Nach EMV Shift sind Kreditkarten immer noch nicht so sicher wie möglich

Es ist mehr als sechs Monate her, seit sich die Regeln für Kreditkartenbetrug geändert haben, was zu einer Verschiebung von alten Kreditkarten mit Magnetstreifen zu Karten mit EMV-Chips geführt hat. Laut Mercator Advisory Group waren jedoch nur 20% der Kreditkartenterminals in den USA bis April 2016 für den Chip-Einsatz aktiviert. Und nur 60% aller Kreditkarten wurden mit Chips aktualisiert.

Trotzdem haben Sie möglicherweise den neuen Prozess durchlaufen, Ihre Chipkarte in ein Lesegerät zu stecken, auf die Bestätigung der Transaktion zu warten und von der Maschine einen Piepton zu bekommen, wenn Sie Ihre Karte zu lange lassen.

Der Prozess wurde stark gefördert, da er sich um Ihre Daten kümmert. Es ist jedoch wahrscheinlich nicht so sicher wie eine EMV-Transaktion. Und es gibt eine ziemlich niedrige Messlatte für die Sicherheit irgendein EMV-Transaktion kann sein. Ein Teil davon ist die Grenzen der Technologie und ein Teil ist die Realität des menschlichen Verhaltens.

Konsumverhalten als Knackpunkt

Einige Mängel im EMV-Übergang wurden weitgehend festgestellt. Zum einen können Transaktionen langsam sein. Zum anderen verifizieren Sie Ihre Identität immer noch auf altmodische Weise, indem Sie Ihren Namen unterschreiben - und für kleinere Transaktionen müssen Sie dies nicht einmal tun.

"Die Transaktionen werden an den Kassen der Geschäfte, in denen Chipkarten in ihre Chipkartenleser eingelegt werden müssen, erheblich länger dauern, zumindest für die kurze Zeit, da die Händler lernen, den Prozess zu beschleunigen", sagt Brian Krebs, Journalist und Sicherheitsdienstleister Experte bei Krebs on Security. "Außerdem werden wahrscheinlich viel mehr Menschen ihre Karten in den Automaten lassen und für die Banken die Verlust- und Diebstahlverluste erhöhen, zumindest in der nahen Zukunft, bis sich die Verbraucher an die Geräte gewöhnen."

In Europa verwenden Verbraucher bereits seit Jahren - in manchen Fällen Jahrzehnten - Chipkarten. Für zusätzliche Sicherheit müssen die Karteninhaber jedoch einen PIN-Code eingeben, um ihre Identität während einer Transaktion zu überprüfen. Warum haben die USA also kein Chip-and-PIN-System anstelle von Chip und Signatur verwendet? Ein wesentlicher Faktor war die Erkenntnis der Emittenten, wie schwer es ist, das Verhalten der Verbraucher zu ändern.

"UNS. Verbraucher sind es nicht gewohnt, bei Kreditkartentransaktionen eine PIN einzugeben “, sagt Julie Conroy, Research Director bei der Aite Group in Massachusetts. „Viele der Emittenten, mit denen ich gesprochen habe, haben Chip und Signatur gewählt, weil kein Emittent Karten ausgeben wollte, deren Benutzererfahrung einen Wettbewerbsnachteil darstellt. In den Worten eines Emittenten war es genug zu ändern, den Konsumenten beizubringen, statt zu streichen, einzutauchen. Sie wollten nicht riskieren, dass sie den Verbrauchern beibringen müssen, zwei Verhaltensweisen gleichzeitig zu ändern."

Ein Versuch, den Betrug zu stoppen

Warum die US-Konsumenten etwas verändern lassen? Der Hauptgrund war Betrug.

Laut The Nilson Report, der die Zahlungsverkehrsbranche abdeckt, gingen 2014 weltweit mehr als 16 Milliarden US-Dollar durch Kreditkartenbetrug verloren. Von den Verlusten sind 48% bei den traditionellen US-amerikanischen Magnetstreifenkarten leichter zu hacken, da die auf dem Streifen gespeicherten Informationen statisch oder unveränderlich sind. Kopieren Sie es einmal, und Sie können eine Duplikatkarte erstellen. EMV-Chips generieren jedoch für jede Transaktion einen eindeutigen Code, sodass Informationen, die von einer Transaktion kopiert wurden, nicht in einer anderen Transaktion verwendet werden können.

"UNS. Dank des US-amerikanischen Regulierungsumfelds und der Haftungsfreiheit, die die Zahlungsnetzwerke bieten, sind die Verbraucher weitgehend vor Betrug durch direkte Kreditkartenbetrug geschützt “, sagt Conroy. Bei der Umstellung auf EMV geht es also eigentlich mehr darum, Kreditkartenherausgeber vor Betrug zu schützen, als um Verbraucher zu schützen.

Im Oktober 2015 wurden neue Haftungsregeln für Kreditkartenbetrug eingeführt. Bei Betrug haftet derjenige, der die EMV-Technologie nicht verwendet hat, für die Verluste. Wurde die betreffende Karte nicht EMV-gechipt, liegt die Haftung beim Emittenten. Wenn der Händler keinen EMV-Chipleser hatte, trägt der Händler die Verantwortung. Die Haftung könnte auch geteilt werden.

PIN bietet nur eingeschränkten Schutz

Bei der Haftung wird nicht berücksichtigt, ob die Chipkarte zur Überprüfung auf eine PIN oder eine Signatur angewiesen ist. Und die Wahrheit ist, dass die meisten Kreditkartenbetrug nicht einmal mit Chip und PIN verhindert werden würde.

"Chip-and-PIN schützt vor verlorenem und gestohlenem Betrug - d. H., Wenn jemand Ihre Geldbörse stiehlt, kann er Ihre Karten nicht einfach mit auf einen Einkaufsbummel nehmen", sagt Conroy. Diese Art von Betrug sei im Vergleich zu allgemeinem Kreditkartenbetrug winzig, sagt Conroy.

Außerdem werden Diebe immer einen Ausweg aus der Sicherheit finden. "Wir haben am Beispiel anderer Länder gesehen, dass Kriminelle sich bei der Erfassung der PIN sehr gut auskennen, entweder durch Skimming-Angriffe, Schulter-Surfen oder Punktkameras", sagt Conroy. Da sich die PIN bei jedem Kauf nicht ändert, hat Conroy gesagt, dass es „seine Grenzen hat, um Betrug effektiv zu bekämpfen. Als das Vereinigte Königreich auf Chip-and-PIN ging, fiel der verlorene und gestohlene Betrug kurz ein, aber innerhalb weniger Jahre war er wieder auf dem Niveau der Pre-PINs. “

EMV-Chips spielen auch keine Rolle bei Online-Transaktionen. Daher sind Chipkarten dort genauso anfällig wie Magnetstreifenkarten.

Gibt es einen sichereren Weg?

Conroy sagt, dass Chip-and-PIN bestenfalls eine kurzfristige Lösung ist."Im Idealfall möchte ich die branchenweite PIN überspringen und auf andere Verifikationsformen wie Biometrie, mobile Verifizierung usw. umstellen", sagt sie. "Dabei sollten wir auch auf die Signatur verzichten - das ist teuer für die Händler und nutzlos, wie es derzeit als Kundenauthentifizierungsmethode verwendet wird."

Krebs schlägt vor, "Token" als Mittel zur Betrugsbekämpfung zu verwenden. Bei der Tokenisierung speichern Händlercomputer keine Kreditkartendaten. Stattdessen speichern sie eine Platzhalternummer oder ein Token, mit dem Daten vom Aussteller abgerufen werden können.

"Mithilfe von Tokenisierung können Händler vermeiden, Kartendaten für längere Zeit zu speichern. Dadurch wird die Wahrscheinlichkeit verringert, dass Cybercrooks sie auf Kartendaten abzielen", sagt er. Eine Tokenisierung würde die Bedrohung durch Datenverstöße verringern, wodurch die meisten Verbraucher Opfer von Kreditkartenbetrug werden.

Mobile Lösungen haben ihre eigenen Grenzen

Eine Alternative können mobile Zahlungen und digitale Geldbörsen wie Apple Pay sein. Aber Conroy sagt: "Während einige händlerspezifische Implementierungen für das mobile Bezahlen großen Erfolg verzeichnen - Starbucks, zum einen - die Annahme des offenen Zahlungsverkehrs - Apple Pay, Android Pay - bewegt sich viel langsamer."

Krebs sieht auch für das mobile Bezahlen ein Sicherheitsrisiko. „Apple Pay verwendet eine Form der Tokenisierung, aber die Probleme, die Apple Pay in der Vergangenheit hatte, waren auf laxe Registrierungsverfahren bei Banken sowie auf statische Datenelemente (wie Sozialversicherungsnummern oder Geburtsdaten) zur Authentifizierung zurückzuführen, wenn diese Datenelemente weit verbreitet sind für fast alle Amerikaner kompromittiert und zum Verkauf angeboten. “

Die einzige Sache, die mobil bleiben wird, ist wahrscheinlich die Karte in Ihrer Brieftasche. "Verbraucher sind sehr zufrieden mit Kartentransaktionen", sagt Conroy, "und es ist schwierig, das Verbraucherverhalten zu ändern. Karten werden also noch einige Zeit bei uns sein."

Ellen Cannon ist Mitarbeiterin bei Investmentmatome, einer persönlichen Finanzwebsite. E-Mail: [email protected]. Twitter: @ellencannon.