Contact EMV

standardisierte Spezifikation für Zahlungskarten

Contact EMV (entstanden aus der Abkürzung EMV für Europay International, MasterCard und VISA) bezeichnet eine Spezifikation für Zahlungskarten, die mit einem Prozessorchip ausgestattet sind und für die Anwendung in zugehörigen Chipkartengeräten wie POS-Terminals, Geldautomaten und TAN-Generatoren vorgesehen sind. Die Buchstaben EMV stehen für die drei Gesellschaften, die den Standard entwickelten: Europay International, heute MasterCard Europe, Mastercard und VISA International Service Association. Bis 2019 wurde der Standard als EMV bezeichnet. Aus der Kooperation entstand die Standardorganisation EMVCo, die seitdem weitere Zahlungsverkehrsverfahren, wie z. B. 3-D Secure und Contactless EMV entwickelt und standardisiert hat.

Chip statt Magnetstreifen

Bearbeiten

In der zweiten Hälfte der 1990er Jahre wurden in mehreren Ländern Europas Debitkarten mit Mikrochip ausgestattet, um Kartentransaktionen nicht mehr über den technisch überholten Magnetstreifen abwickeln zu müssen. Diese Chips waren alle proprietär und auf die Bedürfnisse der jeweiligen Länder ausgerichtet. Der Mangel, nicht grenzüberschreitend eingesetzt werden zu können, wurde rasch erkannt und durch den EMV-Standard behoben.

Die wesentlichen Vorteile der Chiptechnik und damit auch Gründe für den Ersatz des Magnetstreifens durch den Chip sind:

  • Der Chip kann im Gegensatz zum Magnetstreifen mittels technischer Verfahren wirksam gegen eine Duplizierung oder Veränderung geschützt werden. Der Chip kann eine Verschlüsselung ausführen, ohne dass ein verwendeter geheimer Schlüsselwert ausgelesen werden könnte.
  • Beim Einsatz von Chipkarten kann die Erkennung der Kartenechtheit (Card Authentication) und die Prüfung der PIN (Cardholder Verification) stattfinden, auch ohne dass eine Online-Verbindung besteht.
  • Im Gegensatz zum Magnetstreifen, der als rein passiver Datenspeicher fungiert, ist ein Chip ein Miniaturcomputer mit einer Rechenleistung vergleichbar einem PC aus den 1980er Jahren, mit geschützten Datenbereichen und Anwendung kryptographischer Verfahren. Dadurch sind auch Zusatzfunktionen wie eine Elektronische Geldbörse und Stammkundenprogramme möglich. Die Spezifizierung dieser Zusatzanwendungen ist jedoch nicht Teil von EMV, da sich EMV auf Zahlungsapplikationen beschränkt.

Der EMV-Standard

Bearbeiten
 
Kontaktfeld auf der Vorderseite einer Kreditkarte nach dem EMV-Standard

Europay International, MasterCard und VISA als größte Zahlungskarten-Organisationen entwickelten gemeinsam den nach ihnen benannten EMV-Standard. Die erste stabile Ausgabe der EMV-Chipspezifikationen war die EMV’96 Integrated Circuit Card Specification, Version 3.1.1., die entgegen ihrem Namen erst 1998 veröffentlicht wurde. Die neu gegliederte, korrigierte und erweiterte EMV 2000 Integrated Circuit Card Specification, Version 4.0, wurde Ende 2000 veröffentlicht. Diese Spezifikation gilt für alle Zahlungskarten, d. h. sowohl für Debitkarten als auch für Kreditkarten. EMV 4.1 stellt nur eine Revision des Standards EMV 4.0 dar und wurde im Juni 2004 veröffentlicht.

Der EMV-Standard baut im Wesentlichen auf den Prinzipien der Interoperabilität und der Flexibilität auf. Interoperabilität bedeutet dabei, dass die gleiche system- und länderübergreifende Karten- und Terminalnutzung, die es bei der Magnetstreifentechnik gibt, auch bei der Chipkartentechnik vorhanden ist. Flexibilität bedeutet, dass jedes Zahlungsverkehrssystem die Möglichkeit haben muss, individuelle Bedürfnisse jenseits der Interoperabilität realisieren zu können. Der Standard EMV 4.1 teilt sich in vier sogenannte „Books“ (Bücher) auf. Book 1 definiert die Schnittstelle zwischen Karte und Terminal (mechanisches Verhalten, elektrisches Verhalten, Transportprotokoll) und die Application Selection (Anwendungsauswahl; gleich für alle Karten und alle Terminals); Book 2 behandelt „Security and Key Management“ (Sicherheit und Schlüssel-Handhabung), Book 3 die „Application Specification“ (Anwendungsspezifikation) und Book 4 die „Interface Requirements“ (Schnittstellen-Anforderungen). Aus der Toolbox des EMV-Standards können die Systembetreiber (Zahlungsverkehrssysteme) ihre Optionen wählen, wobei der Grundgedanke ist, dass das Terminal alle angeführten Optionen unterstützen muss und für die Karte nur einzelne Optionen herangezogen werden können.

Für die Entwicklung des gemeinsamen Standards und seine Weiterentwicklung wurde von den EMV-Namensgebern eine eigene Gesellschaft, EMVCo LLC, gegründet. Der EMV-Standard wurde von dieser Gesellschaft definiert und von ihr weiterentwickelt. EMVCo LLC prüft und zertifiziert darüber hinaus die Hersteller von EMV-fähigen Geräten wie z. B. Geldautomaten und POS-Terminals, die EMV-Technik verwenden. Für die Aufbringung der darüber hinausgehenden individuellen Bedürfnisse der Zahlungsverkehrssysteme sind diese selbst verantwortlich.

EMV-Zahlungen

Bearbeiten

Bei einer EMV-Zahlung wird auf dem EMV-Chip eine Anwendung ausgewählt. Diese hat eine Kennung, welche auf den Kundenbeleg gedruckt wird. Die Kennung wird application identifier (AID bzw. AppID) genannt und besteht aus einem 5 Byte großen registered application provider identifier (RID) und einer 2 bis 5 Byte großen proprietary application identifier extension (PIX). Die RID des Interessenverbandes Die Deutsche Kreditwirtschaft ist A000000359 und der PIX der girocard ist 1010028001. Deshalb steht auf fast jedem Beleg deutscher girocard-Zahlungen die AID A0000003591010028001.

Migration zu EMV

Bearbeiten

Zur Realisierung der Chiptechnik haben die Europay/MasterCard- und die VISA-Organisation einen Migrationsplan erstellt, wonach bis 2005 alle europäischen Zahlungskarten einen EMV-Chip haben und alle europäischen Terminals (bargeldlose Verkaufsstellen und Geldautomaten) EMV-chipfähig sein sollten. Finanzielle Anreize sollten dabei die Umstellung befördern. So wird bei Europay International/MasterCard International die Terminalmigration und bei VISA EU die Ausgabe von EMV-fähigen Karten belohnt. Am 1. Januar 2005 kam es darüber hinaus zur sogenannten Haftungsumkehr. Das heißt, wenn ein auf Kartenfälschung beruhender Schadensfall eintritt, liegt die Haftung seither beim „Acquirer“ (der vertragsunternehmensabrechnenden Bank), bzw. dem „Issuer“ (der kartenausgebenden Bank), sprich bei jener Partei, welche, terminalseitig bzw. kartenseitig, EMV nicht unterstützt.

Am 1. Juli 2002 brachte die DaimlerChrysler Bank als erste deutsche Bank eine (Visa-)Kreditkarte heraus, die auf der Vorderseite zusätzlich mit einem EMV-Chip ausgestattet war. Es wurde erwartet, dass sich die Chiptechnik mit all diesen Maßnahmen auf Karten und Terminals rasch (vorerst) parallel zur Magnetstreifentechnik ausbreitet und diese danach in einem gleitenden Übergang ersetzt. Tatsächlich wurden jedoch auch noch 2008 in Deutschland fast alle Kreditkarten ohne EMV-Chip ausgegeben, während die im Markt befindlichen Debitkarten (ec-Karten) zu ca. 70 % mit einem EMV-Chip ausgestattet waren. Geldautomaten waren Mitte 2009 sowohl in Deutschland als auch in Europa zu 92 % EMV-kompatibel.

Nachdem Visa,[1] MasterCard[2] und Discover[3] Anfang 2012 ihre Migrationspläne für die USA veröffentlicht haben, haben die Kreditkartenfirmen im letzten Quartal 2015 begonnen, die Kreditkarten mit Magnetstreifen gegen Kreditkarten mit EMV-Chip auszutauschen. Seit Januar 2016 haftet der „Acquirer“ (die vertragsunternehmensabrechnende Bank) bzw. der „Issuer“ (die kartenausgebende Bank) – also die Partei, die terminalseitig bzw. kartenseitig EMV nicht unterstützt. 10 Jahre nach der Einführung der EMV-Technik in Europa haben nun die Kreditkartenausgeber in den USA nachgezogen.

2010-Bug

Bearbeiten

Zum 1. Januar 2010 kam es in Deutschland bei rund 30 Millionen älteren EC- und Kreditkarten mit EMV-Chip zu Verarbeitungsschwierigkeiten, da die Mikrochips fehlerhaft programmiert worden waren. Betroffen waren nur die Karten, welche mit einem Chipmodul des Herstellers Gemalto[4] ausgerüstet waren. Dies führte dazu, dass die betroffenen Kunden weder an Geldautomaten Bargeld abheben noch an POS-Terminals bargeldlose Zahlungen (mittels EMV-Transaktion) leisten konnten.

Da dies zu erheblichen Problemen im Zahlungsverkehr führte, die betroffenen Banken aber aus Zeit- und Kostengründen keinen Umtausch der fehlerhaften Karten durchführen wollten, wurde als Konsequenz die Software der Geldautomaten und Zahlungsterminals zeitweise umkonfiguriert.[5] Bei Geldautomaten wurde kurzfristig der bereits in EMV für fehlerhafte Karten vorgesehene Fallback verwendet. Hierbei „fällt“ die Transaktion vom sicheren Chip auf den Magnetstreifen zurück. Da im deutschen Zahlungsverkehr das MM-Sicherheitsmerkmal auf dem Magnetstreifen der Zahlungskarten und für Geldautomaten vorgeschrieben ist, blieb die Sicherheit der Transaktion gewährleistet. An Electronic-Cash-Terminals wurde der Ablauf so konfiguriert, dass auf die in den betroffenen Chipkarten noch vorhandene alte nationale Electronic-Cash-Chipanwendung umgeschaltet und somit die fehlerhaft arbeitende EMV-Anwendung der Chipkarte nicht mehr benutzt wurde. Diese Sofortmaßnahmen waren innerhalb einer Woche abgeschlossen.

Danach wurde ein Update-System zur Anpassung der fehlerhaften Datenelemente in der Karte umgesetzt, welches die Umkonfigurierung der CDOL1 auf der Chipkarte vornahm. Dafür wurden die für die CDOL1 relevanten Daten in einer anderen Reihenfolge vorgeschrieben, bei welcher der 2010-Bug nicht mehr auftritt. Zur Einspielung des Updates musste eine Transaktion ohne Zahlung erfolgen. Die Kunden wurden auf die Umkonfigurierung der Karte am Terminal nach erfolgreichem Update hingewiesen.

Sicherheit

Bearbeiten

Am 11. Februar 2010 hat eine Gruppe von Informatikern der University of Cambridge einen effektiven Man-in-the-Middle-Angriff gegen ein POS-Terminal der hausinternen Cambridge Cafeteria veröffentlicht, welches nach britischem Standard Chip Authentication Program (CAP) zertifiziert war. Der Angriff erlaubt es, durch Eingabe einer beliebigen PIN die Transaktion zu bestätigen.[6] Bei diesem Angriff wird eine falsche Karte in das Terminal geschoben, die mit einer echten Karte verbunden ist. Die Nachricht des Terminals an die Chipkarte, die die zu prüfende PIN enthält, wird abgefangen und mit einer Nachricht „PIN OK“ beantwortet. Das Terminal glaubt also, dass die richtige PIN eingegeben wurde, während die Karte davon ausgeht, dass mit Unterschrift bezahlt wurde. Dieser Angriff funktioniert, weil die Antwortnachricht nicht kryptographisch abgesichert sein muss. In Deutschland kann der Angriff nur bei der Verwendung des veralteten deutschen Chip-Betriebssystems SECCOS v5 funktionieren, für welches mittlerweile die Übergangsfrist ausgelaufen ist. Laut der Deutschen Kreditwirtschaft (ehemals Zentraler Kreditausschuss, ZKA) ist Deutschland daher nicht von dem Problem betroffen.[7]

Die EMV-Spezifikation „Common Payment Application Specification“[8] von 2005 sieht in Kapitel „15.5.3.4 Terminal Erroneously Considers Offline PIN OK Check“ für den Fall der fälschlich vom Terminal angenommenen positiven PIN-Verifikation zwingend eine Prüfung vor. Dasselbe Kapitel findet sich auch als Kapitel „5.2.5.5.3 Terminal Erroneously Considers Offline PIN OK Check“ in der deutschen ZKA Spezifikation „Interface Specifications for the SECCOS ICC – EMV Commands“ von 2007.

Technisch gesehen wird nach dem Kommando VERIFY PIN beim 1st GENERATE APPLICATION CRYPTOGRAM in CDOL1 das Bit für „PIN verification performed by ICC“ über die Cardholder-Verification-Method Results (9F34) vom Terminal an die Karte mitübertragen. Die Karte muss dies prüfen und dann fordern, dass online gegangen oder die Transaktion abgebrochen wird. Spätestens hier hätte daher der Hack auch in Großbritannien versagen müssen.

Spezifikationen

Bearbeiten
  • 1996: EMV 3.0
  • 1999: EMV 3.1.1
  • 2000: EMV 4.0 (EMV 2000)
  • 2004: EMV 4.1
  • 2008: EMV 4.2
  • 2011: EMV 4.3[9]
  • 2019: Contact EMV 4.3f
Bearbeiten

Einzelnachweise

Bearbeiten
  1. Visa update for EMV Chip implementation in the U.S. (Memento vom 16. Juni 2012 im Internet Archive)
  2. MasterCard Aligns with Visa’s U.S. EMV Migration Plans by Publishing its Own EMV Implementation Roadmap (Memento vom 16. Juni 2012 im Internet Archive)
  3. Discover Implements EMV Mandate for U.S., Canada and Mexico (Memento vom 29. März 2014 im Internet Archive)
  4. Französische Firma schuld an 2010-Fehler Spiegel Online Wirtschaft
  5. Stellungnahme des ZKA: Lessons learned aus dem „2010-Problem“ – Business Continuity Management in Chipkartensystemen (Memento vom 11. September 2010 im Internet Archive) (PDF; 34 kB)
  6. Steven J. Murdoch, Saar Drimer, Ross Anderson, Mike Bond: Chip and PIN is Broken. In: IEEE Symposium on Security and Privacy. 2010 (cam.ac.uk [PDF]).
  7. Stellungnahme des ZKA (Memento vom 15. März 2014 im Internet Archive)
  8. Common Payment Application Specification (Memento vom 19. Oktober 2015 im Internet Archive)
  9. EMV 4.3 (Memento vom 21. Juni 2014 im Internet Archive)