Regelbetrieb startet: Motion Code-Kreditkarte stoppt Datendiebe

Sicherheit, Datendiebstahl, Kreditkarte, Motion Code, Oberthur Technologies, Sicherheitszahl Sicherheit, Datendiebstahl, Kreditkarte, Motion Code, Oberthur Technologies, Sicherheitszahl
Eine neu entwickelte Kreditkarte soll es jetzt unmöglich machen, dass Kriminelle mit gestohlenen Nummern die Konten von Bankkunden plündern. Möglich macht dies die Integration von mehr Elektronik und eines kleinen Displays in die gewohnten Plastikkarten.

Damit Transaktionen zustande kommen, reicht für gewöhnlich die Kreditkartennummer nicht aus. Für gewöhnlich müssen auch Ablaufdatum und die so genannte Sicherheitszahl angeben werden. Letztere ist bisher allerdings nicht sonderlich sicher, sondern fällt meist auch zusammen mit der eigentlichen Kartennummer in den Besitz eines Datendiebes.

Das französische Sicherheits-Unternehmen Oberthur Technologies sah hier einen Ansatzpunkt und sorgte dafür, dass die dreistellige Zahl auf der Rückseite der Kreditkarte nicht mehr dauerhaft gleich ist. Statt dessen integrierte man einen kleinen Nummern-Generator in die Smartcard. Dessen Verfahren ist schon aus anderen Bereichen in Form von PIN-Generatoren bekannt.

Die neuen Kreditkarten mit der so genannten Motion Code-Technologie besitzen schlicht keine feste Sicherheitszahl mehr. Stattdessen ändert sich diese einmal pro Stunde. Da gestohlene Kreditkartendaten in aller Regel frühestens an den folgenden Tagen tatsächlich missbraucht werden (können), soll dies unbefugte Transaktionen sehr stark erschweren und Datendiebe schlicht mit einer Ladung unbrauchbarer Zahlen zurücklassen.

Der eingebaute Generator liefert gut drei Jahre lang regelmäßig aktuelle Dreierkombinationen. Dann muss die Kreditkarte ausgetauscht werden. Ansonsten, so verspricht der Hersteller, gebe es gegenüber der gewohnten Karte keine Nachteile. Auch die Motion Code-Smartcards können mal gebogen oder mitgewaschen werden, ohne, dass die eingebaute Technik Schaden nimmt.

In Pilotversuchen hat die Technologie gut funktioniert. Mit der Société Générale und der Groupe BPCE haben jetzt zwei der größten französischen Banken begonnen, die neuen Kreditkarten in den normalen Betrieb aufzunehmen und alle ihre Kunden umzurüsten. Tests laufen auch in Polen und Mexiko. Ob auch hiesige Banken schon ein Auge auf die Technologie geworfen haben, ist noch unbekannt.
Dieses Video empfehlen
Kommentieren18
Jetzt einen Kommentar schreiben
 
Ich versteh denn Sinn nicht ganz. Wo ist denn da die Erschwerung wenn mit der neuen Karte auch gleich die neue Methode zu Erzeugung der Sicherheitszahl mit gestohlen wird? Dem Dieb ist es doch herzlich egal ob die Zahl fest ist oder ob sie stündlich geändert wird, wenn er im Besitz der gestohlenen Karte ist.
 
@Gispelmob: Kreditkartendaten werden wohl zu 99,99% über das Internet durch unsichere Datenbanken oder phishing gestohlen. Da ist man eben NICHT! im Besitz der Kreditkarte, sondern hat nur die Zahlen. Ändern sich diese, bzw. sind diese nur zu einem bestimmten Zeitpunkt gültig, dann sind die Daten fast nichts mehr Wert.
Dadurch dass die Sicherheitszahl aber nur 3 stellig ist, lohnt immer noch ein Angriff auf gut Glück. Da hätte man ja nachlegen können.
 
@Gispelmob: Geht hier um den *Daten-Dieb". Also wenn irgendwo mal wieder Kreditkarten-Nummer/ Name/ Datum/ Prüfziffer nett in einer Datenbank im Internet rumliegt
 
@Gispelmob: Ich denke es geht nur um die Daten, nicht um die physische Karte.
 
@Gispelmob: Ich glaube es geht hier nur um gestohlene Kartennummern + Prüfzahlen die Kriminelle im Internet verkaufen. Mit der Karte ist das nur noch innerhalb einer Stunde möglich, da aber Kriminelle oft hunderte Kartennummern in Paketen verkaufen ist es nicht mehr so einfach möglich solche Pakete zu schnüren weil die Nummern nur eine Stunde gültig sind.
 
@andreas2k: ja, okay, nicht daran gedacht. Im Fall des Diebstahl von "nur" Daten bleibt maximal ein Zeitfenster von 1 Stunde. Ist es denn möglich alle Kombinationen von 3 Stellen in der einen Stunde durchzuprobieren? 3 Stellen erscheinen mir nicht besonders viel.
 
@Gispelmob: Naja, es wird dann schon eine Sperre geben, wenn man 3 mal oder so falsche Zahlen eingegeben hat. Sonst wäre es ja sinnlos.
 
@FatEric: Bei der Originalkarte ja, aber die Sicherheitszahlen von zB. Paypal und bei meinem Onlinebanking sind bereits 6 stellen lang, das muss ja einen Grund haben. Wie geschrieben, 3 Stellen erscheinen mir heutzutage wenig. Zumal Kriminelle sicherlich Möglichkeiten haben diese Sperre zu umgehen. Trotzdem sind 3 variable Ziffern schon mal besser als 3 feste Ziffern.
 
@Gispelmob: Es kommt drauf an wie man es absichert, die Länge spielt nur dann eine Rolle, wenn man mit Brutforce weiter kommt. Bei drei Zeichen sind (ohne Prüfziffer) es dennoch gute 1000 Kombinationen, entsprechend geschützt ist diese Hürde schon relativ hoch, wenn die Gültigkeit des Passwortes entsprechend kurz genug ist. Ggf. lässt man auch erst mal die Transaktion zu, weist diese aber erst nach einigen Minuten ab. Damit wird ein schnelles Testen der Kombinationen verhindert, wobei 6 Zeichen durchaus sinnvoller wären, was aber vermutlich daran scheitert dass die ganzen Systeme nur 3 Zeichen als Sicherheitcode erlauben.
 
@Gispelmob: Wenn der Dieb deine KArte physisch klaut ist Ihm das herzlich egal, da hast du recht. Es ist allerdings in letzter Zeit vermehrt zu Datendiebstahl, oft auch durch lecks in Firmen etc. gekommen. Dabei wird dem Opfer eben nicht die Karte geklaut, sondern nur die Daten. Und bei dieser Methode können Datendiebe nichts mehr (aktueller Kentnisstand) damit anfangen.
 
Vorbildlich, aber nervig für fest hinterlegte Zahlungsdaten wie bei Paypal, Ebay, Amazon & Co. Da darf ich dann in zukunft wieder die Karte rausfriemeln und den Sicherheitscode eingeben.
 
@Cosmic7110: Mehr Sicherheit bedeutet meistens einen Komfortverlust. Und weil der Mensch faul ist, ist vieles auch nicht ordentlich gesichert!
 
@FatEric: und deshalb befürworte ich es, wenn man dem Nutzer/Kunden nachher die Wahl überlässt ob er die Sicherheit möchte oder nicht. Ich kann gut und gerne auf Alphanumerische Kennwörter verzichten wenn ich der Meinung bin ich brauch es nicht!
 
@Cosmic7110: Nur mal interessehalber, wo bist du gezwungen ein Passwort zu benutzen, wo du das nicht möchtest? Manchmal hat man ja die Wahl. Wo anders gehts nunmal nur mit Identifikation.
 
@FatEric: mein Smarthome System zb. Muss ich nun alphanumerisch + Sonderzeichen sichern obwohl vorher 4 zahlen gereicht haben. Nachfrage beim Support: "ja, ist so und sicherer" mein Hinweis es dem Kunden zu überlassen wurde aufgenommen "da haben sie auch wieder recht, gebe ich weiter"

Diverse Onlineservices ebenso
 
@Cosmic7110: Ja, stimmt, ist nervig.
 
Wäre es nicht besser, einen seperaten Random Numbering Generator für die Sicherheitsodes von den Kartenausgebenden Banken dem Kunden bereit zu stellen( gern auch gegen Zahlung einer Gebühr), der die Prüfziffer per NFC auf die Kreditkarte schreibt, und die nur für 1 Transaktion gültig ist?
 
@Norbertwilde: ließe sich sicherlich auch mit einer App vom Smartphone aus, wie bei einer Zweifaktor-Autorisierung, lösen.
Kommentar abgeben Netiquette beachten!