Thema: Sicherheitsrisiko Kreditkarte

[SiLæncer]

Der Diebstahl der Daten einer großen Zahl von Kreditkarten in der letzten Woche ruft sogleich Trittbrettfahrer auf den Plan. Die Firma Secure Computing warnt vor Phishing-Mails, in denen Kunden des Kreditkartenunternehmens Mastercard auf eine gefälschte Website gelockt werden sollen.

Beispiel:

"Dear User, During our regular update and verification of the accounts, we couldn't verify your current information. Either your information has changed or it is incomplete. If the account information is not updated to current information within 5 days then, your access will be restricted. Go to this link below or copy and paste it on your address tool bar. http://www.mastercard-new-register.com

Please Do Not Reply To This E-Mail As You Will Not Receive A Response

Thank you
Accounts Management"

Diese Mail kam bereits kurze Zeit nach Medienberichten über den Datendiebstahl in Umlauf. Die in diesem Beipiel genannte Website ist mittlerweile nicht mehr erreichbar. Stuart Rauch, Marketing-Direktor bei Secure Computing, geht davon aus, dass weitere Mails dieser Art auch im Inhalt noch stärker auf den Vorfall bei Card Systems Solutions Bezug nehmen werden. Deshalb sei es zurzeit noch wichtiger als sonst bei Mails aufmerksam zu sein, die unerwartet eintreffen und vorgeben von einer Bank oder einem Kreditkartenunternehmen zu stammen.

Da bei Card Systems Solutions auch Daten anderer Kreditkartenunternehmen verarbeitet werden, sind zum Beispiel auch Kunden mit einer Visa-Karte mögliche Ziele von weiteren Phishing-Angriffen.

Quelle : www.pcwelt.de

[SiLæncer]

Die Postbank reagiert auf den vor wenigen Tagen bekannt gewordenen großen Kreditkarten-Datenklau in den USA und bietet eigenen Angaben zufolge rund 2500 besonders gefährdeten Postbank-Kunden einen Austausch ihrer VISA- oder MasterCard-Kreditkarten an. Die betroffenen Kunden hatten zwischen August 2004 und Mai 2005 ihre Kreditkarte in den Vereinigten Staaten benutzt oder über das Internet bei einem US-Unternehmen eingekauft. Postbank-Sprecherin Iris Laduch räumte gegenüber heise online ein, dass erste Schadensfälle bekannt sind, diese seien aber als "minimal" einzustufen.

Seit dem heutigen Donnerstag würden die auf Basis von Informationen der Kreditkartengesellschaften identifizierten Kunden schriftlich über die Gefahrenlage informiert, parallel dazu sollen neue Karten verschickt werden. Über eine Sicherheitslücke beim US-amerikanischen Dienstleister CardSystems Solutions, der Transaktionen zwischen Händlern und Kreditkarten-Unternehmen durchführt, waren Betrüger in das Netzwerk des Unternehmens eingedrungen und hatten mindestens 200.000 vertrauliche Datensätze abgezogen.

CardSystems räumte später ein, dass eigenes Fehlverhalten den Diebstahl begünstigt hatte. Mitarbeiter von CardSystems hatten Transaktionsdaten von rund 40 Millionen Kreditkarten im eigenen Firmennetz abgespeichert, obwohl dies ausdrücklich verboten ist. Die unverschlüsselten Kreditkarten-Daten, die nicht nur Kreditkarten-Nummern und Namen der Karteninhaber, sondern auch Geheimzahlen beinhalteten, habe CardSystems für Nachforschungszwecke nutzen wollen, etwa um herauszufinden, warum bestimmte Transaktionen nicht abgewickelt wurden.

Quelle und Links : http://www.heise.de/newsticker/meldung/61288

[Jürgen]

Der Faktor Mensch wird immer wieder alle erdenklichen Sicherheitssysteme unterlaufen, das ist nicht neu. Tschernobyl lässt grüssen...
Warum sollten auch die Mitarbeiter solcher Dienste weniger bequem sein als deren Nutzer
Ich frage mich allerdings, welche anderen Kreditkarten-Anbieter noch betroffen sind, hier oder anderswo, und lieber nicht reagieren, um Unruhe zu vermeiden  

Ganz sicher werden sehr bald zudem die Phischer das Thema aufgreifen.

[SiLæncer]

Das ARD-Fernsehmagazin Plusminus berichtet über Schwachstellen von Kreditkarten, die mit der neuen Chip-Technologie ausgestattet sind. So haben Wissenschafter der Cambridge Universität unter Laborbedingungen demonstriert, wie sich die Kommunikation der Karte mit einem präparierten Chip-Karten-Terminal abhören lässt. Mit den so gewonnen Daten könnte ein Betrüger später eigene Kreditkarten herstellen und damit bezahlen.

Die neue Kartengeneration mit Chips soll den herkömmlichen Magnetstreifen ablösen und besser vor Missbrauch schützen. Derzeit gibt es drei unterschiedliche Sicherheitsverfahren zur Echtheitsprüfung einer Karte: Static Data Authentication (SDA), Dynamic Data Authentication (DDA) und Combined Dynamic Data Authentication (CDA). Die Kreditwirtschaft setzt auf ihren Karten hauptsächlich SDA und DDA ein. Bei SDA wird eine Kombination aus festen Kartendaten mit einem RSA-Schlüssel des Herausgebers signiert.

Da diese Signatur statisch ist, kann sie bereits bei der Herstellung in den Chip eingebracht werden, was Kosten spart. Zudem ist der SDA-Chip nicht in der Lage, eigene kryptografische Operationen durchzuführen. Deshalb wird bei der PIN-Prüfung im Offline-Verfahren, also wenn keine direkte Verbindung zum System des Kartenausstellers besteht, die auf dem Terminal eingegebene PIN im Klartext an die Karte zur Verifizierung geschickt.

Hier setzt der Angriff der britischen Wissenschaftler an: Um an die PIN und Kreditkartendaten zu gelangen, belauschen sie die Kommunikation zwischen Terminal und Karte. Dazu muss aber ein spezielles Gerät zwischen Karte und Terminal geschaltet werden. Die mitgeschnittenen Daten kann ein Betrüger auf den Magnetstreifen eigener Karten schreiben und damit einkaufen gehen – die PIN hat er ja ebenfalls. Der Missbrauch funktioniert unter anderem deshalb, weil so genannte Point of Sales (POS) neben Chipkarten auch weiterhin Karten mit Magnetstreifen unterstützen müssen.

Bei Karten, die keinen Chip haben, sind ähnliche Betrugsversuche ohnehin schon gang und gäbe. Ein unverdächtiges Gerät wird vor dem Schlitz des Automaten angebracht und liest den Magnetstreifen aus. Die PIN wird per Kamera oder eine spezieller Tastatur mitprotokolliert. So gesehen haben die Kartenherausgeber mit der neuen Technik nicht viel gewonnen. Allerdings wird es nun bei Karten mit PIN für den Kunden im Missbrauchsfall schwerer nachzuweisen, dass er mit seinen Daten sorgsam umgegangen ist. Beim bisherigen Verfahren reicht in der Regel ein Unterschriftenvergleich, um den Betrugsversuch aufzudecken.

Vor dem Missbrauch schützen die sichereren Karten mit dem DDA-Verfahren, die eine Kombination fester Karten- und dynamischer Terminaldaten mit einem eigenen, nicht auslesbaren RSA-Key zur Echtsprüfung signieren können. Die Daten lassen sich so nicht kopieren, und die PIN geht auch nur verschlüsselt über die Leitung. Der Zentrale Kreditausschuss empfiehlt für die Geldkarte deshalb auch nur den Einsatz der DDA-Karten, bei Kreditkarten gibt es jedoch keine Empfehlung. Dort obliegt es dem jeweiligen Institut, welche Karten es einsetzt.

So setzen derzeit nur die Volks- und Raiffeisenbanken und einige Sparkassen Kreditkarten mit DDA-Chip ein. Nach Angaben von Plusminus plant die HypoVereinsbank die Einführung. Karten mit SDA-Chip geben unter anderen die Deutsche Bank, DaimlerChrysler und Volkswagen heraus. Die BMW Bank und ING-DiBa wollen in ihren kommenden Karten ebenfalls nur SDA-Chip einsetzen. Die Citibank und Commerzbank setzen auch weiterhin nur auf Magnestreifen.

Siehe dazu auch:

    * Kreditkarten PIN & Chips, Beitrag von Plusminus
    * Chip and PIN (EMV) Point-of-Sale Terminal Interceptor, Beschreibung des Angriffs

Quelle und Links : http://www.heise.de/security/news/meldung/70536

[SiLæncer]

Das Antiviren-Unternehmen Kaspersky Labs berichtet in seinem Blog von dem Versuch, eine Webseite mit hunderten gestohlenen Kreditkartennummern an die Ermittlungsbehörden und Kreditkartenunternehmen zu melden. Ernüchterndes Ergebnis: Am Freitagnachmittag ist ihnen das nicht gelungen.

Die Virenforscher stießen vergangenen Freitag auf eine Forenseite auf einem russischen Server, die seit dem August 2005 Daten von mehr als 300 Kreditkarten auflistet. Alleine an dem Freitag wurden dort 60 neue Datensätze eingestellt. Da die Datensätze teilweise sehr ausführlich waren, konnten Kasperskys Mitarbeiter die Authentizität der Daten durch Anrufe bei den potenziellen Opfern bestätigen.

Der daraufhin gestartete Versuch, die Seite den Ermittlern des Bundeskriminalamts zu melden, scheiterte jedoch daran, dass die genannten Ansprechpartner entweder im Urlaub oder schon zu Hause waren. Selbiges Bild zeigte sich den Sicherheitspezialisten beim Kontaktversuch zu einem Landeskriminalamt. Bei den Kreditkartenunternehmen Visa und Mastercard war ebenfalls schon das Wochenende ausgebrochen. Der Support hinter der Notfallnummer für Kunden war ebenfalls überfordert und blieb beim Standardprozedere für verloren gegangene Kreditkarten.

Nach ihren erfolglosen Versuchen verständigten die deutschen Forscher ihre amerikanischen Kaspersky-Kollegen, die Kontakt zu den Kreditkartenunternehmen und dem FBI aufnehmen sollten. Das in Russland ansässige Team kümmerte sich um die Abschaltung der Webseite. Die dortigen Forscher verfügen offenbar über Kontakte, über die sie auch am Wochenende Ermittlungen anzustoßen vermögen.

Die deutschen Institutionen sollten sich in ihrem eigenen Interesse und auch in dem ihrer Kunden darum bemühen, ihre sicherlich vorhandenen Notfallkontakte bekannter zu machen. Damit ließe sich möglicher Schaden auch am Wochenende frühzeitig abwenden.

Siehe dazu auch:

    * Blog-Eintrag im Kaspersky-Blog


Quelle und Links : http://www.heise.de/newsticker/meldung/76488

[SiLæncer]

Die dreistelligen Prüfnummern (Credit Card Validation Number, CVN) von Kreditkarten bieten offenbar nicht ausreichend Schutz vor Missbrauch, wie das ZDF-Wirtschaftsmagazin WISO am gestrigen Montag berichtete. Die Prüfnummer soll sicherstellen, dass nur der Besitzer der Karte damit bezahlen kann. Laut Bericht genügt es Betrügern aber, im Besitz der Kreditkartennummer und des Ablaufdatums zu sein, um damit in Online-Shops einzukaufen. Der Sicherheitsdienstleister Syss hatte bei einem Test von Online-Shops bei 80 Prozent Probleme entdeckt. Demnach sei es möglich, einfach alle möglichen Prüfnummern online durchzuprobieren, etwa durch einen automatisierten Brute-Force-Angriff.

Weder der Shop noch die dahinterstehenden Kreditkarten-Akzeptanzstellen wie VISA oder Mastercard boten dem Einhalt, indem sie etwa nach einer bestimmten Zahl von Fehlversuchen weitere Versuche blockierten. Dies geschieht beispielsweise bei EC-Karten am Automaten. Gegenüber heise Security bestätigte Syss-Geschäftsführer Sebastian Schreiber das Problem: Seiner Meinung nach seien die Akzeptanzstellen in der Verantwortung, das Problem zu beheben. Nach einer gewissen Anzahl von Fehlerversuchen sollen weitere Zugriffe oder die Karte gesperrt werden. Zwar werbe die Kreditkartenbranche mit mehrstufigen Fraud-Prevention-Systemen, dabei handele es sich aber um Potemkinsche Dörfer: Weder habe man bei den Tests die Systeme bemerkt, noch hätten sie die Zugriffe blockiert.

Um das mutwillige Sperren von Karten durch böswillige Personen zu verhindern, müsse sowohl die Kreditkartennummer als auch das Ablaufdatum herangezogen werden. Nur wenn beide richtig seien, handele es sich wahrscheinlich um den Besitzer der Karte oder den Betrüger und nicht nur um einen Streich.

Quelle : www.heise.de

[SiLæncer]

Eine Spionagesoftware soll über mehrere Wochen hinweg Kreditkartendaten bei Heartland Payment Systems (HPY), einem der größten Kreditkarten-Transaktionsdienstleister der USA, ausgespäht haben. US-Medienberichten zufolge haben Unbekannte die bösartige Software in das System eingebracht. HPY wickelt Kartenzahlungen für insgesamt 250.000 Dienstleister ab, darunter Restaurants und Wiederverkäufer. Rund 100 Millionen Kreditkartenzahlungen soll HPY pro Monat abwickeln.

Offenbar ist Heartland der Einbruch respektive die Infektion aber selbst gar nicht aufgefallen. Erst nach Hinweisen von Visa und MasterCard, dass es verdächtige Transaktionen bei einigen Kreditkarten gäbe, die auf Probleme bei Heartland hinwiesen, habe man eine interne Untersuchung gestartet. Dabei habe man aber keine Hinweise auf Sicherheitsprobleme entdeckt. Erst als vergangene Woche ein Forensik-Experte die Systeme nochmals untersucht hätte, sei man auf die ausgefeilte Malware gestoßen, die bislang bekannter Schadsoftware um Lichtjahre voraus sei.

Informationen über den Umfang des Schadens und wie die Kriminellen in das System gelangt sind, gibt es aber bislang nicht. Es gibt aber Spekulationen, dass dies der bislang größte Schadensfall im Kreditkartenbereich sei.

Der Secret Service, der in den USA neben dem Schutz des Präsidenten auch für die Bekämpfung der Finanzkriminalität zuständig ist, hat die Ermittlungen bereits aufgenommen. HPY will betroffene Kunden warnen, damit diese die Umsätze auf ihren Kreditkarten in den nächsten Wochen genauer kontrollieren.

Nach dem Vorfall kann HPY wahrscheinlich mit einer Sammelklage um Schadensersatzansprüche rechnen. Auch der US-amerikanische Einzelhändler TJX Companies musste nach dem Diebstahl rund 46 Millionen Kredit- und Debitkarten eine Transaktionsüberwachung von 455.000 Kunden einrichten und allen betroffenen Kunden eine 30-Dollar-Gutschrift gewähren.

Quelle : http://www.heise.de/newsticker/Schnueffelsoftware-stiehlt-Kreditkartendaten-bei-Kreditkartendienstleister--/meldung/122074

[SiLæncer]

Im bislang größten Fall von Datendiebstahl in den USA ist Anklage gegen einen 28-jährigen Cracker aus Florida erhoben worden. Wie das US-Justizministerium mitteilte, muss sich der Mann aus Miami, der unter den Pseudonymen "segvec," "soupnazi" und "j4guar1" operiert haben soll, wegen des Diebstahls der Daten von mehr als 130 Millionen Kreditkarten verantworten. Zusammen mit zwei Komplizen habe er seit Oktober 2006 Kartennummern und Namen unter anderem in den Computersystemen einer Firma für Zahlungsabwicklungen in New Jersey, der 7-Eleven- Supermarktkette und weiteren landesweit und regional tätigen Einzelhändlern ausgespäht.

Bei ihren virtuellen Raubzügen hätten sich die Cracker SQL-Injection-Schwachstellen zunutze gemacht, um Spionagesoftware zu installieren, hieß es. Außerdem hätten sie ausgefeilte Techniken angewandt, um ihre Angriffe zu tarnen und ihre Aufdeckung durch Anti-Viren-Software zu verhindern. Die ausgespähten Daten seien dann an eigene Server in den US-Bundesstaaten Kalifornien und Illinois sowie an Server in Lettland, den Niederlanden und der Ukraine übermittelt worden.

Wie die New York Times berichtete, suchten sich die Cracker ihre Opfer anhand der Fortune-500-Liste, dem Verzeichnis der 500 umsatzstärksten US-Unternehmen, aus. Laut der Zeitung handelt es sich bei den namentlich nicht genannten Komplizen um zwei Russen. Der 28-jährige Angeklagte ist der Polizei bereits einschlägig bekannt. Im Mai vergangenen Jahres war er nach Angaben des Justizministeriums wegen Datendiebstahls bei einer Restaurant-Kette verhaftet worden, für den er sich voraussichtlich ab September vor einem New Yorker Gericht verantworten muss. Außerdem ist ein weiteres Verfahren gegen ihn in Massachusetts anhängig. Nach einer ersten Festnahme 2003 arbeitete er zwischenzeitlich auch als Informant für US- Bundesbehörden, unter anderem für den Secret Service.

Im Falle einer Verurteilung in dem neuen Verfahren drohen dem Beschuldigten laut Justizministerium wegen Verschwörung und Verschwörung zum Datenbetrug bis zu 25 Jahre Haft sowie Geldstrafen in Höhe von insgesamt bis zu 500.000 Dollar.

Quelle : www.heise.de

[SiLæncer]

Illegaler Kreditkartenhandel wird öffentlich. Sicherheitsexperten von G-Data entdecken in öffentlichen Foren nicht nur Kreditkartendaten, sondern auch gefälschte Kreditkarten und Skimming-Equipment für den Datenklau.

Gefälschte Kreditkarten und Skimming Devices werden nicht mehr ausschließlich in Untergrundforen angeboten. Sicherheitsexperten von G-Data untersuchten unter anderem Foren zu den Themen Automobile, Bodybuilding und Software. Dabei fanden sie Einträge, in denen gefälschte Kreditkarten, vollständige Kartendaten und Ausrüstungen zum Datenklau an Geldautomaten angeboten wurden.

"Es ist denkbar einfach, diese öffentlichen Foren mit illegalen Inhalten in Suchmaschinen zu finden", sagt Ralf Benzmüller, Leiter der G-Data-Security-Labs. "Wir gehen durch die Analyse von Art und Aufbau der Angebote davon aus, dass viele von ihnen mit Skripten automatisch in Foren gepostet werden, die sich nicht ausreichend schützen, zum Beispiel mit Captchas." Eigentlich sollten die Betreiber der Foren diese Einträge sofort löschen, einige seien jedoch schon mehrere Monate zugänglich.

Nach diesen Angaben finden sich auch bei YouTube Angebote und Anleitungen zum Kreditkartenbetrug. Bedenklich sei, dass immer wieder neue Videos hinzukommen. Viele ältere Videos hätten mehrere zehntausend oder gar hunderttausend Aufrufe und seien seit mehr als einem Jahr im Videoportal vorhanden, stellt G-Data fest.

Quelle : www.zdnet.de

[SiLæncer]

Zahlreiche Kunden der Postbank hatten am Wochenende Probleme beim Versuch, mit EMV-Chips ausgestattete EC- und Kreditkarten zum Geldabheben am Automaten zu benutzen. Ein Teil der Karten sei von den Automaten abgewiesen worden, sagte ein Sprecher der Postbank gegenüber dpa. Die Geldautomaten selbst hätten tadellos funktioniert. Experten würden derzeit nach der Ursache suchen, warum einige der Karten mit dem sogenannten EMV-Chip von den Automaten nicht angenommen würden.

Wie viele Kunden betroffen sind, konnte der Sprecher gestern nicht sagen. Nach Angaben von Hartmut Schlegel, Sprecher der Postbank handelt es sich aber nicht um ein alleiniges Problem der Postbank. Schlegel zufolge will der Zentrale Kreditausschuss (ZKA) zu diesem Thema heute Stellung nehmen

Die EMV-Technik soll die Karten vor dem illegalen Kopieren etwa miitels Skimming schützen und den bisher üblichen Magnetstreifen ersetzen. Das EMV-Verfahren bedient sich kryptografischer Methoden, mit der ein Kartenterminal die Echtheit einer Karte verifizieren und mit ihr kommunizieren kann. Derzeit gibt es drei unterschiedliche Sicherheitsverfahren zur Echtheitsprüfung einer Karte: Static Data Authentication (SDA), Dynamic Data Authentication (DDA) und Combined Dynamic Data Authentication (CDA). Die Bank- und Kreditwirtschaft setzt auf ihren Karten hauptsächlich SDA und DDA ein.

Bei SDA wird eine Kombination aus festen Kartendaten mit einem RSA-Schlüssel des Herausgebers signiert. Da diese Signatur statisch ist, kann sie bereits bei der Herstellung in den Chip eingebracht werden, was Kosten spart. Allerdings ist der SDA-Chip nicht in der Lage, eigene kryptografische Operationen durchzuführen. Deshalb wird bei der PIN-Prüfung im Offline-Verfahren, also wenn keine direkte Verbindung zum System des Kartenausstellers besteht, die auf dem Terminal eingegebene PIN im Klartext an die Karte zur Verifizierung geschickt.

SDA-Chips sind insbesondere in Großbritannien verbreitet, wo Skimmer diese Schwachstelle bereits ausnutzen: Um an die PIN und Kartendaten zu gelangen, belauschen sie die Kommunikation zwischen Terminal und Karte. Dazu müssen sie ein spezielles Gerät zwischen Karte und Terminal geschaltet werden – ein Aufsatz auf dem Einsteckschlitz. Die mitgeschnittenen Daten kann ein Betrüger auf den Magnetstreifen eigener Karten schreiben und damit einkaufen gehen – die PIN hat er ja ebenfalls.

Der Missbrauch funktioniert unter anderem deshalb, weil Verkaufstellen (Point of Sales, POS) neben Chipkarten auch weiterhin Karten mit Magnetstreifen unterstützen müssen. Daher bieten auch prinzipiell die in Deutschland eingesetzten sichereren Chips mit DDA-Verfahren keine hundertprozentige Sicherheit. Denn die Karten sind immer noch parallel mit einem kopierbaren Magnetstreifen ausgestattet, um damit auch im Ausland abheben und bezahlen zu können, wo der EMV-Standard bislang noch nicht unterstützt wird. Seit 2005 gilt jedoch die sogenannte Haftungsumkehr. Danach muss immer derjenige Partner für Betrugsfälle im Kartensektor haften, der nicht EMV-fähig ist – das kann die Bank oder das Geschäft sein.

Quelle : www.heise.de

[SiLæncer]

Nach Angaben des Zentralen Kreditausschusses (ZKA) sollen bis heute Abend alle girocard-Karten (ehemals EC-Karte) an allen deutschen Geldautomaten wieder funktionieren. In den ersten Tagen des Jahres 2010 ist es zu Problemen beim Einsatz von girocard- und Kreditkarten der deutschen Kreditwirtschaft im In- und Ausland an Geldautomaten und Händlerterminals (Point of Sale, POS) gekommen.

Ursache des Problems ist ein Chip eines bestimmten Produktionstyps, dessen Software Fehler bei der Verarbeitung der Jahreszahl 2010 aufweist und daher im Terminal seine Arbeit versagt. Die Mehrzahl der im Umlauf befindlichen Karten sollen von dem Akzeptanzproblem jedoch nicht betroffen sein. Unabhängigen Schätzungen zufolge waren – respektive sind – rund 25 Millionen Debitkarten beziehungsweise girocard-Karten und bis zu 5 Millionen Kreditkarten betroffen.

Ein großer Teil der Händler-Terminals (POS-Terminals) im Inland kann laut ZKA die betroffenen girocard-Karten bereits heute fehlerfrei verarbeiten. Man arbeite weiter mit Hochdruck an der Funktionstüchtigkeit aller Karten an allen POS-Terminals. Die vollständige Akzeptanz der fehlerhaften girocard-Karten an Bezahlterminals soll in den kommenden Tagen schrittweise durch eine neue Konfiguration der Terminals wiederhergestellt werden. Ob der Fehler auch im Ausland auftritt, hängt von den dort eingesetzten Produkten ab.

Die deutschen Banken und Sparkassen setzen laut ZKA derzeit alles daran, um die durch die fehlerhafte Chipsoftware verursachten Akzeptanzprobleme zu begrenzen und so schnell wie möglich wieder einen reibungslosen Betrieb der Kartenzahlungssysteme zu gewährleisten. Über möglicherweise notwendige weitere Schritte wollen die kartenausgebenden Institute die betroffenen Kunden zum "geeigneten Zeitpunkt" informieren.

Quelle : www.heise.de

[SiLæncer]

Das Jahr-2010-Problem bei EC- und Kreditkarten mit Chip ist wohl doch noch nicht so schnell ausgestanden, wie zunächst gehofft – zumindest wird es noch einige Tage dauern, bis die betroffenen Karten bei Händlern wieder in vollem Umfang funktionieren respektive akzeptiert werden. Der Deutsche Sparkassen- und Giroverband (DSGV) empfiehlt in einer Pressemitteilung mittlerweile sogar, "im üblichen Umfange Bargeld mitzuführen, um notfalls bar bezahlen zu können". Grundsätzlich sind aber auch Kunden anderer Institute betroffen, die der Empfehlung des DSGV folgen sollten. Abhebungen an Automaten sollen aber mittlerweile kein Problem mehr sein.

Betroffen sind bei Sparkassen und Landesbanken rund 20 Millionen der rund 45 Millionen ausgegebenen EC-Karten (girocard) und rund 3,5 Millionen der 8 Millionen ausgegebenen Kreditkarten. Insgesamt sollen 25 Millionen EC-Karten und 5 Millionen Kreditkarten sowie 200.000 Terminals in Geschäften das Problem aufweisen. Der Fehler bei den Terminals tritt offenbar nur dann auf, wenn dort Software installiert ist, die den neuesten ZKA-Sicherheitsstandard "electronic cash TA 7.0 Typ 3 und Typ 4" unterstützt.

Bei den Karten handelt es sich um solche, die einen Chip eines bestimmten Herstellers mit dem Kartenbetriebssystem SECCOS-5 tragen. Aufgrund eines Programmierfehlers bei der Verarbeitung des Datums lehnt die Karte bestimmte Befehle vom Terminal ab. So liefert ein Befehl zur Autorisierung von Transaktionen (Generate Application Crypto-Gram, Generate AC) offenbar einen Fehlercode zurück und die EMV-Transaktion wird abgebrochen.

Da sich der Fehler auf den Karten nicht so ohne weiteres korrigieren lässt, müssen nun alle "TA-7.0"-Terminals von den jeweiligen Netzbetreibern umkonfiguriert werden, damit diese die Karten nicht mehr per EMV-Anwendung ansprechen, sondern über die Anwendungen "electronic cash ecc" oder die magnetstreifenbasierten Anwendung "electronic cash Spur 2" authentisieren beziehungsweise richtige Daten auslesen können. Das ist allerdings nicht über Nacht erledigt – die Dienstleister planen mit bis zu zehn Tagen. Bis Donnerstag rechnet der DSGV aber immerhin damit, 85 Prozent der Händlerterminals umgestellt zu haben.

Bei Kreditkarten bleibt das Thema jedoch weiterhin brisant, da dies weitere Umstellungen erfordert. Der DSGV empfiehlt deshalb, den Einsatz der Kreditkarte zu versuchen und vorsichtshalber ab nächster Woche auch eine EC-Karte für Kartenzahlungen mitzuführen. Die Situation im Ausland lässt sich am besten mit "Trial and Error" beschreiben: "Derzeit im Ausland befindlichen Urlaubern wird empfohlen, einen Einsatz der Karte zu versuchen, da über die Hälfte der Karten von den Fehlern nicht betroffen ist und selbst betroffene Karten an vielen Terminals uneingeschränkt funktionieren. Sollte dies nicht möglich sein, wird eine Bargeldversorgung am Schalter eines Kreditinstituts mittels einer Kreditkarte empfohlen", rät der Deutsche Sparkassen- und Giroverband. Wenn alle Stricke reißen, sollen Kunden mit ihrer Sparkasse Kontakt aufnehmen. Wer seine Reise demnächst antritt, sollte zur Sicherheit Reisechecks mitnehmen.

Quelle : www.heise.de

[SiLæncer]

Deutschlands Banken kämpfen immer noch gegen den 2010-Fehler bei EC- und Kreditkarten. Einem Zeitungsbericht zufolge erwägt die Branche eine aufwendige Umtauschaktion, die sie Millionen kosten könnte - Verbrauchschutzministerin Aigner fordert, dass Kunden anfallende Gebühren erstattet bekommen.

Düsseldorf/Berlin - Auf die deutschen Finanzinstitute kommen wegen des Jahr-2010-Fehlers bei EC- und Kreditkarten möglicherweise Belastungen in Millionenhöhe zu. Wie das "Handelsblatt" berichtete, wird der Austausch der betroffenen Karten erwogen. Dies hätten Banken, Zahlungsverkehrsdienstleister und Branchenverbände bestätigt. "Es werden momentan die langfristigen Optionen geprüft", sagte eine Sprecherin des Zentralen Kreditausschusses. Eine Entscheidung sei noch nicht gefallen.

Der Austausch der insgesamt rund 30 Millionen Karten mit dem Chip-Fehler könnte einen dreistelligen Millionenbetrag, möglicherweise sogar mehr als eine Viertelmilliarde Euro kosten. Die Banken hoffen, dass eine alternative Lösung funktioniert - vielleicht ein erneutes Software-Update, vielleicht ein Auswechseln einiger Karten. Längerfristig betroffen seien - so zitiert das " Handelsblatt" Insider - vermutlich vor allem jene Kunden, die EC- oder Kreditkarten im Ausland einsetzten: "Hier haben wir ein Riesenthema", hieß es.

Wie der Deutsche Sparkassen- und Giroverband (DSGV) am Dienstag mitgeteilt hatte, sind allein bei Sparkassen und Landesbanken rund 20 Millionen der rund 45 Millionen ausgegebenen EC-Karten und rund 3,5 Millionen der acht Millionen Kreditkarten wegen des Fehlers nur eingeschränkt nutzbar. Bei den Volks- und Raiffeisenbanken waren nach Angaben einer Verbandssprecherin rund vier Millionen der etwa 27 Millionen EC-Karten betroffen. Dem Bundesverband deutscher Banken (BDB) zufolge sind bei den privaten Banken rund 2,5 Millionen EC- und Kreditkarten betroffen. Die Institute haben insgesamt knapp 22 Millionen solcher Karten ausgegeben.

Aigner fordert Kostenerstattung

Laut DSGV ist bei den betroffenen Karten eine durch Lieferanten programmierte Software fehlerhaft und dadurch nicht in der Lage, die neue Jahreszahl 2010 korrekt zu verarbeiten. Viele Bankkunden sind daher derzeit auf Bargeld vom Schalter angewiesen, am Automaten können sie kein Geld abheben. Im Inland sind die Probleme zwar durch Software-Updates bei den Bargeldspendern und Bezahlterminals teilweise gelöst, im Ausland gibt es aber weiterhin Schwierigkeiten. Die Banken raten Reisenden, zur Sicherheit Schecks mitzunehmen.

Dafür sollen die Kunden keine Gebühren zahlen, fordert jetzt Verbraucherschutzministerin Ilse Aigner (CSU). Sie wirft den Geldinstituten im " Tagesspiegel" mangelnde Sorgfalt vor und fordert die Banken auf, den Kunden entstandene Kosten zu erstatten. "Wenn Kunden jetzt gezwungen sind, am Bankschalter Bargeld zu holen, dürfen dafür keine Gebühren berechnet werden", sagte Aigner. Außerdem fordert die Ministerin, dass die Banken "unverzüglich dafür sorgen, dass Kredit- und Bankkarten wieder einwandfrei funktionieren oder ausgetauscht werden".

Quelle : www.spiegel.de

[SiLæncer]

Der französische Hersteller Gemalto hat die Verantwortung für den 2010-Bug bei rund 30 Millionen EC- und Kreditkarten übernommen. Dem Unternehmen drohen hohe Schadensersatzforderungen - jetzt sucht es dringend nach einer Software-Lösung, um eine teure Massen-Austauschaktion zu vermeiden.

Frankfurt am Main - 30 Millionen Karten funktionierten plötzlich nicht mehr - wegen eines falsch programmierten Chips: Der französische Plastikkartenhersteller Gemalto hat am Mittwoch die Verantwortung für die Probleme bei EC- und Kreditkarten in Deutschland übernommen. Man arbeite zusammen mit den deutschen Banken an einer Lösung, teilte das Unternehmen mit.

Gemalto will einen kostspieligen Austausch von bis zu 30 Millionen Karten abwenden. Sollte sich der Fehler allerdings nicht mit einem Software-Update beheben lassen, kommen hohe Forderungen auf die Franzosen zu: Ein Austausch könnte einen dreistelligen Millionenbetrag kosten. "Wir sind darauf bedacht, die Unannehmlichkeiten für die Kartenbesitzer möglichst klein zu halten", sagte Gemalto-Chef Olivier Piou. Karten von Gemalto in anderen Ländern seien nicht betroffen.

Wie der Deutsche Sparkassen- und Giroverband (DSGV) am Dienstag mitgeteilt hatte, sind allein bei Sparkassen und Landesbanken rund 20 Millionen der rund 45 Millionen ausgegebenen EC-Karten und rund 3,5 Millionen der acht Millionen Kreditkarten wegen des Fehlers nur eingeschränkt nutzbar. Bei den Volks- und Raiffeisenbanken waren nach Angaben einer Verbandssprecherin rund vier Millionen der etwa 27 Millionen EC-Karten betroffen. Dem Bundesverband deutscher Banken (BDB) zufolge sind bei den privaten Banken rund 2,5 Millionen EC- und Kreditkarten betroffen. Die Institute haben insgesamt knapp 22 Millionen solcher Karten ausgegeben.

Banken prüfen Regressforderungen

Der Rückruf und Austausch einer Karte kostet nach Aussagen von Branchenkennern bis zu zehn Euro pro Exemplar. Die Banken prüfen Regressforderungen gegen die Verantwortlichen. Piou erklärte: "Wir werden natürlich unseren vertraglichen Verpflichtungen nachkommen."

Auch die Politik hat sich inzwischen in das Kartenchaos eingemischt. Verbraucherschutzministerin Ilse Aigner (CSU) forderte die Geldinstitute auf, Kunden nicht mit zusätzlichen Gebühren zu belasten, wenn sie wegen der defekten Karten Geld am Schalter abheben müssten. Sie wirft den Geldinstituten im " Tagesspiegel" mangelnde Sorgfalt vor und forderte, dass die Banken "unverzüglich dafür sorgen, dass Kredit- und Bankkarten wieder einwandfrei funktionieren oder ausgetauscht werden".

Schuld an der Kartenpanne ist nach Angaben des Zentralen Kreditausschusses (ZKA) ein Software-Fehler, der sich zum Jahreswechsel 2010 gezeigt hat. Beim Geldabheben an Automaten, wo der Fehler zuerst aufgefallen war, gibt es nach Angaben der Banken seit Dienstag aber kaum noch Probleme. Die an der Euronext börsennotierte Gemalto hat mit 10.000 Beschäftigten im vorvergangenen Jahr 1,68 Milliarden Euro umgesetzt. Gemalto-Aktien gaben am Mittwoch bis zum Mittag um 2,6 Prozent auf 29,95 Euro nach.

Quelle : www.spiegel.de

[SiLæncer]

Die Sparkassen und Landesbanken wollen Inhabern fehlerhafter EC- und Kreditkarten Gebühren für alternative Zahlungsmittel und Bargeldbeschaffung  ersetzen. Das hat der Präsident des Deutschen Sparkassen- und Giroverbandes (DSGV), Heinrich Haasis, angekündigt. "Kunden von Sparkassen und Landesbanken haben wegen der fehlerhaften Programmierung der Chips auf einem Teil der EC- und Kreditkarten Unannehmlichkeiten erlitten. Dies tut uns leid, und wir entschuldigen uns dafür."

Die Kunden könnten von Sparkassen und Landesbanken fehlerfreie Leistungen erwarten, auch wenn ein externes Programmierhaus für den Fehler verantwortlich sei, teilt der Verband weiter mit. Die Kunden sollten sich wegen der Kostenerstattung an ihre Filialen wenden. Inzwischen sei das Abheben mit den betroffenen Karten an allen 25.700 Geldautomaten der Sparkassen-Finanzgruppe wieder uneingeschränkt möglich. Spätestens Anfang nächster Woche sollen alle Händlerterminals wieder voll funktionieren.

Zum Jahresanfang hatten zahlreiche Bank-Kunden Probleme beim Versuch, mit EMV-Chips ausgestattete EC- und Kreditkarten zum Geldabheben am Automaten zu benutzen. Ursache des Problems ist ein Chip eines bestimmten Produktionstyps, dessen Software Fehler bei der Verarbeitung der Jahreszahl 2010 aufweist und daher im Terminal seine Arbeit versagt. Insgesamt sind 30 Millionen Karten betroffen, bei den Sparkassen und Landesbanken allein 23,5 Millionen.

Quelle : www.heise.de