Jahr-2010-2016-Bug: Klebeband flickt EC-Karten-Problem?

Der Trick lautet: “Überkleben Sie den Chip” (erkennbar an den Kontakten auf der Frontseite Ihrer Karte) mit ein, zwei Streifen Tesafilm, schon nehmen Sie dem Bankautomaten die Möglichkeit, den Chip und seine Sicherheitsfunktionen zu nutzen – was derzeit ja massiv nicht funktioniert. Statt dessen verwendet der Bankomat wieder die “gute alte” Methode per Magnetstreifen, denn die funktioniert ja noch prima. So nachzulesen bei spiegel.de, welt.de und anderen. Ich habe versucht, herauszubekommen, welchem “Genie” das als erstes eingefallen ist, aber das scheint mir inzwischen vergebens.

Tatsache ist: Der allseits empfohlene “gute alte” Magnetstreifen ist ein Sicherheitsproblem. Er fordert Kartenbetrug geradezu heraus. Für weniger als 100 Euro kann sich jeder mit etwas Sachkenntnis einen eigenen Kartenautomaten basteln, der folgende Funktionen bietet: Dem “Kunden” auf dem Display sowas ähnliches anzeigen wie eine echte Bank; einen Schlitz, der die Karte aufnimmt (dahinter ein Magnetkartenleser, der den Streifen ruckzuck kopiert); eine Tastatur, die die Geheimzahl des Kunden aufnimmt (oder – üblicher – eine Mini-Cam, die sie aufnimmt; neu auch der PS/2-Trick); eine Software, die den Magnetstreifen-Inhalt plus PIN irgendwo ins Internet schiebt; und zum Abschluss die Fehlermeldung des Heimbau-Bankautomaten, die besagt, derzeit wäre der Service gestört, sorry, Geld gebe es heute keines.
Ergebnis: Der Gauner hätte die Karte kopiert und die PIN abgefischt. Danke, Magnetstreifenkarte!

EC-Karten-Chip (unabgeklebt)Der Chip auf der Karte sollte diesen Misstand beheben. Eigentlich. Indem die Leute nun massiv ihre Chips abkleben, die das ganze Geld-abheben-System hätten sicherer machen sollen, schalten sie die (derzeit leider nur potentiell erhöhte) Sicherheit aber wieder komplett aus.
Dass der Magnetstreifen als Fallback überhaupt noch vorhanden ist, ist ja bereits eine riesige Torheit, wo doch ein Chip existiert, der sicherer ist. Denn die Karte mit Chip (und Magnetstreifen) lässt sich genauso gut kopieren wie die ohne Chip (und Magnetstreifen), solange es bl0ß der Magnetstreifen ist, der kopiert werden muss.

Bravo! Von der Intelligenz her ist das in etwa so, als würde man Kinderpornografie damit bekämpfen, indem man DNS-Einträge … ach so, richtig, genau der Blödsinn wurde ja gemacht.

Man darf sich schon fragen, warum in Diskussionen zum “Standort Deutschland” immer die Zwei Euro Fuchzig Gehaltserhöhung ein Thema sind, nie aber der Umstand, dass unsere IC/EC/ICE-Bahntechnik blamabel ist, wir kein Mautsystem patzerfrei auf die Beine kriegen und so was Banales wie die Einführung eines etwas sichereren Chip-Systems (die, btw, schon vor Jahrzehnten hätte stattfinden können und müssen) derart in die Hose gehen kann (ja richtig, der Chip kommt wohl aus Frankreich … aber der TGV ist trotzdem besser! von Gemalto aus den Niederlanden).

Meine Forderung: den Chip NICHT abkleben, statt dessen den Banken in die 5 Buchstaben treten. (Damit die ihre Chip-Lieferanten treten.)

Übrigens: Wer – wie allseits geraten – den Chip überklebt, manipuliert sein elektronisches Zahlungsmittel. Auch wenn das wahrscheinlich nicht strafbar ist, ist es zumindest eine Möglichkeit der Banken, bei einem Problem die Schuld auf den Kunden zu schieben. Und den Geldautomaten, in dem meine mit Tesa verklebte Karte steckenbleibt, würde ich auch nicht zahlen wollen…

Übrigens/2: Die Banken werden nun wahrscheinlich einfach den schlaueren Automaten wieder abgewöhnen, den Chip auszulesen, und ihnen von selbst beicoden, statt dessen nur den “guten alten” Magnetstreifen zu nehmen. Weil das billiger als, als 30 Mio. EC-Karten zu ersetzen.

Y2K10-Bug: Das Jahr 2016-Problem

Das Problem ist übrigens höchstwahrscheinlich ein Fehler in der Umrechung von Hexadezimal (Basis16, computerüblich) zu Dezimal (Basis 10, menschenüblich) bzw. umgekehrt: 10hex != 10dez, statt dessen sind 10hex nämlich 16dez. Und dass ein Bankautomat misstrauisch wird, wenn die Karte von 2016 faselt, ist nachvollziehbar.

Nachdem uns der Jahr-2000-Bug (“Y2K-Bug”) verschont hat, kommt nun also der “Y2K10-Bug”. Einige Windows-Mobile-Phones (bäh!) versehen Textnachrichten daher nun auch mit einem falschen Datum. Symantecs Sicherheitsprodukte haben Probleme mit der Nacht vom 31.12. auf den 1.1., und Spam-Filter schlagen verstärkt zu, weil Mails scheinbar aus dem Jahr 2016 kommen (falsches Datum ist typisch für Bulk-Mails) – also besser man in den Junk-Ordner gucken, vor allem bei Freemail-Providern wie GMX & Co. sowie bei solchen, die SpamAssassin einsetzen (z.B. 1&1).

Einige interessante Standpunkte dazu:

  • Ganz anständige GEZ-finanzierte F&A auf www.tagesschau.de
  • Große Gaudi: “Auch Antiviren-Software von Symantec hat Schwierigkeiten mit dem Jahr 2010 und verarbeitet aktuelle Virensignaturen nicht mehr” schieb.de
  • “Da die Informationspolitik der Banken so großartig funktioniert hat, wussten wir natürlich auch in den ersten 2 Tagen des Neuen Jahres nicht was überhaupt los ist und wieso diverse Karten nicht funktionieren…” megahoschi
  • “Na ja, vielleicht war das ganze nur ein Testlauf, wie die Bevölkerung reagiert, wenn sie kein Geld mehr von den Banken erhält.” politprofiler
  • “Aus Australien kommen Meldungen, dass es beim Bezahlen mit Karten in Geschäften, Probleme gibt, weil die Terminals wegen eines Programmierfehlers die Karten als abgelaufen behandelten, weil das Jahr 2016 erreicht sei.” blogging-inside.de
  • Bugfix für das Windows Mobile Y2K10 Problem: “Registry Key erstellen: …” für Windows-Mobile-Handys, auf www.vip-chicks.de (ganz am Ende des textes)
  • “We are fully focused on minimizing the inconvenience for the cardholders. As a partner, we will of course meet our contractual obligations, and continue to support our clients. We trust that we will promptly deploy a solution with our German customers to return to full normal operation.” Gemalto PR-Abteilung

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau 'normaler Nutzer' und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht's um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte dich auch interessieren …