EC-Karte gestohlen, Konto geplündert... Tips, Rechtslage?

    Die PIN ist schon auf der Karte gespeichert durch einen 128bit Schlüssel allerdings gesichert. Das heißt, du müsstest in einer ca. 500kb großen txt datei die passenden 4 ziffern herausfinden, und es ist OFFIZIELL noch niemandem gelungen eine 128bit Verscjlüsselung zu knacken !

    Zitat

    Original geschrieben von Mc-MoE
    Die PIN ist schon auf der Karte gespeichert durch einen 128bit Schlüssel allerdings gesichert. Das heißt, du müsstest in einer ca. 500kb großen txt datei die passenden 4 ziffern herausfinden, und es ist OFFIZIELL noch niemandem gelungen eine 128bit Verscjlüsselung zu knacken !


    Sollten also sämtliche Banken weltweit und die Kartenhersteller unrecht haben und Du hast den Skandal aufgedeckt, dass die PIN doch auf der Karte gespeichert ist :eek:


    Spannend, spannend... :rolleyes:



    Stefan

    Fakten, Fakten, Fakten


    Zitat

    Original geschrieben von Mc-MoE
    Die PIN ist schon auf der Karte gespeichert durch einen 128bit Schlüssel allerdings gesichert. Das heißt, du müsstest in einer ca. 500kb großen txt datei die passenden 4 ziffern herausfinden, und es ist OFFIZIELL noch niemandem gelungen eine 128bit Verscjlüsselung zu knacken !


    Bist Du Dir da sicher?
    Zur Berechnung der Geheimzahl (PIN) verwendet die ausgebende Bank einen geheimen, nur ihr bekannten Code, den Institutsschlüssel.

    Zitat

    Der aus der vierten bis achten Stelle der Bankleitzahl, der Kontonummer des Kunden (10 Ziffern) und einer einstelligen Kartenfolgenummer gebildete 64-Bit-Wert wird nach dem US-Verschlüsselungsstandard DES im "electronic code book"-Modus mit dem Institutsschlüssel verschlüsselt. Diese Operation ergibt einen 64-Bit-Wert, der ohne Kenntnis des Schlüssels wie eine zufällige Bitfolge wirkt

    Quelle:Schneier



    ----------------------------------------------------------------------



    Zitat

    "Die Eurocheque-Karte ist in Verbindung mit dem
    MM-Sicherungsverfahren in Deutschland und der PIN-Nummer
    zweifelsohne eines der sichersten Zahlungssysteme."


    Quelle: Werner Paul, Leiter des Sachgebiets Computerkriminalität im Bayerischen Landeskriminalamt.




    Zitat

    "Durch den Sachverständigen wurde dargelegt, daß es durchaus
    möglich ist, auch ohne Kenntnis der persönlichen Geheimzahl diese
    zu ermitteln. Dafür ist ein Kartenlesegerät sowie ein Laptop mit
    entsprechendem Programm ausreichend [...]. Dies ist innerhalb von
    Minuten durchaus durchführbar."


    Quelle:Amtsgericht Oschatz, Urteil vom 6.2.1996.


    Schon 1996! :eek:



    Das sagt doch so einiges aus.


    Siehe auch hier: http://www.informatik.uni-trie…y/ecCardsSecurityFAQ.html



    Grüße SpeedTriple

    Die PIN ist definitiv nicht im Klartext auf der Karte gespeichert, allerdings ein bisschen verschlüsselt. - Es gab auch mal (ob es die noch gibt entzieht sich meiner Kenntnis) sogenannte Offline-Geldautomaten, die nicht geprüft haben, ob noch genügend Guthaben vorhanden ist, sondern nur PIN geprüft haben und ausgezahlt haben. Der Schlüssel um die PIN zu vergleichen (sie wird meines Wissens nach nicht entschlüsselt, sondern die PIN die Du eingibst wird verschlüsselt und verglichen) ist in Tausenden von Geldautomaten und EC-Terminals weltweit und müsste damit einigen Leuten bekannt sein. Man kann zwar auf dem Geldautomaten nur 3mal PIN ausprobieren, aber wenn man sich mit dem entsprechenden Schlüssel auf dem Heimcomputer ein Programm basteln würde, könnte man dort halt 10000 mal ausprobieren (bei einer 4stelligen PIN 10000 Möglichkeiten), und hätte die PIN wahrscheinlich in weniger als einer Stunde.

    toyboy:


    Vermute ich auch. Das ganze hat sich abgespielt in einem kleinen Kaff im Elsaß, wo mein Vater sich irgendein seltsames Denkmal angucken wollte.
    Völlig verschlafener kleiner Ort, meine Eltern haben in einer Wohnstraße am Ortsausgang geparkt und sind dann dahingelaufen. Vorher (unklugerweise) noch debattiert, ob man "den Kram" denn für die 5 Minuten alles mitschleppen solle.
    Das hat wohl irgendwelche schlafenden Hunde geweckt.
    Überhaupt schien das Kaff ziemlich deutschfreindlich eingestellt zu sein. Obwohl im Elsaß doch eigentlich fast jeder etwas deutsch kann, haben sich alle stur gestellt, und meiner Mutter kein Stück weitergeholfen (nur mein Vater spricht französisch).
    Und das Verhalten der Polizei schlägt allem den Boden aus. Die 1000 Euro könnten noch da sein...


    Aber das bringt mich immer noch nicht weiter mit dem EC-Karten-Rätsel. Da steh ich echt wie Ochs vorm Berg.

    Anscheinsbeweis


    Anscheinend sehen inzwischen auch die Gerichte die PIN-Eingabe ohne Fehlversuch nicht mehr als Anscheinsbeweis an:


    "EC-Karte gestohlen - Abhebung mit Pin-Nummer: Anscheinsbeweis für fahrlässige Aufbewahrung?



    Landgericht Osnabrück


    Az.: 7 S 641/02


    Urteil vom 04.02.2003


    rechtskräftig!



    Leitsatz (vom Verfasser nicht amtlich!): Wurden nach einem behaupteten EC-Kartendiebstahl Abhebungen mit der richtigen PIN-Nummer getätigt, so ist noch kein Anscheinsbeweis für eine unsachgemäße Aufbewahrung der PIN-Nummer durch den Bankkunden gegeben. Die korrekte PIN-Nummer kann nämlich auch einfach „ ausgespäht“ worden sein.



    Sachverhalt: Der klagende Kunde hatte von seiner Bank eine Kreditkarte und eine EC-Karte zur Verfügung gestellt bekommen. Nach den Allgemeinen Geschäftsbedingungen der Bank beschränkt sich die Haftung des Kunden bei Diebstahl und/oder Missbrauch auf einen Höchstbetrag von 100 DM, es sei denn, dass er seine Pflichten grob fahrlässig verletzt (z.B. wenn er die PIN auf der Karte vermerkt oder die Nummer zusammen mit dieser verwahrt).


    Nach Angaben des Klägers, wurde ihm sein Portemonnaie mit der Kreditkarte an einer Tankstelle gestohlen, nachdem er an dieser getankt und mit seiner EC-Karte bezahlt hatte. Mit der gestohlenen Kreditkarte wurden später 4 Bargeldabhebungen von je 1.000 DM vorgenommen. Die beklagte Bank verweigerte den Ersatz des Schadens mit der Begründung, dass die PIN-Eingabe bei der Kreditkarte in allen Fällen ohne Fehler erfolgt sei. Daher spreche der Anschein dafür, dass der Kläger das Geld entweder selbst abgehoben oder die PIN unsachgemäß aufbewahrt hat.


    Entscheidungsgründe: Das Landgericht Osnabrück gab der Klage des Bankkunden statt. Denn unabhängig von elektronischen Möglichkeiten ist ein einfaches „Ausspähen“ der PIN durch Dritte möglich. Es gibt bei vielen Bankautomaten, Kassenautomaten etc. Einsichtmöglichkeiten um die PIN-Nummer auszuspähen. So kommen in Geschäften lediglich handgroße Terminals zur Anwendung, die kaum Sichtschutz bieten und leicht von anderen Kunden vor und hinter den Kassen eingesehen werden können. Da Kartenkunden derzeit nicht ausreichend gegen ein „Ausspähen“ ihrer PIN-Nummer geschützt sind, ist ein Anscheinsbeweis zu Lasten der Bankkunden nicht berechtigt."


    Quelle


    Ansonsten gibt es noch einige Funstellen zu diesem Thema, gib mal bei Google "EC-Karte" und "Anscheinsbeweis" ein.


    Also, ich habe mal bei einer Bank gearbeitet, gepraktikt etc....


    1.) eine PIN laesst sich sehr wohl entschluesseln! Theoretisch! Der eine Beitrag sagt es auch genau: Der Algorithmus laesst sich knacken, aber wohl nicht mit einem Laptop, und schon gar nicht innerhalb von 15 min!! (und das sollte eigentlich zu denken geben!)


    2.) was fuer eine Bank war das und wo? Wie wurde festgestellt, dass da am Automaten abgehoben wurde ohne Fehlversuch? Wie schnell haben die das rausgefunden? Aus Erfahrung weiss ich, dass dazu ein Journal gedruckt werden muss, dass sehr lang ist und man braucht normalerweise etwas Zeit, genau diesen gesuchten Vorgang zu finden.


    3.) die Frage ist ja, wie man es schaffen kann, innerhalb von 15min a) ein Auto aufzubrechen, b) eine EC-Karte zu klauen, c) zu einer Bank zu fahren, und d) angeblich (!!!) mit einer unbekannten PIN €990 abzuheben.


    Aus meiner Sicht der Dinge, wuerde ich sagen, dass da bei der Bank etws schiefgelaufen ist. Ich wuerde schaetzen, dass sich da jemand die Karte genommen hat und erstmal zum Schalter gegangen ist, die Unterschrift gefaelscht hat und so an das Geld gekommen ist. Doch auch das erscheint fragwuerdig, denn jeder normale Bankangestellter wuerde bei einem Auswaertigen mit dt. EC-Karte stutzig werden. Der Betrag (€990) spricht eher dafuer, dass der Dieb genau wusste, dass a) bei €1000 eine Unterschriftenpruefung stattfindet oder b) aus irgendeinem Grund der Automat bei Betraegen unter €1000 die PIN nicht abprueft bzw. abpruefen kann (vielleicht auch, da es sich um eine int. EC-Karte handelt).


    Ich wuerde Dir an Deiner Stelle empfehlen, da mal zu Bank zu gehen und die sollen sich mal mit dem Herausgeber der EC-Karte unterhalten....


    greetz,
    autares

    Zitat

    Original geschrieben von BenediktW
      speedstorm:


    Danke! :) Das macht mir schonmal Mut.


    Das Urteil paßt allerdings nicht auf Deinen Fall. Denn Deine Mutter hat die Karte nicht eingesetzt. Sie wird also auch nicht darlegen können, wo / wie evtl. die PIN ausgespäht worden sein könnte.

    hier ist die ganze Zeit die Rede von einem Bericht in der ARD.
    Ich habe in Erinnerung das es auch mal einen solchen Bericht gab in dem Sicherheitrisiken mit der PIN-Nummer gezeigt wurden.
    Dabei kam heraus das es nur unverhältnismässig wenig verschiedene PIN-Nummern gibt.
    Da war die Rede davon das 1/4 oder 1/3 aller PINS gleich sind.
    Es wurde mal soweit ich weiss an der UNI ein Versuch gemacht bei dem Studenten anonym ihre PIN der EC-Karte aufschreiben sollten. Die Auswertung ergab eine unglaubliche Häufigkeitsverteilung.
    1001 war die PIN bei 1/3 der Studis.


    bye
    m@rtin

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden