Postcard-Sicherheit: Postfinance wehrt sich

Dass Postfinance am Vortrag über die Sicherheitsprobleme ihrer Postcard am 23rd Chaos Communication Congress keine Freude hatte, hatte ich bereits hier erwähnt. Grund genug, auch den Leiter des Mediendienstes der Schweizerischen Post, Alex Josty, zu Wort kommen zu lassen:

Bernd Fix vom Computer Chaos Club hat am Chaos Communication Congress Ende Dezember 2006 in Berlin einen Vortrag über die Sicherheit der Postcard gehalten. Aus Sicht von PostFinance sind in dem über Internet zugänglichen Vortrag enthaltene Aussagen falsch und / oder in der vereinfachten Form irreführend. Die Kernaussage des Vortrages ist, dass die Postcard wesentliche Sicherheitslücken enthält und PostFinance trotz Hinweisen des CCC im Jahre 2002 nichts zu deren Behebung unternommen habe.

Folgende Fakten gilt es bei der Diskussion von Sicherheit von Zahlkarten zu berücksichtigen:

  • PostFinance misst der Sicherheit im Zahlungsverkehr einen grossen Stellenwert bei. Dies gilt insbesondere auch für Zahlungen und Bezüge mit der Postcard.
  • PostFinance hat in den letzten Jahren aufwändige und kostenintensive Massnahmen zur Erhöhung der Kartensicherheit ergriffen.
  • Die Sicherheit der Postcard hängt nicht nur von einem, sondern von einer Kombination von mehreren Sicherheitselementen ab. Bei der Frage, ob die Postcard sicher ist, sind daher sämtliche Elemente zu berücksichtigen. Das Postcard System entspricht nicht demjenigen der französischen Bankkarten, weshalb die im Vortrag erwähnten „Sicherheitsprobleme“ für die Postcard nicht relevant sind.
  • Seit dem Sommer 2006 gibt PostFinance die Postcard mit der neuen, dem letzten Stand der Sicherheitstechnik entsprechenden EMV-Chipapplikation heraus. Schon heute erfolgt ein grosser Teil der Transaktionen über diese neue Verarbeitungsart.
  • Das Fälschen von Karten erfolgt heutzutage durch Kopieren des Magnetstreifens (sog. Skimming) und Ausspähen der dazugehörigen PIN. Ohne PIN, welche immer nur dem Karteninhaber bekannt ist, kann keine Transaktion mit der Postcard durchgeführt werden.

Ich bin kein Experte der Materie, doch es gibt nach wie vor Punkte, die mir nicht ganz geklärt scheinen. Nur schon die Tatsache, dass die Postcards erst seit Sommer 2006 mit EMV bestückt werden, bedeutet ja wohl, dass bei der normalen Gültigkeitsdauer von 4 Jahren noch bis ins Jahr 2010 „missbrauchsgefährdete“ Karten im Umlauf sein werden.

Infwiefern die Postcards aber nun im „real life“ tatsächlich gefährdet sind, darüber scheiden sich offenbar die Geister, wie auch in der Diskussion auf symlink.ch nachgelesen werden kann. Vielleicht kann das heutige Treffen des Chaostreff Zürich, wo das Thema nochmals aufgegriffen werden soll, etwas mehr Licht in die Sache bringen.

2 Comments

  1. Anne 8.01.2007
  2. BloggingTom 8.01.2007