Kartenmanagement-Glossar

Personal Identification Number (PIN)

Karten werden heute weltweit genutzt und sind somit von hoher volkswirtschaftlicher Bedeutung. Demgemäß müssen Kartentransaktionen an einem PoS-Terminal und an einem ATM sicher sein. Um das zu gewährleisten, ist die Feststellung der Kartenechtheit (Card Authentication) und die Feststellung der Karteninhaber-Echtheit (Cardholder Verification) notwendig. Die Card Authentication ist heute durch die weitgehende Verwendung des EMV-Chips State of the art.

Mit den Geldautomaten eingeführt

Für die Cardholder Verification haben sich vor allem zwei Methoden, nämlich Unterschrift und PIN herauskristallisiert. So geht die Unterschrift im Kartengeschäft auf die fünfziger Jahre zurück, als die Diners Club-Karte eine Innovation war. Gegen Ende der siebziger, Anfang der achtziger Jahre wurde mit dem Aufkommen der ATMs die PIN eingeführt.

Die PIN ist meist eine mittels diverser Algorithmen aus verschiedenen Daten und einem komplexen Verschlüsselungsverfahren (meist der Triple-DES-Algorithmus) unter Einschluss von mehreren langen Zahlenschlüsseln ermittelte (meist) vierstellige Zahl. Mathematisch-kryptografische Analysen haben gezeigt, dass die so erstellte PIN durch Dritte nicht nachvollziehbar ist und somit nicht "geknackt" werden kann. Der Grund, warum meist vierstellige PINs genommen werden, hängt damit zusammen, dass sie leicht gemerkt werden können und dennoch ausreichend Schutz gegen das Ausprobieren bieten, da üblicherweise nur eine geringe Anzahl von Fehlversuchen zulässig ist. Hier ist es wichtig, dass die einzelnen PINs (von 0000 bis 9999) in etwa gleich verteilt sind. Bei einer Kartensperre zum Beispiel nach dreimaligem erfolglosem Probieren werden 3333 Karten benötigt, um sicher zu einem Erfolg zu kommen.

Die PIN-Sicherheit auf der Karte ist gegeben, da die PIN auf dem Magnetstreifen der Karte nicht gespeichert und auf dem Chip in einer mehrfach verschlüsselten Form enthalten ist, der eine Auslesung unmöglich macht. Im PoS-Terminal oder im ATM ist die PIN unverschlüsselt ausschließlich beim Drücken der jeweiligen Zahlen bei der Eingabetastatur; unmittelbar danach landet sie in einem Security Modul, welches mit der Tastatur verschweißt ist, und wird dort sofort verschlüsselt.

Die PIN-Errechnung erfolgt in einem Sicherheitsrechenzentrum. Noch dort wird sie ohne Zwischenspeicherung in das verschlossene PIN-Kuvert in einer Art und Weise eingedruckt, dass der Code nur auf dem Inlet sichtbar ist. Im Rahmen dieses Vorgangs ist die PIN für niemanden sichtbar, und sie wird in der Folge auch nir gends gespeichert. Danach erfolgt die PIN-Zustellung entweder direkt an den Kunden oder an die kontoführende Hausbank des Karteninhabers, die ihn dem Kunden ausgefolgt. Nach Öffnung des Kuverts ist die PIN nur dem Karteninhaber bekannt. Die Geheimhaltung liegt nunmehr im ureigensten Interesse des Karteninhabers.

Zur Sicherheit trägt auch bei, dass bei Kartentransaktionen mit einer PIN zusätzlich zum "Wissen" (der PIN) noch der "Besitz" (die Karte) erforderlich ist. Nur mit beiden gemeinsam ist eine erfolgreiche Zahlung oder ein Bargeldbezug möglich ("Zwei-Komponenten-Transaktion"). Um zu erreichen, dass die PIN und die Magnetstreifendaten nicht technisch ausgespäht werden und eine gefälschte Karte auf Magnetstreifenbasis an einem PoS-Terminal oder ATM außerhalb des EMV-Terrains nicht eingesetzt werden kann, gilt es für die Betreiber von PoS-Terminals und Geldautomaten, diese entsprechend abzusichern und für die Kartenemittenten ein effizientes Transaktionsmonitoring sicherzustellen.

In fünf Jahren auch bei Kreditkarten

Während an Geldautomaten die PIN sowohl bei Debit- als auch Kreditkartentransaktionen verwendet wird, erfolgt die Cardholder Verification an PoS-Terminals heute fast nur bei Debitkarten mit PIN, bei Kreditkarten in der Regel mit Unterschrift. Es kann heute - nicht zuletzt durch Bemühungen in Richtung von Sepa - davon ausgegangen werden, dass in längstens fünf Jahren die Karteninhaber-Echtheitserkennung bei Kreditkarten auch an PoS-Terminals mit PIN erfolgen wird, die unter Sicherheitsgesichtspunkten der Unterschrift bei weitem überlegen ist. Indizien für deren Wegfall sind, dass in den beiden klassischen europäischen Kreditkartenländern Frankreich und Großbritannien Mastercard- und Visa-Karten bereits jetzt die PIN als Priorität vor der Unterschrift haben.

Neben der PIN, die in einem komplexen Verschlüsselungsverfahren ermittelt wird, gibt es auch die Selbstwahl-PIN, die nach der Kartenausgabe vom Karteninhaber geändert werden kann. Sie hat den Vorteil, dass sie leichter gemerkt wird, aber qualitativ schlechter ist, da sie leichter erraten werden kann.

Dr. Ewald Judt ist Honorarprofessor der Wirtschaftsuniversität Wien und Geschäftsführer der PayLife Bank GmbH; ewald.judt[at]paylife[dot]at/www.paylife.at.

Dr. Ewald Judt , Honorarprofessor , Wirtschaftsuniversität Wien
Noch keine Bewertungen vorhanden


X