EMV – und dann?

Von Eric de Putter

Kürzlich las ich einen Artikel eines amerikanischen Analysten, der dafür plädierte mobiles Bezahlen einzuführen und die EMV Migration zu überspringen. In der Tat gab und gibt es viele Gegner von EMV, obwohl EMV meiner Meinung nach das einzig erfolgreiche Sicherheitsverfahren für Kartenzahlung ist, das von Karteninhabern weltweit akzeptiert wird. Ich bezweifle zwar, dass die USA tatsächlich die EMV Migration überspringen zugunsten von mobilem Bezahlen, aber ich möchte hier einmal die vorliegenden Argumente aufgreifen und erörtern, was EMV seit Einführung vor 20 Jahren erreicht hat. Es folgt eine Beurteilung der zukünftigen Anforderungen an EMV angesichts der heutigen Situation der Kartenindustrie (die sich wesentlich verändert hat seit der ersten EMV Spezifikation) und der bevorstehenden globalen Verbreitung.

Eine Erfolgsgeschichte – in kleinen Schritten

Seit der ersten Ankündigung von EMV im Jahr 1994 war es ein langer Weg zum Erfolg:
Ende 2012, fast 20 Jahre später, waren 1,62 Milliarden EMV Karten weltweit im Umlauf. Europa hat den höchsten Anteil an EMV Kartenausgabe und -akzeptanz, was angesichts der EMV Pflichtanforderungen des SEPA Card Framework kaum überrascht. Laut EMVCo und anderen Herausgebern von Branchendaten hat sich die EMV Technologie weltweit durchgesetzt, bis auf einige Ausnahmen. Beispielsweise in den USA sieht der Umsetzungsplan die Haftungsumkehr erst von 2015 – 2017 vor, und in Indien wird EMV nur für internationale Transaktionen Pflicht. Beide Länder betreiben jedoch Programme, um die EMV Kartenausgabe und -akzeptanz in den nächsten Jahren weiter zu fördern. China hat mit Union Pay das weltweit größte Kartensystem, das eine Haftungsumkehr vom 1. Januar 2015 an vorsieht und die EMV-Migration vorantreibt.

Man kann sagen, dass EMV eines der wenigen Sicherheitsmechanismen ist, das vom Karteninhaber akzeptiert wurde. Einige Anfangsschwierigkeiten gab es insbesondere in den Ländern mit unterschriftsbasierten Transaktionen, da Karteninhaber zunächst Schwierigkeiten hatten sich die PIN Nummer zu merken. In den frühen Tagen von EMV wurden Karteninhaber bisweilen abgeschreckt durch die mangelnde Interoperabilität der neuen Technologie. EMVCo, die Kartensysteme sowie die Banken waren sehr bemüht diese Fragestellungen zu lösen. Im Vergleich zu den vielfältigen existierenden Sicherheits-maßnahmen im Internet (SET, 3D-SET, Secure VbyV, ...) ist der EMV Weg sogar weniger steinig gewesen.

Alle Erwartungen erfüllt?

Im Hinblick auf die Reduzierung von Betrug hat EMV die Erwartungen erfüllt. Statistiken zufolge aus Australien, Frankreich, Malaysia, den Niederlanden und Großbritannien hat EMV den Betrug durch Fälschung und Verlust / Diebstahl deutlich reduziert hat. Weitere Vorteile, die EMVCo bewirbt, sind der Zugang zum Internet-Banking (mit speziellen Kartenlesern) und die Offline- Nutzung um Telekommunikationskosten zu vermeiden. Lassen Sie uns den Erfolg genauer unter die Lupe nehmen:

Betrüger suchen sich in der Regel eine Hintertür, wenn der Haupteingang verschlossen ist. In den meisten der vorgenannten Länder änderte sich durch EMV der Betrug vermehrt zu CNP Betrug, Identitätsdiebstahl und Internet-Banking Betrug. Ein Grund liegt darin, dass EMV Karten nicht für Internet-Zahlungen oder Internet-Banking zum Einsatz kommen, da die meisten PCs keine Chipkartenleser haben und die meisten Banken ihren Kunden keine Kartenleser für zu Hause anbieten. Banken argumentierten anfangs mit dem Business Case, heutzutage kristallisiert sich heraus, dass eine Token Authentifizierung durch Kartenleser längst überholt ist durch den Einsatz von Mobiltelefonen. Eine der großen niederländischen Banken hat bereits angekündigt, ihre Kartenleser schrittweise ab 2014 zu ersetzen. Neben Kartenlesern bieten Banken heute alternativ auch die Authentifizierung über eine mobile App an.

Eine weitere Hintertür, die die Betrüger fanden, war das Ausweichen auf andere Länder. Es gab auch Fälle von High-Tech-Betrug durch Skimming; hierbei wurden Kartendaten und PIN ausgelesen und auf eine Magnetstreifenkarte kopiert, die dann in nicht-EMV Ländern verwendet wurde. Die zunehmende Verbreitung von EMV hat diese Art von Betrug deutlich eingeschränkt, doch solange es die Magnetstreifen Technologie noch gibt, wird dies auch weiterhin geschehen.

Der drittgenannte Vorteil, die Offline- Nutzung, wurde zwar realisiert, jedoch nicht umfassend. Mit zunehmendem Betrug und sinkenden Telekommunikationskosten bevorzugen die Emittenten fast zu 100% Online Autorisierung (Ausnahmen sind Länder wir Frankreich und Finnland). Offline- Nutzung wird daher gezielt für Kleinbetragszahlungen in Verbindung mit NFC eingesetzt, wobei dies eine Terminal Änderung erfordert um NFC zu unterstützen.

Aber ist EMV sicher?

Skeptikern zufolge wurde EMV bereits gehackt. Die Cambridge Universität geht sogar soweit zu verkünden, dass das System so schwach sei, dass es komplett neu geschrieben werden müsste. Eine harte Aussage. Dennoch, obwohl auch Falschgeld laut Wikipedia „so alt ist wie das Geld selbst" wird Bargeld weiterhin ein Zahlungsmittel im Handel bleiben.

Diese Aussagen sollten dennoch eingehender betrachtet werden: EMV ist zunächst einmal eine Kartenterminalschnittstelle, um zusätzliche Daten außerhalb des Magnetstreifen auszutauschen. Verschiedene Systemkomponenten müssen diese Daten analysieren. Die Kartenemittenten können jedoch bewusst die Entscheidung treffen, bestimmte Transaktionen zu autorisieren (z.B. PIN Fallback), sei es während einer Schonfrist oder aus Unverständnis möglicher Betrugsszenarien, ohne die zusätzlichen Chip Daten zu analysieren. Eine schlecht konzipierte / konfigurierte EMV Karte in Verbindung mit einem Kartenemittenten, der die verfügbaren EMV Daten ignoriert, kann und wird mit großer Sicherheit betrügerische Transaktionen zulassen. Ich bin sicher, dass die Kartenindustrie alles versucht hat dies zu verhindern, aber es ist nur allzu leicht nachzuvollziehen dass bei der Implementierung einer neuen und komplexen Technologie auch Fehler geschehen.

Bei jedem Angriff Dritter auf die Sicherheit von EMV hat die Kartenbranche reagiert und die Sicherheit weiter verbessert. Bestimmte, weniger sichere Funktionen wie z.B. statische Daten -Authentifizierung, die die Echtheit der Kartendaten prüft ohne hingegen die Echtheit der Karte zu berücksichtigen, wurden durch sicherere Maßnahmen wie die dynamische Datenauthentifizierung und kombinierte Datenauthentifizierung abgelöst.  Kritiker argumentieren, dass EMV weiter auf den Magnetstreifen setzt und dadurch die Sicherheit eingeschränkt ist. Das ist ein valider Punkt. Dies ist der Tatsache geschuldet, dass Karteninhaber ihre Karte überall einsetzen wollen, auch an Magnetstreifen-Terminals, so dass der Magnetstreifen zusätzlich unterstützt werden muss.

EMV ist älter als PCI DSS; hätten die EMV Architekten die PCI DSS-Compliance Auswirkungen von sensiblen Magnetstreifendaten wie PANs, Track2 und Ablaufdaten gekannt, wäre das Design heute vielleicht anders.

Mit Vollendung der EMV Migration weltweit könnten EMVCo und die Kartensysteme meines Erachtens auf ein Ende des Magnetstreifen hinwirken. Nach diesem Datum werden Karten im Terminal eingelesen und nicht mehr durchgezogen; dies eröffnet neue Wege, um die sensiblen Datenelemente zukünftig zu schützen. Kurzfristig kann eine p2p-Verschlüsselung von sensiblen Daten im Terminal den PCI DSS Umfang reduzieren. In einer reinen EMV-Umgebung würde eine Dummy PAN ohne Verfallsdatum die PCI-DSS Belastung für die Akzeptanzseite jedoch stark reduzieren. Emittenten, die weiterhin PAN-basierte Transaktionen im Internet zulassen wollen, können die "echte" PAN auf die Karte prägen.

EMV – Reifeprozess eines Standards

Angesichts der Weiterentwicklung von EMV in den nächsten Jahren sollten wir einen Blick werfen auf EMV in der heutigen Welt anstelle es aus dem Blickwinkeln der Entwickler in den 90er Jahren zu sehen.

  • End-Datum für den Magnetstreifen
    Nach Realisierung der Haftungsumkehr in der ganzen Welt sollte die nächste Pflichtanforderung ein End-Datum für Magnetstreifentransaktionen sein. Sollten einige Länder mehr Zeit brauchen um den Inlandsverkehr umzustellen, sollte das erlaubt werden, aber zumindest werden dann die Karteninhaber und Emittenten im Rest der Welt geschützt.
  • Absichern von PAN / Verfalldatum
    Ich konnte bei meiner Internetrecherche die Gesamtkosten der PCI DSS-Compliance nicht ermitteln, jedoch fand ich Aussagen, dass ein Datenmissbrauch mehr koste als Compliance. Als Visa USA vorschlug, PCI DSS für EMV-Händler zu erlassen, erhob der PCI Rat Widerspruch. Der PCI Rat warnte auch alle Betreiber von Geldautomaten, dass Windows XP bald auslaufe, obwohl es allen Beteiligten wohl bekannt war. Anstatt eine eigenständige Compliance Branche zu erschaffen, könnten die Kartensysteme ein Tokensystem implementieren mit eindeutigen Kartennummern. PAN und Verfallsdatum wären hierbei verborgen, so dass keine sensiblen Daten mehr in Einzelhandelssystemen gespeichert wären.
  • Überprüfung weniger sicherer Funktionen
    Ich widerspreche ungern einer hochrespektablen Universität wie Cambridge, jedoch bezweifle ich, dass eine vollstände Neuentwicklung des Systems erforderlich ist. Sobald PAN und Magnetstreifen gesichert sind, wäre der nächste zu optimierende Punkt auf der Liste Offline- PIN (auf den sich einige Angriffe konzentriert haben) und Schlüsselverwaltung; selbst Web-Seiten neigen heute dazu, mehr auf Sicherheit zu setzen und ihre Schlüssel häufiger zu ändern.

Ich hoffe hier einige Denkanstöße für alle Beteiligten rund um EMV geboten und eventuell sogar einige EMV Skeptiker überzeugt zu haben. Diejenigen, die dennoch davon überzeugt sind, dass mobiles Bezahlen die bessere Lösung sei als EMV, wünsche ich viel Glück auf der Suche nach der „Silberkugel“ für eine sehr komplexe Lösung.

Geben Sie eine gereifte Technologie, die bewiesen hat die Sicherheit von Kartenzahlungen zu verbessern, nicht einfach so schnell auf. Berücksichtigen Sie in Ihrer Roadmap für die Einführung von mobilem Bezahlen auch die Herausforderungen durch verschiedene, nationale Lösungen und die geringe Durchdringung von Viren-Scans auf Smartphones.

Artikel Downloaden

Eric de Putter ist Geschäftsführer von Payment Redesign Ltd & Executive Berater von PAYMINT AG.
Der Autor führt ein Beratungsunternehmen mit Partnern in Großbritannien, Irland, Benelux und Nordeuropa mit Fokus auf die Neuausrichtung im Zahlungsverkehr hin zu mehr Kundorientierung statt alter Traditionen und IT- Restriktionen. Zum Zeitpunkt der EMV Einführung in Großbritannien arbeitete der Autor für Visa Europe und war für die EMV- Umsetzung in einer Reihe von europäischen Ländern verantwortlich. Er war der erste Karteninhaber, der eine EMV Transaktion im Visa Netzwerk tätigte.