In der Schweizer Bankbranche herrscht Aufregung. Die per Post versendeten Briefe mit dem versiegelten PIN-Code sind weniger sicher als sie sein sollten. Fast jeder, der eine EC- oder Kreditkarte besitzt, hat schon mal einen solchen Brief in den Händen gehabt.
Das Problem: Mit wenigen Kniffen lässt sich der Code hinter dem Sicherheitsfenster lesen, ohne dieses zu beschädigen oder abzutrennen. Dritte können in den Besitz der PIN kommen, ohne dass der rechtmässige Empfänger Verdacht schöpft.
Hersteller wiegelt ab
Sowohl der Hersteller des Briefpapiers als auch die Banken und Kreditkarten-Firmen arbeiten unter Hochdruck daran, den Grund für die Sicherheitslücke zu finden. Gegen aussen spielen sie das Problem jedoch herunter. Der allgemeine Tenor: Der PIN alleine nütze niemandem etwas. Man brauche schliesslich auch die Karte, um Schaden anrichten zu können.
So auch die Firma Baumer in Frauenfeld, die in der Schweiz die Lizenz für die Herstellung des Spezialpapiers namens Hydalam besitzt. Alle hiesigen Banken, die Hydalam verwenden, verlassen sich auf das Dokument der Thurgauer. «Letztlich sind beim Versand eines PIN-Codes viele verschiedene Sicherheitselemente in ihrer Gesamtheit entscheidend», sagt Firmen-Chef Daniel Jud. Das Dokument sei nur ein Bestandteil des Sicherheitskonzeptes.
Seit 15 Jahren auf dem Markt
Von der Sicherheitslücke erfahren hat Jud aus der Presse und einzelnen Kunden. Derzeit führe man Tests durch, um die Ursache des Problems zu eruieren. Man sei auch mit dem Lizenzgeber, der US-Firma Documotion Research, in Kontakt. Jud betont: «Das Hydalam-Papier ist seit 15 Jahren auf dem Markt und hat sich in dieser Zeit bei den Kunden gut bewährt.»
Laut Jud könne das Problem auch ausserhalb der Firma liegen. Baumer produziert lediglich das Papier. Anschliessend wird das Dokument an Dritte weitergegeben, die es im Auftrag der Banken bedrucken und codieren. So könnten bei diesen Schritten Fehler entstanden sein.
Betonte Gelassenheit bei Swisscard und Postfinance
Auch die in Horgen ansässige Swisscard, welche die Kreditkarten der Credit Suisse herausgibt, wiegelt ab. Die PIN alleine nütze einer Drittperson nichts. Das Problem sei bei Swisscard momentan kein Thema, es gebe keine Vorfälle bei Kunden. Letztlich sei es ein Branchenthema. Dennoch treffe Swisscard die nötigen Abklärungen.
Zuvor hatten bereits die Postfinance und die Zürcher Kantonalbank gegenüber handelszeitung.ch die Sicherheitslücke relativiert. «Nur mit der PIN kann ein Täter noch nichts anfangen – dazu wäre der Diebstahl der dazugehörenden Karte ebenfalls notwendig.» Der Versand der Geheimzahlen und der Karte fände deshalb zeitlich unabhängig statt.
«PIN muss sicher ankommen»
Anderer Meinung ist Marc Parmentier, Bankenexperte beim Internet-Vergleichsdienst Comparis. «Es ist sehr wichtig, dass der PIN-Code sicher beim Empfänger ankommt.» Es sei möglich, dass ein Betrüger sowohl den Brief mit der Karte als auch mit dem PIN-Code stehle – selbst wenn beide Elemente ein paar Tage hintereinander zugeschickt würden.
«Es ist denkbar, dass der Betrüger die Kreditkarte aus dem Briefkasten fischt», so Parmentier. Allerdings sei dieses Risiko eher gering, wenn der Kunde die neu bestellte Karte erwarte. Zudem müssten die Briefe mit PIN und Karte wieder so dem Empfänger zugestellt werden, dass dieser nichts merke.
Welchen Nutzen hat das Papier?
Ein solcher Aufwand wäre aber gar nicht nötig. Denn hat eine Drittperson erst einmal Karte und PIN, ist der Weg ohnehin frei für jeglichen Missbrauch. Somit drängt sich die Frage auf, welchen Nutzen das Sicherheitspapier überhaupt hat.
Immerhin bewirbt Hersteller Baumer das Spezialpapier auf der Firmen-Webseite mit den Worten: «Hydalam, das wegweisende Sicherheitsprodukt aus unserem Haus, macht es erstmals möglich, vertrauliche Informationen mit konventionellen Laserdruckern auf Papier zu bringen und damit sicher per Post zu befördern.»