Wer in der Schweiz Geld von seinem Konto abheben möchte, braucht seine Bankkarte – und den dazugehörenden PIN-Code. Diesen schicken die Geldhäuser ihren Kunden per Post. Im Brief ist dann die geheime Zahl zu finden, geschützt mit einem Sicherheitssiegel. Doch «geheim» ist in diesem Fall relativ. Denn die Methode weist eine massive Sicherheitslücke auf.
Dem findigen Hobbyfotografen Silvan Reiser ist es gelungen, mit einem Trick den PIN-Code zu lesen, ohne das Sicherheitssiegel zu beschädigen. Dazu benötigte er lediglich zwei Dinge: Eine Fotokamera und ein Bildbearbeitungs-Programm wie Photoshop.
Mit Fotoblitz durchleuchtet
Die Geheimzahl ist eigentlich mit einer speziellen Folie verdeckt. Entfernt man diese, lässt sich der Schritt nicht mehr rückgängig machen. Ein defektes oder abgelöstes Siegel deutet also darauf hin, dass ein Unbefugter den Code gelesen hat. Mit dem Trick des Hobbyfotografen lässt sich der Code jedoch lesen, ohne Verdacht zu wecken.
Auf seinem Blog «Konkludenz» beschreibt Reiser sein Vorgehen: Mit einem Fotoblitz durchleuchtet er das ungeöffnete Sicherheitsfeld. Erste Zahlen hätten sich schon erkennen lassen, schrieb er. Am Computer bearbeitete er dann das Bild mit Hilfe der Photoshop-Software. Ein paar kleine Einstellungen genügten – und siehe da: Der Code erschien gut lesbar, wie auf einem Video auf Youtube zu sehen ist (siehe unten).
Banken nehmens gelassen
Beim Papier handelt es sich um das Sicherheitsdokument Hydalam. Viele Schweizer Finanzhäuser brauchen das Papier als Standard für die Versendung von PIN-Codes. Die entdeckte Sicherheitslücke ist denn auch bei den Instituten ein grosses Thema. Eine Bank liess ausrichten, dass man mit dem Hersteller des Papiers in Kontakt sei.
Die Zürcher Kantonalbank (ZKB) nimmt das Problem dagegen gelassen. Pressesprecherin Evelyne Brönnimann sagt gegenüber handelszeitung.ch: «Nur mit der PIN kann ein Täter noch nichts anfangen – dazu wäre der Diebstahl der dazugehörenden Karte ebenfalls notwendig.»
Der Versand der Geheimzahlen und der Karte fände deshalb zeitlich unabhängig statt. Ein Diebstahl der richtigen Karte mit der dazugehörigen PIN irgendwo auf dem Postweg sei kaum möglich, so Brönnimann. «Die Kunden sind selbstverständlich vollständig geschützt, sofern sie ihre Sorgfaltspflichten einhalten. In diesem Sinne ist die Sicherheit des PIN-Versands gewährleistet.»
Das Hydalam-Papier verwendet auch die Postfinance beim Verschicken der PIN-Codes für Kredit- und Prepaidkarten. Auch sie bläst ins gleiche Horn wie die ZKB: Mit der Geheimzahl alleine lasse sich noch lange kein Konto plündern.