Sind Bank- oder Kre­dit­kar­ten sicher für die Zutrittslegitimation?

Neue ABGs der Swisscard AECS GmbH für Bank- und Kreditkarte

Immer wieder treffen wir Tresorfachanlagen bei Banken an, bei denen der Zutritt von Kunden mittels Bank- oder Kreditkarte erfolgt. Ende August 2023 wurden für Bank- und Kreditkarten von Visa, Mastercard und American Express via die Schweizer Kreditkartenunternehmung Swisscard AECS GmbH neue, angepassten allgemeine Geschäftsbedingungen für Firmenkunden per 1. September 2023 verschickt. Aus diesem Anlass untersuchen wir in diesem Blogbeitrag, ob Bank- oder Kreditkarte die nötige Sicherheit für die Zutrittslegitimation zu Bankschliessfächer in Tresoranlagen bieten.

Bildnummer: 56864664 Datum: 19.12.2011 Copyright: imago/Jochen Tack Hand h?lt einen F?cher von verschiedenen Kreditkarten, Bankkarten. Objekte Symbolfoto Studio Finanzen xdp x0x 2011 quer Studioaufnahme Studiofoto Studiobild wei?er Hintergrund Wei? Freisteller freigestellt Sachbild Sachaufnahme Sachfoto Gegenstand indoor Fotostudio Still Stilllife Still Life Stillleben Stil Leben Stills Symbol symbolisch Symbolbild Symbolfoto Symbolaufnahme Sinnbild sinnbildlich Symbolik Symbol Foto Symbol Aufnahme Symbol Bild Kreditkarte Kreditkarten Plastikgeld Girokarte Zahlungsmittel bargeldlos Kreditkartenfirma Bank Bankkarte Kreditkartenunternehmen bezahlen zahlen Spesen Reisekosten einkaufen Eink?ufe Rechnungen Zahlungsverkehr American Express EC-Karte Maestro Mastercard Visa Card Visa Karte Goldcard Gold Card goldene Karte Hand F?cher aufgef?chert pr?sentieren Auswahl viele Finger halten suchen herausnehmen Finanzen Konsum Guthaben Wert Einkommen Ausgaben Finanzmittel Haushaltsgeld Kosten Einnahmen 56864664 Date 19 12 2011 Copyright Imago Jochen Tack Hand holds a Subjects from different Credit cards Bank cards Objects Symbolic image Studio Finance XDP x0x 2011 horizontal Studio shooting Studio photo Studio photo White Background white cut out optional Sachbild Sachaufnahme Subject Indoor Photo Studio quiet still life quiet Life Still life Style Life Stills symbol symbolic Symbol image Symbolic image Icon Recording Emblem symbolically Symbolism symbol Photo symbol Recording symbol Picture Credit card Credit cards Plastic money Cash cashless Bank Bank card Credit card companies pay figures Expenses Travel costs Shopping Purchases Invoices Payments American Shipping EC Card Maestro MasterCard Visa Card Visa Card Gold Card Gold Card Golden Card Hand Subjects spread out present Selection many Fingers hold Search out Finance Consumption Credit Worth Income Expenditure Funding Budget money Costs Revenue

© Spiegel Online

Was steht in den AGB?

In den AGB für Firmenkarten der Swisscard AECS GmbH wird der Karteneinsatz (Zweck) definiert als "Bezahlen von Waren und Dienstleistungen" (Art. 4.1). Demzufolge sind Master-, Visa- und American Express Karten als Bezahlkarten definiert. Gemäss Art. 4.4 ist der Karteneinsatz für rechts- und vertragswidrige Zwecke verboten. Zusätzlich wird die Karte als "Legitimationsmittel" für den bestimmungsgemässen Gebrauch zusammen mit den von Swisscard zugelassenen Authentifizierungsdienste (z.B. 3-D Secure) definiert (Art. 5.1 ff). Es wird auch auf die Sorgfaltspflicht hingewiesen (Art. 10.1 Absatz b). Weder die Karte selbst, noch andere Legitimationsmittel dürfen versandt, weitergegeben oder auf andere Weise Dritten zugänglich gemacht werden. Als Absicherung ihrer Verantwortlichkeit lehnt Swisscard jede Verantwortung bei missbräuchlicher Verwendung der Karte ab (Art. 11.3).

Swisscard lehnt jegliche Haftung bei unzweckmässigem Kartengebrauch ab

Wird eine Bezahlkarte einer Bank als Zutrittskarte verwendet, so ist dies ein unzweckmässige Verwendung der Bezahlkarte. Wird die Karte durch das Zutrittssystem einer Tresorfachanlage ausgelesen und somit nicht durch einen von Swisscard zugelassenen Authentifizierungsdienst, kann dies als autorisierte Weitergabe der Karteninformationen taxiert werden. Zudem verletzt der Kunde mit der Karte seine "Sorgfaltspflicht", weil er die Karteninformationen an Drittsysteme wie dem Zutrittsterminal weitergibt. Dies ist entgegen dem bestimmungsmässigen Einsatz und der Dritte (das Zutrittssystem der Tresorfachanlage) ist von Swisscard nicht zugelassen.

Die Konsequenz ist, dass Swisscard im Falle eines Schadens bei der Benutzung der Karte jegliche Haftung ablehnen kann.  Wenn zum Beispiel ein Internet-Shop dem Kunden missbräuchlich falsche Beträge von der Karte abbucht, so haftet Swisscard dafür. Wird jedoch die Karte in einem Zutrittssystem verwendet, so kann Swisscard wegen Verletzung der Sorgfaltspflicht sowie unzweckmässigem Gebrauch der Karte jegliche Haftung ablehnen.

Technische Sicherheit von Bank- und Kreditkarten

Neben den rechtlichen Konsequenzen muss auch die Sicherheit der Karten im Kontext von Zutrittslösungen betrachtet werden. Zuerst: Die Bezahlkarten im Bezahlablauf sind technisch sicher! Bei  Online-Kartenzahlungen gibt es verschiedene Massnahmen, um sich zu schützen. Die Sicherheit von Bezahlkarten wurde sicher schon tausend Male verifiziert und wird laufend überwacht. Die Karten sind im durchgehenden Sicherheitssystem der Betreiber (z.B. Swisscard AECS GmbH) registriert und erfüllen die Vorgaben und Normen. Nun stellt sich die Frage:

Erfüllen Kredit- und Bankkarten die geforderte Sicherheit für Zutrittssysteme von Tresorfachanlagen?

Um diese Frage zu beantworten, erläutern wir zuerst den Sicherheitsmechanismus von Secure Cards:

Sicherheitslücken bei Magnetkarten

Karteninformationen von älteren Bezahlkarten mit Magnetstreifen sind einfach auszulesen. Findige Köpfe haben ebenfalls schnell entdeckt, dass auf die Magnetstreifen auch einfach zu schreiben ist und somit eine Bezahlkarte einfach zu kopieren ist. Dies führte zu einer Welle von Skimming-Angriffe auf Magnetkarten. Magnetkarten werden heute (2023) für sicherheitsrelevante Systeme nicht mehr verwendet.

Sicherheit bei Chipkarten

Bei den neuen Chipkarten sind die Daten in einem Mikrocontroller-Chip gespeichert, welcher über ein digitales Protokoll nach ISO 7814 und ISO 7816 gelesen wird. Bei Bankkarten wird dies im EMV-Standard definiert, der auch die Struktur des Karteninhalts festlegt. Aus Kompatibilitätsgründen sind gewisse Kartendaten aus dem bisherigen Magnetstreifen fast identisch öffentlich und für jeden lesbar im Chip gespeichert. Typischerweise ist dies die Kartennummer, das ausgebende Karteninstitut, optional auch Namen und Sprache des Karteninhabers sowie weitere Informationen. Weil dieser öffentliche Bereich von jedem lesbar ist und Chipkarten auch selber zu programmieren sind, kann der öffentliche Bereich mit etwas technischem Know-How nachgebaut und kopiert werden.

Der öffentliche Bereich von Chipkarten ist öffentlich lesbar und kann kopiert werden!

Geschützter Kartenbereich und gegenseitige Authentifikation

Dieses Problem des unautorisierten Zugriffs und die Gefahr des Kopierens bei einem Skimming-Angriff führt in der Norm ISO 7816-4 zur Erweiterung "Mutual Authentication". Dabei wird der Zugriff des Lesegerätes auf einen geschützten Bereich der Karte abgesichert. In diesem sicheren Bereich sind alle für die Onlinezahlung relevanten Daten abgelegt.

Beim Bezahlen mit der Chipkarte autorisieren sich das Kartenlesegerät und die Chipkarte gegenseitig (Mutual Authentication). Erst dann kann das Kartenlesegerät auf den geschützten Bereich der Karte zugreifen. Dazu wird vom Kartenbetreiber ein digitaler kryptografischer Schlüssel (Zertifikat) im Kartenlesegerät abgelegt. Mit Hilfe dieses Schlüssels autorisiert sich das Kartenlesegerät an der Chipkarte und es wird eine verschlüsselte Kommunikation aufgebaut.

Dieses sogenannte Challenge-Response Verfahren ist genormt und gilt als sicher, weil jeweils nur der Kartenleser und die Karte den geheimen digitalen Schlüsseln kennen. Nur Kartenleser, die diesen geheimen Schlüssel besitzen, können den geschützten Bereich der Karte lesen. Somit ist auch sichergestellt, dass niemand, der diesen Schlüssel nicht kennt, die Karte kopieren kann. Skimming-Angriffe werden so ausgeschlossen und die Karte gilt als nicht kopierbar.

Chipkarte als Sicherheitsfaktor

Bei Zutrittssystemen von Tresorfachanlagen wird eine Secure Chipcard benötigt (z.B. die goNet SafeCard von Janusys) die die Funktion eines physikalischen Schlüssels hat. Wie ein normaler Haustürschlüssel soll die Karte nicht einfach kopierbar sein, wenn jemand die Karte kurz unbeaufsichtigt in die Hände bekommt. Deshalb garantiert der geschützte Bereich der Karte, dass die Karte nicht kopiert werden kann, einmalig ist und dass der Besitz der Karte ein sicheres Merkmal für die Identifikation und den Zutritt ist.

Wo liegt nun das Problem? Herausgeber von Zahlkarten wie Swisscard geben den geheimen Schlüssel für die gegenseitige Authentifikation von Chipkartenleser und Chipkarte nur an akkreditierte Zahlungspartner frei. Weil eine Zutrittslösung eine nicht bestimmungsmässige Verwendung der Karte darstellt (siehe Kapitel "Was steht in den ABG?" ), geben die Herausgeber der Zahlkarten diesen Schlüssel nie an ein Zutrittssystem frei.

Schlussfolgerung

Die Verwendung von Bank- oder Kreditkarten als Zutrittskarten für Zutrittssysteme von Tresorfachanalgen ist auf den ersten Blick zwar einleuchtend, aber bei näherer Betrachtung weder sicher noch juristisch erlaubt.

Bank- und Kreditkarten sind für Zutrittssysteme nicht sicher, weil der benötigte geheime Schlüssel vom Kartenherausgeber nicht freigegeben wird. Der öffentliche Bereich der Karte kann kopiert werden, womit Chipkarten für Zutrittssysteme genau gleich wie Magnetkarten kopierbar sind.

Zudem kann der Kreditkartenbetreiber jegliche Haftung auf Zahlungsvorgänge mit der Karte ablehnen, wenn diese zweckentfremdet auch für Zutrittsberechtigungen mit nicht autorisierten Kartenlesern verwendet wird.