EMV-Chip

Der EMV-Chip ist eine Weiterentwicklung des Magnetstreifens auf EC- bzw. Kreditkarten. Über den Magnetstreifen konnte die Transaktionen mit der Bank abgewickelt werden. Der Chip hat dieselbe Funktion, ist jedoch wesentlich sicherer als der Magnetstreifen, dessen Daten leicht kopiert oder gar verändert werden konnten. Durch einen Mikroprozessor, der sich nun im Chip befindet, ist dies nahezu unmöglich. Die entsprechende Spezifikation für Zahlkarten, die mit einem Prozessorchip ausgestattet sind und die zugehörigen Chipkartengeräte (POS-Terminals und Geldautomaten) finden sich im „Europay International, MasterCard und VISA“ – kurz: EMV – und werden in zwei Level unterteilt.

Die Umstellung auf das neue System, das von MasterCard und Visa International bereits in den 90er Jahren des letzten Jahrhunderts entwickelt wurde, sollte sich bis Ende 2010 in ganz Europa als einheitlicher Standard durchsetzen. Über 700 Millionen Karten sind bereits im Umlauf, die mit dem neuen Chip ausgestattet sind. Da die USA jedoch in der Umstellung etwas „hinterherhinken“, bleibt auf einigen Kreditkarten der Magnetstreifen weiterhin erhalten. Auch diese Karten erfüllen jedoch die neuen Sicherheitsstandards, denn wenn eine Karte mit dem Chip ausgerüstet ist, liest das Kartenlesegerät auch nur die Daten des Chips. Befindet sich kein Chip auf der Karte, wird sie als Fälschung gewertet und jeglicher Zugriff verweigert.

Bei Kreditkarten wird es die übliche Unterschrift, die leicht zu fälschen ist, in Zukunft nicht mehr geben. Mit dem neuen Chip wird die Eingabe einer PIN erforderlich, die nur der Kartenbesitzer weiß. Vorsicht ist jedoch weiterhin die Mutter der Porzellankiste, deswegen sollte auch künftig eine notierte PIN nicht im Portemonnaie aufbewahrt werden. Am sichersten ist es natürlich, sich die PIN zu merken und gar nicht aufzuschreiben.

Das neue Verfahren wird auch beim Onlineshopping Einzug halten. Zusätzlich zur Prüfnummer, die jeder auf der Karte einsehen kann, wird auch bei Onlinekäufen die Eingabe der PIN erforderlich sein. Dadurch soll der Missbrauch von Karten minimiert werden. Händler, die mit dem System bereits arbeiten, erkennt man entweder am VbV-Zertifikat oder am MasterCard Secure Code.

Wofür steht EMV?

Das Kürzel EMV steht für die drei Unternehmen, die den Standard in den 1990er Jahren entwickelten: Europay International (zwischenzeitlich umbenannt in MasterCard Europe), MasterCard und VISA. Die Kartengesellschaften forcierten die Ausbreitung des Standards in Europa unter anderem durch veränderte Haftungsregelungen zulasten von Akquirern und Issuern, deren Terminals EMV nicht unterstützen. Mittlerweile ist das Unternehmen EMVCo für den EMV-Standard zuständig. Es handelt sich bei EMCCo um ein Gemeinschaftsunternehmen, dem neben MasterCard ubnd VISA auch American Express, JCB und UnionPay angehören.

Wie funktioniert der EMV-Chip?

Die zur Autorisierung einer Transaktion notwendigen Daten sind verschlüsselt auf dem Chip hinterlegt. Die Daten werden erst durch die Eingabe der PIN geöffnet und sind ansonsten nicht zugänglich. Das „Skimming“ – eine der häufigsten Betrugsmaschen – funktioniert deshalb nicht, weil Betrüger keine Kopie der Karte anfertigen können und das Ausspähen der PIN allein nicht für einen Zugriff auf das Konto ausreicht.

Dennoch sind Kartenbetrug- und Missbrauch nicht gänzlich ausgeschlossen, weil jede Kreditkarte nur einer von mehreren Bausteinen in einem Transaktionsprozess ist. Insbesondere Zahlungsterminals im Handel gelten als potenzielles Einfallstor für Betrüger. Die Terminals generieren einen Code und übermitteln diesen der kontoführenden Bank als Sicherheitszertifikat. Gelingt es Betrügern, dieses abzufangen, sind missbräuchliche Autorisierungen nicht ausgeschlossen. Die Anzahl der Betrugsfälle ist im Zuge der Umstellung auf EMV allerdings deutlich zurückgegangen.

Ablauf einer Transaktion mit EMV-Chip

In technischer Hinsicht unterscheidet sich eine Transaktion unter Einsatz eines EMV-Chips deutlich von Transaktionen, die über einen Magnetstreifen abgewickelt werden. Bei einem Magnetstreifen-Terminal dient die Karte lediglich als Datenspeicher: Nachdem dieser ausgelesen ist, übernimmt das Terminal den weiteren Ablauf der Transaktion.

Zahlungsvorgänge unter Einsatz eines EMV-Chips stellen dagegen eine Interaktion zwischen Chip und Terminal dar – ein Protokoll, dessen Standards durch die EMV-Spezifikationen festgelegt werden. Das Protokoll definiert mehrere Schritte, die bis zur Freigabe der Transaktion durchlaufen werden müssen.

Schritte im EMV-Transaktionsprotokoll

  1. „Application Selection“
    Chip und Terminal „einigen“ sich auf eine auf dem Chip gespeicherte Anwendung (auf dem Chip kann mehr als eine Anwendung gespeichert sein).
  2. „Initiate Application Processing“
    Die ausgewählte Anwendung wird gestartet und die benötigten Daten werden vom Chip abgelesen
  3. „Offline Date Authentification“
    Es erfolgt eine offline-Authentifizierung der Daten im Chip (hierbei können die Standards SDA, DDA und CDA zum Einsatz kommen.
  4. „Processing Restrictions“
    Prüfung auf Restriktionen (das Terminal prüft, ob der Chip „berechtigt“ ist, die geplante Transaktion durchzuführen – hier wird z. B. das Gültigkeitsdatum der Karte geprüft.
  5. „Cardholder Verifikation“
    Identifikation des Karteninhabers – Eingabe der PIN. Für die Prüfung der PIN muss  nicht zwingend eine Onlineverbindung bestehen. Welche Methode der Identifikation angewandt wird, entscheiden Terminal und Chip im ersten Schritt gemeinsam.
  6. „Terminal Risk Management“
    Dieser Schritt findet nur bei Terminals statt, die Transaktionen sowohl online als auch offline vornehmen. Dann wird abhängig von der geplanten Transaktion entschieden, welche Variante angewandt wird (Beispiel: Offline-Transaktionen sind nur bis zu einem bestimmten Betrag möglich).
  7. „Terminal Action Analysis“
    In diesem Schritt wird entschieden, ob eine Transaktion offline genehmigt, offline abgelehnt oder zur Genehmigung online gestellt wird. Diese Entscheidung führt zu einer entsprechenden „Anfrage“ des Terminals bei der Karte.
  8. „Card Action Analysis“
    In diesem Schritt fordert das Terminal auf der Basis der vorangegangenen Entscheidungen eine von drei Antworten an: Ein „Transaction Certificate (TC)“, falls der Transaktion offline zugestimmt wird, ein Authorization Request Cryptogram (ARQC) für eine Online-Autorisierungsanfrage oder ein Application Authentication Cryptogram (AAC), falls die Transaktion offline abgelehnt wird. Stimmt die Antwort der Karte mit der Anfrage des Terminals überein, kann die Transaktion durchgeführt werden. Auch wenn zunächst keine Übereinstimmung vorliegt, kann es zur Transaktion kommen: Fragt das Terminal nach TC an, kann die Karte mit ARQC antworten – der umgekehrte Fall ist aber nicht möglich.
  9. „Online Processing“
    Fordert der Chip eine Online-Autorisierung ein, baut das Terminal eine Verbindung zum Issuer-Host auf und stellt dort eine entsprechende Anfrage.
  10. „Completion and Script Processing“
    Die Transaktion wird abgeschlossen

Darstellung einer Transaktion mittels EMV-Chip

EMV Chip und kontaktloses Zahlen

Kredit- und Girokarten ermöglichen mittlerweile auch kontaktloses Bezahlen. Das obige EMV-Protokoll wird auch bei solchen Transaktionen beibehalten. Der wesentliche Unterschied besteht in einer schnelleren Kommunikation zwischen Terminal und Chip. Zudem werden einige Prozesse auf dem Chip erst nach der eigentlichen Transaktion ausgeführt.

Verbreitung des EMV-Standards

Im Schlussquartal 2015 wurden fast alle Transaktionen mit Kreditkarten in Zentral- und Mitteleuropa mit EMV durchgeführt. Schlusslicht ist derzeit noch die USA. Dort beträgt der Anteil der Zahlungen am PoS mit EMV weniger als zehn Prozent. Die Infografiken der EMVCo geben einen Überblick über die Verbreitung von EMV auf den verschiedenen Kontinenten:

Infografik zur Entwicklung der Verbreitung von EMV
Quelle: EMVCo.com

 

EMV Deployment Map
Quelle: EMVCo.com

Weiterführendes