben.

Die wesentlichen Vorteile der Chiptechnik und damit auch Gründe für den Ersatz des Magnetstreifens durch den Chip sind:

  • Der Chip kann im Gegensatz zum Magnetstreifen mittels technischer Verfahren wirksam gegen eine Duplizierung oder Veränderung geschützt werden. Der Chip kann eine Verschlüsselung ausführen, ohne dass ein verwendeter geheimer Schlüsselwert ausgelesen werden könnte.
  • Beim Einsatz von Chipkarten kann die Erkennung der Kartenechtheit (Card Authentication) und die Prüfung der PIN (Cardholder Verification) stattfinden, auch ohne dass eine Online-Verbindung besteht.
  • Im Gegensatz zum Magnetstreifen, der als rein passiver Datenspeicher fungiert, ist ein Chip ein Miniaturcomputer mit einer Rechenleistung vergleichbar einem PC aus den 1980er Jahren, mit geschützten Datenbereichen und Anwendung kryptographischer Verfahren. Dadurch sind auch Zusatzfunktionen wie eine Elektronische Geldbörse und Stammkundenprogramme möglich. Die Spezifizierung dieser Zusatzanwendungen ist jedoch nicht Teil von EMV, da sich EMV auf Zahlungsapplikationen beschränkt.

Der EMV-Standard Bearbeiten

Kontaktfeld auf der Vorderseite einer Kreditkarte nach dem EMV-Standard

Europay International, MasterCard und VISA als größte Zahlungskarten-Organisationen entwickelten gemeinsam den nach ihnen benannten EMV-Standard. Die erste stabile Ausgabe der EMV-Chipspezifikationen war die EMV’96 Integrated Circuit Card Specification, Version 3.1.1., die entgegen ihrem Namen erst 1998 veröffentlicht wurde. Die neu gegliederte, korrigierte und erweiterte EMV 2000 Integrated Circuit Card Specification, Version 4.0, wurde Ende 2000 veröffentlicht. Diese Spezifikation gilt für alle Zahlungskarten, d. h. sowohl für Debitkarten als auch für Kreditkarten. EMV 4.1 stellt nur eine Revision des Standards EMV 4.0 dar und wurde im Juni 2004 veröffentlicht.

Der EMV-Standard baut im Wesentlichen auf den Prinzipien der Interoperabilität und der Flexibilität auf. Interoperabilität bedeutet dabei, dass die gleiche system- und länderübergreifende Karten- und Terminalnutzung, die es bei der Magnetstreifentechnik gibt, auch bei der Chipkartentechnik vorhanden ist. Flexibilität bedeutet, dass jedes Zahlungsverkehrssystem die Möglichkeit haben muss, individuelle Bedürfnisse jenseits der Interoperabilität realisieren zu können. Der Standard EMV 4.1 teilt sich in vier sogenannte „Books“ (Bücher) auf. Book 1 definiert die Schnittstelle zwischen Karte und Terminal (mechanisches Verhalten, elektrisches Verhalten, Transportprotokoll) und die Application Selection (Anwendungsauswahl; gleich für alle Karten und alle Terminals); Book 2 behandelt „Security and Key Management“ (Sicherheit und Schlüssel-Handhabung), Book 3 die „Application Specification“ (Anwendungsspezifikation) und Book 4 die „Interface Requirements“ (Schnittstellen-Anforderungen). Aus der Toolbox des EMV-Standards können die Systembetreiber (Zahlungsverkehrssysteme) ihre Optionen wählen, wobei der Grundgedanke ist, dass das Terminal alle angeführten Optionen unterstützen muss und für die Karte nur einzelne Optionen herangezogen werden können.

Für die Entwicklung des gemeinsamen Standards und seine Weiterentwicklung wurde von den EMV-Namensgebern eine eigene Gesellschaft, EMVCo LLC, gegründet. Der EMV-Standard wurde von dieser Gesellschaft definiert und von ihr weiterentwickelt. EMVCo LLC prüft und zertifiziert darüber hinaus die Hersteller von EMV-fähigen Geräten wie z. B. Geldautomaten und POS-Terminals, die EMV-Technik verwenden. Für die Aufbringung der darüber hinausgehenden individuellen Bedürfnisse der Zahlungsverkehrssysteme sind diese selbst verantwortlich.

EMV-Zahlungen Bearbeiten

Bei einer EMV-Zahlung wird auf dem EMV-Chip eine Anwendung ausgewählt. Diese hat eine Kennung, welche auf den Kundenbeleg gedruckt wird. Die Kennung wird application identifier (AID bzw. AppID) genannt und besteht aus einem 5 Byte großen registered application provider identifier (RID) und einer 2 bis 5 Byte großen proprietary application identifier extension (PIX). Die RID des Interessenverbandes Die Deutsche Kreditwirtschaft ist A000000359 und der PIX der girocard ist 1010028001. Deshalb steht auf fast jedem Beleg deutscher girocard-Zahlungen die AID A0000003591010028001.

Migration zu EMV Bearbeiten

Zur Realisierung der Chiptechnik haben die Europay/MasterCard- und die VISA-Organisation einen Migrationsplan erstellt, wonach bis 2005 alle europäischen Zahlungskarten einen EMV-Chip haben und alle europäischen Terminals (bargeldlose Verkaufsstellen und Geldautomaten) EMV-chipfähig sein sollten. Finanzielle Anreize sollten dabei die Umstellung befördern. So wird bei Europay International/MasterCard International die Terminalmigration und bei VISA EU die Ausgabe von EMV-fähigen Karten belohnt. Am 1. Januar 2005 kam es darüber hinaus zur sogenannten Haftungsumkehr. Das heißt, wenn ein auf Kartenfälschung beruhender Schadensfall eintritt, haftet der „Acquirer“ (die vertragsunternehmensabrechnende Bank) bzw. der „Issuer“ (die kartenausgebende Bank), die terminalseitig bzw. kartenseitig EMV nicht unterstützt.

Am 1. Juli 2002 brachte die DaimlerChrysler Bank als erste deutsche Bank eine (Visa-)Kreditkarte heraus, die auf der Vorderseite zusätzlich mit einem EMV-Chip ausgestattet war. Es wurde erwartet, dass sich die Chiptechnik mit all diesen Maßnahmen auf Karten und Terminals rasch (vorerst) parallel zur Magnetstreifentechnik ausbreitet und diese danach in einem gleitenden Übergang ersetzt. Tatsächlich wurden jedoch auch noch 2008 in Deutschland fast alle Kreditkarten ohne EMV-Chip ausgegeben, während die im Markt befindlichen Debitkarten (ec-Karten) zu ca. 70 % mit einem EMV-Chip ausgestattet waren. Geldautomaten waren Mitte 2009 sowohl in Deutschland als auch in Europa zu 92 % EMV-kompatibel.

Nachdem Visa, MasterCard und Discover Anfang 2012 ihre Migrationspläne für die USA veröffentlicht haben, haben die Kreditkartenfirmen im letzten Quartal 2015 begonnen, die Kreditkarten mit Magnetstreifen gegen Kreditkarten mit EMV-Chip auszutauschen. Seit Januar 2016 haftet der „Acquirer“ (die vertragsunternehmensabrechnende Bank) bzw. der „Issuer“ (die kartenausgebende Bank), die terminalseitig bzw. kartenseitig EMV nicht unterstützt. 10 Jahre nach der Einführung der EMV-Technik in Europa haben nun die Kreditkartenausgeber in den USA nachgezogen.

2010-Bug Bearbeiten

Zum 1. Januar 2010 kam es in Deutschland bei rund 30 Millionen älteren EC- und Kreditkarten mit EMV-Chip zu Verarbeitungsschwierigkeiten, da die Mikrochips fehlerhaft programmiert worden waren. Betroffen waren nur die Karten, welche mit einem Chipmodul des Herstellers Gemalto ausgerüstet waren. Dies führte dazu, dass die betroffenen Kunden weder an Geldautomaten Bargeld abheben noch an POS-Terminals bargeldlose Zahlungen (mittels EMV-Transaktion) leisten konnten.

Da dies zu erheblichen Problemen im Zahlungsverkehr führte, die betroffenen Banken aber aus Zeit- und Kostengründen keinen Umtausch der fehlerhaften Karten durchführen wollten, wurde als Konsequenz die Software der Geldautomaten und Zahlungsterminals zeitweise umkonfiguriert. Bei Geldautomaten wurde kurzfristig der bereits in EMV für fehlerhafte Karten vorgesehene Fallback verwendet. Hierbei „fällt“ die Transaktion vom sicheren Chip auf den Magnetstreifen zurück. Da im deutschen Zahlungsverkehr das MM-Sicherheitsmerkmal auf dem Magnetstreifen der Zahlungskarten und für Geldautomaten vorgeschrieben ist, blieb die Sicherheit der Transaktion gewährleistet. An Electronic-Cash-Terminals wurde der Ablauf so konfiguriert, dass auf die in den betroffenen Chipkarten noch vorhandene alte nationale Electronic-Cash-Chipanwendung umgeschaltet und somit die fehlerhaft arbeitende EMV-Anwendung der Chipkarte nicht mehr benutzt wurde. Diese Sofortmaßnahmen waren innerhalb einer Woche abgeschlossen.

Danach wurde ein Update-System zur Anpassung der fehlerhaften Datenelemente in der Karte umgesetzt, welches die Umkonfigurierung der CDOL1 auf der Chipkarte vornahm. Dafür wurden die für die CDOL1 relevanten Daten in einer anderen Reihenfolge vorgeschrieben, bei welcher der 2010-Bug nicht mehr auftritt. Zur Einspielung des Updates musste eine Transaktion ohne Zahlung erfolgen. Die Kunden wurden auf die Umkonfigurierung der Karte am Terminal nach erfolgreichem Update hingewiesen.

Sicherheit Bearbeiten

Am 11. Februar 2010 hat eine Gruppe von Informatikern der University of Cambridge einen effektiven Man-in-the-Middle-Angriff gegen ein POS-Terminal der hausinternen Cambridge Cafeteria veröffentlicht, welches nach britischem Standard Chip Authentication Program (CAP) zertifiziert war. Der Angriff erlaubt es, durch Eingabe einer beliebigen PIN die Transaktion zu bestätigen. Bei diesem Angriff wird eine falsche Karte in das Terminal geschoben, die mit einer echten Karte verbunden ist. Die Nachricht des Terminals an die Chipkarte, die die zu prüfende PIN enthält, wird abgefangen und mit einer Nachricht „PIN OK“ beantwortet. Das Terminal glaubt also, dass die richtige PIN eingegeben wurde, während die Karte davon ausgeht, dass mit Unterschrift bezahlt wurde. Dieser Angriff funktioniert, weil die Antwortnachricht nicht kryptographisch abgesichert sein muss. In Deutschland kann der Angriff nur bei der Verwendung des veralteten deutschen Chip-Betriebssystems SECCOS v5 funktionieren, für welches mittlerweile die Übergangsfrist ausgelaufen ist. Laut der Deutschen Kreditwirtschaft (ehemals Zentraler Kreditausschuss, ZKA) ist Deutschland daher nicht von dem Problem betroffen.

Die EMV-Spezifikation „Common Payment Application Specification“ von 2005 sieht in Kapitel „15.5.3.4 Terminal Erroneously Considers Offline PIN OK Check“ für den Fall der fälschlich vom Terminal angenommenen positiven PIN-Verifikation zwingend eine Prüfung vor. Dasselbe Kapitel findet sich auch als Kapitel „5.2.5.5.3 Terminal Erroneously Considers Offline PIN OK Check“ in der deutschen ZKA Spezifikation „Interface Specifications for the SECCOS ICC – EMV Commands“ von 2007.

Technisch gesehen wird nach dem Kommando VERIFY PIN beim 1st GENERATE APPLICATION CRYPTOGRAM in CDOL1 das Bit für „PIN verification performed by ICC“ über die Cardholder-Verification-Method Results (9F34) vom Terminal an die Karte mitübertragen. Die Karte muss dies prüfen und dann fordern, dass online gegangen oder die Transaktion abgebrochen wird. Spätestens hier hätte daher der Hack auch in Großbritannien versagen müssen.

Spezifikationen Bearbeiten

  • 1996: EMV 3.0
  • 1999: EMV 3.1.1
  • 2000: EMV 4.0 (EMV 2000)
  • 2004: EMV 4.1
  • 2008: EMV 4.2
  • 2011: EMV 4.3
  • 2019: Contact EMV 4.3f

Weblinks Bearbeiten

Einzelnachweise Bearbeiten

  1. (Memento des Originals vom 16. Juni 2012 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/blog.level2kernel.com
  2. (Memento des Originals vom 16. Juni 2012 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/blog.level2kernel.com
  3. Discover Implements EMV Mandate for U.S., Canada and Mexico
  4. Französische Firma schuld an 2010-Fehler Spiegel Online Wirtschaft
  5. (Memento des Originals vom 11. September 2010 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.zka-online.de (PDF; 34 kB)
  6. Steven J. Murdoch, Saar Drimer, Ross Anderson, Mike Bond: Chip and PIN is Broken. In: IEEE Symposium on Security and Privacy. 2010 (cam.ac.uk [PDF]).
  7. (Memento des Originals vom 15. März 2014 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.die-deutsche-kreditwirtschaft.de
  8. Common Payment Application Specification
  9. EMV 4.3
wikipedia, wiki, deutsches, deutschland, buch, bücher, bibliothek artikel lesen, herunterladen kostenlos kostenloser herunterladen, MP3, Video, MP4, 3GP, JPG, JPEG, GIF, PNG, Bild, Musik, Lied, Film, Buch, Spiel, Spiele
Veröffentlichungsdatum:
Contact EMV entstanden aus der Abkurzung EMV fur Europay International MasterCard und VISA bezeichnet eine Spezifikation fur Zahlungskarten die mit einem Prozessorchip ausgestattet sind und fur die Anwendung in zugehorigen Chipkartengeraten wie POS Terminals Geldautomaten und TAN Generatoren vorgesehen sind Die Buchstaben EMV stehen fur die drei Gesellschaften die den Standard entwickelten Europay International heute MasterCard Europe Mastercard und VISA International Service Association Bis 2019 wurde der Standard als EMV bezeichnet Aus der Kooperation entstand die Standardorganisation EMVCo die seitdem weitere Zahlungsverkehrsverfahren wie z B 3 D Secure und Contactless EMV entwickelt und standardisiert hat Inhaltsverzeichnis 1 Chip statt Magnetstreifen 2 Der EMV Standard 3 EMV Zahlungen 4 Migration zu EMV 5 2010 Bug 6 Sicherheit 7 Spezifikationen 8 Weblinks 9 EinzelnachweiseChip statt Magnetstreifen BearbeitenIn der zweiten Halfte der 1990er Jahre wurden in mehreren Landern Europas Debitkarten mit Mikrochip ausgestattet um Kartentransaktionen nicht mehr uber den technisch uberholten Magnetstreifen abwickeln zu mussen Diese Chips waren alle proprietar und auf die Bedurfnisse der jeweiligen Lander ausgerichtet Der Mangel nicht grenzuberschreitend eingesetzt werden zu konnen wurde rasch erkannt und durch den EMV Standard behoben Die wesentlichen Vorteile der Chiptechnik und damit auch Grunde fur den Ersatz des Magnetstreifens durch den Chip sind Der Chip kann im Gegensatz zum Magnetstreifen mittels technischer Verfahren wirksam gegen eine Duplizierung oder Veranderung geschutzt werden Der Chip kann eine Verschlusselung ausfuhren ohne dass ein verwendeter geheimer Schlusselwert ausgelesen werden konnte Beim Einsatz von Chipkarten kann die Erkennung der Kartenechtheit Card Authentication und die Prufung der PIN Cardholder Verification stattfinden auch ohne dass eine Online Verbindung besteht Im Gegensatz zum Magnetstreifen der als rein passiver Datenspeicher fungiert ist ein Chip ein Miniaturcomputer mit einer Rechenleistung vergleichbar einem PC aus den 1980er Jahren mit geschutzten Datenbereichen und Anwendung kryptographischer Verfahren Dadurch sind auch Zusatzfunktionen wie eine Elektronische Geldborse und Stammkundenprogramme moglich Die Spezifizierung dieser Zusatzanwendungen ist jedoch nicht Teil von EMV da sich EMV auf Zahlungsapplikationen beschrankt Der EMV Standard Bearbeiten nbsp Kontaktfeld auf der Vorderseite einer Kreditkarte nach dem EMV StandardEuropay International MasterCard und VISA als grosste Zahlungskarten Organisationen entwickelten gemeinsam den nach ihnen benannten EMV Standard Die erste stabile Ausgabe der EMV Chipspezifikationen war die EMV 96 Integrated Circuit Card Specification Version 3 1 1 die entgegen ihrem Namen erst 1998 veroffentlicht wurde Die neu gegliederte korrigierte und erweiterte EMV 2000 Integrated Circuit Card Specification Version 4 0 wurde Ende 2000 veroffentlicht Diese Spezifikation gilt fur alle Zahlungskarten d h sowohl fur Debitkarten als auch fur Kreditkarten EMV 4 1 stellt nur eine Revision des Standards EMV 4 0 dar und wurde im Juni 2004 veroffentlicht Der EMV Standard baut im Wesentlichen auf den Prinzipien der Interoperabilitat und der Flexibilitat auf Interoperabilitat bedeutet dabei dass die gleiche system und landerubergreifende Karten und Terminalnutzung die es bei der Magnetstreifentechnik gibt auch bei der Chipkartentechnik vorhanden ist Flexibilitat bedeutet dass jedes Zahlungsverkehrssystem die Moglichkeit haben muss individuelle Bedurfnisse jenseits der Interoperabilitat realisieren zu konnen Der Standard EMV 4 1 teilt sich in vier sogenannte Books Bucher auf Book 1 definiert die Schnittstelle zwischen Karte und Terminal mechanisches Verhalten elektrisches Verhalten Transportprotokoll und die Application Selection Anwendungsauswahl gleich fur alle Karten und alle Terminals Book 2 behandelt Security and Key Management Sicherheit und Schlussel Handhabung Book 3 die Application Specification Anwendungsspezifikation und Book 4 die Interface Requirements Schnittstellen Anforderungen Aus der Toolbox des EMV Standards konnen die Systembetreiber Zahlungsverkehrssysteme ihre Optionen wahlen wobei der Grundgedanke ist dass das Terminal alle angefuhrten Optionen unterstutzen muss und fur die Karte nur einzelne Optionen herangezogen werden konnen Fur die Entwicklung des gemeinsamen Standards und seine Weiterentwicklung wurde von den EMV Namensgebern eine eigene Gesellschaft EMVCo LLC gegrundet Der EMV Standard wurde von dieser Gesellschaft definiert und von ihr weiterentwickelt EMVCo LLC pruft und zertifiziert daruber hinaus die Hersteller von EMV fahigen Geraten wie z B Geldautomaten und POS Terminals die EMV Technik verwenden Fur die Aufbringung der daruber hinausgehenden individuellen Bedurfnisse der Zahlungsverkehrssysteme sind diese selbst verantwortlich EMV Zahlungen BearbeitenBei einer EMV Zahlung wird auf dem EMV Chip eine Anwendung ausgewahlt Diese hat eine Kennung welche auf den Kundenbeleg gedruckt wird Die Kennung wird application identifier AID bzw AppID genannt und besteht aus einem 5 Byte grossen registered application provider identifier RID und einer 2 bis 5 Byte grossen proprietary application identifier extension PIX Die RID des Interessenverbandes Die Deutsche Kreditwirtschaft ist A000000359 und der PIX der girocard ist 1010028001 Deshalb steht auf fast jedem Beleg deutscher girocard Zahlungen die AID A0000003591010028001 Migration zu EMV BearbeitenZur Realisierung der Chiptechnik haben die Europay MasterCard und die VISA Organisation einen Migrationsplan erstellt wonach bis 2005 alle europaischen Zahlungskarten einen EMV Chip haben und alle europaischen Terminals bargeldlose Verkaufsstellen und Geldautomaten EMV chipfahig sein sollten Finanzielle Anreize sollten dabei die Umstellung befordern So wird bei Europay International MasterCard International die Terminalmigration und bei VISA EU die Ausgabe von EMV fahigen Karten belohnt Am 1 Januar 2005 kam es daruber hinaus zur sogenannten Haftungsumkehr Das heisst wenn ein auf Kartenfalschung beruhender Schadensfall eintritt haftet der Acquirer die vertragsunternehmensabrechnende Bank bzw der Issuer die kartenausgebende Bank die terminalseitig bzw kartenseitig EMV nicht unterstutzt Am 1 Juli 2002 brachte die DaimlerChrysler Bank als erste deutsche Bank eine Visa Kreditkarte heraus die auf der Vorderseite zusatzlich mit einem EMV Chip ausgestattet war Es wurde erwartet dass sich die Chiptechnik mit all diesen Massnahmen auf Karten und Terminals rasch vorerst parallel zur Magnetstreifentechnik ausbreitet und diese danach in einem gleitenden Ubergang ersetzt Tatsachlich wurden jedoch auch noch 2008 in Deutschland fast alle Kreditkarten ohne EMV Chip ausgegeben wahrend die im Markt befindlichen Debitkarten ec Karten zu ca 70 mit einem EMV Chip ausgestattet waren Geldautomaten waren Mitte 2009 sowohl in Deutschland als auch in Europa zu 92 EMV kompatibel Nachdem Visa 1 MasterCard 2 und Discover 3 Anfang 2012 ihre Migrationsplane fur die USA veroffentlicht haben haben die Kreditkartenfirmen im letzten Quartal 2015 begonnen die Kreditkarten mit Magnetstreifen gegen Kreditkarten mit EMV Chip auszutauschen Seit Januar 2016 haftet der Acquirer die vertragsunternehmensabrechnende Bank bzw der Issuer die kartenausgebende Bank die terminalseitig bzw kartenseitig EMV nicht unterstutzt 10 Jahre nach der Einfuhrung der EMV Technik in Europa haben nun die Kreditkartenausgeber in den USA nachgezogen 2010 Bug BearbeitenZum 1 Januar 2010 kam es in Deutschland bei rund 30 Millionen alteren EC und Kreditkarten mit EMV Chip zu Verarbeitungsschwierigkeiten da die Mikrochips fehlerhaft programmiert worden waren Betroffen waren nur die Karten welche mit einem Chipmodul des Herstellers Gemalto 4 ausgerustet waren Dies fuhrte dazu dass die betroffenen Kunden weder an Geldautomaten Bargeld abheben noch an POS Terminals bargeldlose Zahlungen mittels EMV Transaktion leisten konnten Da dies zu erheblichen Problemen im Zahlungsverkehr fuhrte die betroffenen Banken aber aus Zeit und Kostengrunden keinen Umtausch der fehlerhaften Karten durchfuhren wollten wurde als Konsequenz die Software der Geldautomaten und Zahlungsterminals zeitweise umkonfiguriert 5 Bei Geldautomaten wurde kurzfristig der bereits in EMV fur fehlerhafte Karten vorgesehene Fallback verwendet Hierbei fallt die Transaktion vom sicheren Chip auf den Magnetstreifen zuruck Da im deutschen Zahlungsverkehr das MM Sicherheitsmerkmal auf dem Magnetstreifen der Zahlungskarten und fur Geldautomaten vorgeschrieben ist blieb die Sicherheit der Transaktion gewahrleistet An Electronic Cash Terminals wurde der Ablauf so konfiguriert dass auf die in den betroffenen Chipkarten noch vorhandene alte nationale Electronic Cash Chipanwendung umgeschaltet und somit die fehlerhaft arbeitende EMV Anwendung der Chipkarte nicht mehr benutzt wurde Diese Sofortmassnahmen waren innerhalb einer Woche abgeschlossen Danach wurde ein Update System zur Anpassung der fehlerhaften Datenelemente in der Karte umgesetzt welches die Umkonfigurierung der CDOL1 auf der Chipkarte vornahm Dafur wurden die fur die CDOL1 relevanten Daten in einer anderen Reihenfolge vorgeschrieben bei welcher der 2010 Bug nicht mehr auftritt Zur Einspielung des Updates musste eine Transaktion ohne Zahlung erfolgen Die Kunden wurden auf die Umkonfigurierung der Karte am Terminal nach erfolgreichem Update hingewiesen Sicherheit BearbeitenAm 11 Februar 2010 hat eine Gruppe von Informatikern der University of Cambridge einen effektiven Man in the Middle Angriff gegen ein POS Terminal der hausinternen Cambridge Cafeteria veroffentlicht welches nach britischem Standard Chip Authentication Program CAP zertifiziert war Der Angriff erlaubt es durch Eingabe einer beliebigen PIN die Transaktion zu bestatigen 6 Bei diesem Angriff wird eine falsche Karte in das Terminal geschoben die mit einer echten Karte verbunden ist Die Nachricht des Terminals an die Chipkarte die die zu prufende PIN enthalt wird abgefangen und mit einer Nachricht PIN OK beantwortet Das Terminal glaubt also dass die richtige PIN eingegeben wurde wahrend die Karte davon ausgeht dass mit Unterschrift bezahlt wurde Dieser Angriff funktioniert weil die Antwortnachricht nicht kryptographisch abgesichert sein muss In Deutschland kann der Angriff nur bei der Verwendung des veralteten deutschen Chip Betriebssystems SECCOS v5 funktionieren fur welches mittlerweile die Ubergangsfrist ausgelaufen ist Laut der Deutschen Kreditwirtschaft ehemals Zentraler Kreditausschuss ZKA ist Deutschland daher nicht von dem Problem betroffen 7 Die EMV Spezifikation Common Payment Application Specification 8 von 2005 sieht in Kapitel 15 5 3 4 Terminal Erroneously Considers Offline PIN OK Check fur den Fall der falschlich vom Terminal angenommenen positiven PIN Verifikation zwingend eine Prufung vor Dasselbe Kapitel findet sich auch als Kapitel 5 2 5 5 3 Terminal Erroneously Considers Offline PIN OK Check in der deutschen ZKA Spezifikation Interface Specifications for the SECCOS ICC EMV Commands von 2007 Technisch gesehen wird nach dem Kommando VERIFY PIN beim 1st GENERATE APPLICATION CRYPTOGRAM in CDOL1 das Bit fur PIN verification performed by ICC uber die Cardholder Verification Method Results 9F34 vom Terminal an die Karte mitubertragen Die Karte muss dies prufen und dann fordern dass online gegangen oder die Transaktion abgebrochen wird Spatestens hier hatte daher der Hack auch in Grossbritannien versagen mussen Spezifikationen Bearbeiten1996 EMV 3 0 1999 EMV 3 1 1 2000 EMV 4 0 EMV 2000 2004 EMV 4 1 2008 EMV 4 2 2011 EMV 4 3 9 2019 Contact EMV 4 3fWeblinks BearbeitenEMVCo LLCEinzelnachweise Bearbeiten Visa update for EMV Chip implementation in the U S Memento des Originals vom 16 Juni 2012 im Internet Archive nbsp Info Der Archivlink wurde automatisch eingesetzt und noch nicht gepruft Bitte prufe Original und Archivlink gemass Anleitung und entferne dann diesen Hinweis 1 2 Vorlage Webachiv IABot blog level2kernel com MasterCard Aligns with Visa s U S EMV Migration Plans by Publishing its Own EMV Implementation Roadmap Memento des Originals vom 16 Juni 2012 im Internet Archive nbsp Info Der Archivlink wurde automatisch eingesetzt und noch nicht gepruft Bitte prufe Original und Archivlink gemass Anleitung und entferne dann diesen Hinweis 1 2 Vorlage Webachiv IABot blog level2kernel com Discover Implements EMV Mandate for U S Canada and Mexico Franzosische Firma schuld an 2010 Fehler Spiegel Online Wirtschaft Stellungnahme des ZKA Lessons learned aus dem 2010 Problem Business Continuity Management in Chipkartensystemen Memento des Originals vom 11 September 2010 im Internet Archive nbsp Info Der Archivlink wurde automatisch eingesetzt und noch nicht gepruft Bitte prufe Original und Archivlink gemass Anleitung und entferne dann diesen Hinweis 1 2 Vorlage Webachiv IABot www zka online de PDF 34 kB Steven J Murdoch Saar Drimer Ross Anderson Mike Bond Chip and PIN is Broken In IEEE Symposium on Security and Privacy 2010 cam ac uk PDF Stellungnahme des ZKA Memento des Originals vom 15 Marz 2014 im Internet Archive nbsp Info Der Archivlink wurde automatisch eingesetzt und noch nicht gepruft Bitte prufe Original und Archivlink gemass Anleitung und entferne dann diesen Hinweis 1 2 Vorlage Webachiv IABot www die deutsche kreditwirtschaft de Common Payment Application Specification EMV 4 3 Abgerufen von https de wikipedia org w index php title Contact EMV amp oldid 231531107