Die Einführung von Chips auf Kreditkarten soll vor allem vor Missbrauch schützen und soll nach und nach den bisher noch stark verbreiteten Magnetstreifen ablösen. Momentan werden drei unterschiedliche Sicherheitsverfahren zur Echtheitsprüfung einer Karte angewendet: Static Data Authentication (SDA), Dynamic Data Authentication (DDA) und Combined Dynamic Data Authentication (CDA). Die Kreditwirtschaft setzt auf ihren Karten hauptsächlich SDA und DDA ein. Bei SDA wird eine Kombination aus festen Kartendaten mit einem RSA-Schlüssel des Herausgebers signiert. Da diese Signatur statisch ist, kann sie bereits bei der Herstellung in den Chip eingebracht werden, was Kosten spart. Zudem ist der SDA-Chip nicht in der Lage, eigene kryptografische Operationen durchzuführen. Deshalb wird bei der PIN-Prüfung im Offline-Verfahren, die auf dem Terminal eingegebene PIN im Klartext an die Karte zur Verifizierung geschickt. Hier setzt der Angriff der britischen Wissenschaftler an: Um an die PIN und Kreditkartendaten zu gelangen, belauschen sie die Kommunikation zwischen Terminal und Karte. Dazu wird ein spezielles Gerät zwischen Karte und Terminal geschaltet, das die übertragenen Daten mitschneidet. Diese Daten kann ein Betrüger auf den Magnetstreifen eigener Karten schreiben und diese einsetzen, solange noch Lesegeräte, die Magnetstreifen auslesen, im Einsatz sind. In der Sendung plusminus wurde das Gerät mit deutschen und englischen Kreditkarten getestet. Während beim teureren Chip, dem so genannten DDA-Chip, die Kreditkartendaten elektronisch abgehört werden können, ist es bei der um einige Cent billigeren Version, dem so genannten SDA-Chip sogar problemlos möglich, auch die Geheimnummer abzugreifen. Mike Bond von der Forschungsgruppe der Universität Cambridge erklärt die Funktionsweise des Geräts, das am Computerlabor in Cambridge entwickelt wurde: „Der Zahlungsterminal stellt eine Verbindung zur Chipkarte her und spricht, wie alle Computer, in Nullen und Einsen. Und unser Datenabfanggerät sitzt da, ganz still und hört der elektronischen Unterhaltung zu. Es misst, nimmt auf, was passiert und macht die Unterhaltung sichtbar.“ Die wesentlich sichereren Kreditkarten mit Chips mit dem DDA-Verfahren, bei denen die PIN in verschlüsselter Form übertragen wird, kommen nur auf wenigen Kreditkarten zum Einsatz. Laut plusminus sind das vor allem die Volks- und Raiffeisenbanken und Sparkassen. Die HypoVereinsbank plane die Einführung. Der Zentrale Kreditausschuss empfiehlt für die GeldKarte den Einsatz der DDA-Karten, bei Kreditkarten gibt es jedoch keine Empfehlung. Dort obliegt es dem jeweiligen Institut, welche Karten es einsetzt. Mit zunehmender Umrüstung auf Kreditkarten mit Chip wird nicht mehr die Unterschrift des Karteninhabers, sondern dessen PIN abgefragt. Hier könnte es im Missbrauchsfall zukünftig schwerer werden, ihre Unschuld nachzuweisen. Beim alten System hatte dazu oftmals ein Unterschriftenvergleich genügt. Bei missbräuchlicher PIN-Eingabe aber muss der Kunde nachweisen, dass er mit seinen Daten sorgsam umgegangen ist. www.cl.cam.ac.uk/~mkb23/interceptor/