In den ersten Januartagen dieses Jahres sind Handel, Kreditwirtschaft und Netzbetreiber im deutschen Markt mit viel Glück, technischem Sachverstand und beherztem Eingreifen an einem "Kartenzahlungs-Gau" vorbeigeschrammt.
Der Dank der Kartennutzer sollte allen Beteiligten, insbesondere aber auch den sehr kompetenten Technik-Experten in den einzelnen Häusern gelten. Bei der schnellen und kooperativen Abstimmung des Workarounds hat sich auch dem ZKA die Initiative und der Nutzen des Arbeitskreises der ec-Netzbetreiber gezeigt. Aufbauend auf dieser Erfahrung sollten auch zukünftig Probleme möglichst gemeinsam und im Einvernehmen gelöst werden. Gleichzeitig sollte der Fehler eine eindringliche Mahnung an alle Kartenzahlungssysteme sein, die Redundanzen bei der Chipkartenverarbeitung deutlich zu erhöhen.
Fehler im Chip und rascher Workaround bei ec-Karten
Was war passiert? Durch eine fehlerhafte Abfrage auf der Seccos-Chipanwendung "EMV 5" des Herstellers Gemalto waren ab dem 1. Januar 2010 um 0:00 Uhr etwa 25 Millionen ec-Karten (rund 35 Prozent aller deutschen ec-Karten) sowie etwa drei Millionen Kreditkarten von dem Chipfehler "Karte nicht lesbar" betroffen. Der Fehler trat an den meisten deutschen Geldautomaten und an denjenigen PoS-Terminals auf, die schon auf den neuen technischen Standard "electronic cash TA 7.0 Typ 3, 3 plus und 4" umgerüstet waren.
Das Problem wurde schon am Freitag, den 1. Januar als übergreifendes Symptom erkannt und am Wochenende des 2. und 3. Januar technisch lokalisiert. Durch die erhebliche technische Kompetenz der Kartenspezialisten beim ZKA, seiner Partner und Dienstleister sowie ein glückliches Detail in der TA 7.0-Spezifikation konnte schon an diesem Wochenende ein Workaround für electronic cash (ec-Karte mit PIN) konzipiert werden, mit dem die fehlerhafte EMV 5-Applikation an den betroffenen Terminals per "Terminal-Rekonfiguration" abgeschaltet wurde.
Die Umsetzung des Workarounds wurde in einer Telefonkonferenz zwischen ZKA und den ec-Netzbetreibern am Vormittag des 4. Januar einvernehmlich beschlossen und am Nachmittag des gleichen Tages durch den ZKA per elektronischem Rundschreiben bekanntgegeben. In den folgenden Tagen wurde durch die ec-Netzbetreiber im Eilverfahren die Konfiguration von etwa 200 000 betroffenen ec-Terminals geändert, sodass nach einer guten Woche im deutschen Markt keine Akzeptanzprobleme bei ec-Karten mehr auftraten.
Damit waren an den betroffenen electronic cash TA 7.0-Terminals etwa drei Viertel der Transaktionen (Terminals nach TA 7.0, Typ 3 plus oder 4) wieder auf die Magnetstreifenverarbeitung und etwa ein Viertel der Transaktionen (TA 7.0 Typ 3) auf die nationale Chipanwendung ecc-Chip gestellt.
Bei Kreditkarten war diese Änderung technisch nicht möglich, da es keine zweite Chipanwendung gab. Aus kommerziellen Gründen ("Liability-Shift") wurde ein Umschalten auf den Magnetstreifen verwor fen. Daher konnte für die betroffenen Kar ten kein Workaround gefunden werden, und die fehlerhaften Karten funktionieren bis heute nicht an den EMV-Terminals, sofern sie nicht repariert oder ausgetauscht wurden.
Zur "Reparatur" der Karten
Kurz nach der Entwicklung des Workarounds begann die technische Recher che, ob und wie die betroffenen Karten auch "repariert" werden könnten. Das Er gebnis war stark abhängig von der Infrastruktur des kartenausgebenden Instituts. Die Institute des DSGV, des BVR und die Postbank konnten durch eine Veränderung ihrer Geldautomaten den fehlerhaften Teil der Kartensoftware auf dem Kartenchip "ausschalten". Darüber hinaus konnten bei vielen Sparkassen die betroffenen Karten auch an Reparatur-PCs "repariert" werden. Die Geldautomaten-Reparatur startete Ende Januar, und Ende März waren die meisten aktiv genutzten Karten repariert.
Einige andere Banken, wie zum Beispiel mehrere Sparda-Banken oder die Commerzbank, entschieden sich für einen physischen Austausch oder die Ausstellung einer zusätzlichen kostenfreien Kreditkarte. Diese Austauschaktionen werden voraussichtlich noch bis zum Ende des zweiten Quartals dauern.
Zum Wiederanschalten des EMV-Chips
Eine Vielzahl der betroffenen, noch nicht reparierten Karten sind sogenannte "Schläfer", das heißt, sie liegen permanent im Schreibtisch und werden kaum genutzt. Dort wird es wirtschaftlich häufig keinen Sinn ergeben, diese Karten zwangsweise auszutauschen.
Es wird also eine wirtschaftliche Entscheidung innerhalb des ZKA geben müssen, ab welchem Umstellungsgrad die Netzbetreiber den Workaround wieder ausschalten, das heißt die EMV-5-Applikation wieder anschalten sollen. Vermutlich wird dies im zweiten Halbjahr 2010 er folgen.
Redundanz ist wichtig
"Irren ist menschlich" und "Software wird von Menschen gemacht": Die EMV-Software auf einer Karte, auf einem PoS-Terminal und in einem Geldautomaten ist hochkomplex, und es wird vermutlich auch zukünftig Programmierfehler geben.
In der Luftfahrt ist das Thema "Redundanz" schon lange ein "Priorität A"-Thema, und viele Instrumente in einem Flugzeug-Cockpit werden redundant programmiert. Das heißt, es gibt mindestens zwei von unterschiedlichen Teams programmierte Anwendungen für die gleiche Funktion.
Für alle sichtbar gibt es im Linienflugver kehr noch eine weitere Redundanz: den Co-Piloten. Sowohl Pilot als auch Co-Pilot verfügen über einen voll ausgestatteten Arbeitsplatz im Cockpit, es kann kurzfristig einer vom anderen die Steuerung des Flugzeugs übernehmen, und beide Personen sind regelmäßig aktiv als Flugzeugführer tätig. In der Sprache der Redundanz heißt dies: Es findet kein "Cold-Standby" statt, sondern ein "Warm-Standby".
Magnetstreifenverarbeitung als "Warm-Standby" beibehalten
Für den Kartenzahlungsbereich kann das übertragen nur bedeuten: Kurzfristig darf die Magnetstreifenverarbeitung nicht abgeschaltet werden. Das heißt, auch wenn der European Payments Council ab dem 1. Januar 2011 eine Verarbeitung per EMV-Chip verlangt, sollte die Magnetstreifenverarbeitung als "Warm-Standby" weiterhin möglichst an allen Terminals mitlaufen. Mastercard hat mit seinem Rundschreiben vom 1. März schon reagiert und in Umsetzung des überarbeiteten Sepa Cards Framework (SCF) die verpflichtende Chipverarbeitung zum 1. Januar 2011 für Maestro wieder aufgehoben.
Mittel- und langfristig sollten auf dem Chip, in den Geldautomaten und in den PoS-Terminals je Zahlungssystem weitere Redundanzanwendungen hinterlegt werden, die von getrennten Teams programmiert und mit getrennten Schlüsseln sowie unterschiedlichen Schlüssel-Laufzeiten ausgestattet werden, das heißt zum Beispiel eine Redundanz-Anwendung "electronic cash EMV 6 - secondary". Zwischen Primär- und Sekundäranwendung sollte dabei regelmäßig zur Sicherstellung einer festen Lastverteilung umgeschaltet werden.
Anfang des Jahres konnte ein "Gau" im deutschen Kartenmarkt durch Umschaltung auf den jeweiligen "Co-Piloten" Magnetstreifen und ecc-Chip national verhindert werden. Es erscheint unsinnig, wenn diese Co-Piloten zum Ende des Jahres ohne Not abgeschaltet würden. Langfristig sollte es je Zahlungsverfahren einen "EMV-Co-Piloten" auf dem Kartenchip geben.
