6 januari 2010

Tien jaar na dato slaat de millennium-bug (in iets andere vorm) toch nog toe. Dertig miljoen Duitse bankkaarten zijn niet meer te gebruiken. Het probleem zorgt er voor dat de kaarthouders niet meer in staat zijn te pinnen (zowel voor het halen van geld als het betalen in winkels en horeca-gelegenheden). De chips in de kaarten zijn niet in staat het jaar 2010 te herkennen. Het jaar 2000 werd gekenmerkt door een soortgelijk probleem, dat toen Y2K genoemd werd en dat, dankzij enorme investeringen en jarenlange werkzaamheden, uiteindelijks nauwelijks effect had. 'Die Karten sind schon länger im Einsatz, Probleme gab es erst zum Jahreswechsel – offenbar kommt die Software nicht mit der Jahreszahl 2010 zurecht. Deshalb gehen wir derzeit von einem Programmierfehler auf dem Sicherheits-Chip aus', stelde een woordvoerder van de Duitse Commerzbank. Dat lijkt correct, aangezien het enkel recente kaarten betreft met een chip, gericht op een grotere veiligheid, terwijl oudere kaarten met een magneetstrip aan de achterzijde geen last geven. Het blijkt vooral gericht op de Postbank (de grootste bank van Duitsland) en de Commerzbank; de Deutsche Bank blijkt geen problemen te hebben. Heise Online beschrijft het probleem als volgt: 'Das EMV-Verfahren bedient sich kryptografischer Methoden, mit der ein Kartenterminal die Echtheit einer Karte verifizieren und mit ihr kommunizieren kann. Derzeit gibt es drei unterschiedliche Sicherheitsverfahren zur Echtheitsprüfung einer Karte: Static Data Authentication (SDA), Dynamic Data Authentication (DDA) und Combined Dynamic Data Authentication (CDA). Die Bank- und Kreditwirtschaft setzt auf ihren Karten hauptsächlich SDA und DDA ein'.

En verder: 'Bei SDA wird eine Kombination aus festen Kartendaten mit einem RSA-Schlüssel des Herausgebers signiert. Da diese Signatur statisch ist, kann sie bereits bei der Herstellung in den Chip eingebracht werden, was Kosten spart. Allerdings ist der SDA-Chip nicht in der Lage, eigene kryptografische Operationen durchzuführen. Deshalb wird bei der PIN-Prüfung im Offline-Verfahren, also wenn keine direkte Verbindung zum System des Kartenausstellers besteht, die auf dem Terminal eingegebene PIN im Klartext an die Karte zur Verifizierung geschickt'. Het misbruik komt onder andere voor, zo zegt Heise, 'weil Verkaufstellen (Point of Sales, POS) neben Chipkarten auch weiterhin Karten mit Magnetstreifen unterstützen müssen. Daher bieten auch prinzipiell die in Deutschland eingesetzten sichereren Chips mit DDA-Verfahren keine hundertprozentige Sicherheit. Denn die Karten sind immer noch parallel mit einem kopierbaren Magnetstreifen ausgestattet, um damit auch im Ausland abheben und bezahlen zu können, wo der EMV-Standard bislang noch nicht unterstützt wird'. Het probleem is ook niet zo snel opgelost als men zou willen. Het Deutsche Sparkassen- und Giroverband (DSGV) beveelt in een persbericht aan om 'im üblichen Umfange Bargeld mitzuführen, um notfalls bar bezahlen zu können'. Het Verband laat weten dat het bijna de helft betreft van de 45 miljoen uitgegeven EC-kaarten en bijna 3,5 miljoen van de 8 miljoen uitgegeven credit cards. Daarnaast zijn 200.000 terminals met het probleem geconfronteerd. Het probleem daar treedt alleen op, zo laat de DSGV weten, 'wenn dort Software installiert ist, die den neuesten ZKA-Sicherheitsstandard 'electronic cash TA 7.0 Typ 3 und Typ 4' unterstützt. De vele vakantiegangers in dit jaargetijde in het buitenland wordt het volgende voorgehouden: 'Derzeit im Ausland befindlichen Urlaubern wird empfohlen, einen Einsatz der Karte zu versuchen, da über die Hälfte der Karten von den Fehlern nicht betroffen ist und selbst betroffene Karten an vielen Terminals uneingeschränkt funktionieren. Sollte dies nicht möglich sein, wird eine Bargeldversorgung am Schalter eines Kreditinstituts mittels einer Kreditkarte empfohlen'. En mislukt alles, dan is het mogelijk om reischecques te gebruiken. Tja. Volgens de Postbank is alles nu weer in orde.