Nach wie vor werden Passwörter zur Anmeldung bei E-Banking- und E-Commerce-Applikationen gestohlen und missbraucht. Soeben erst haben deutsche Forscher auf die Schwachstellen des angeblich so sicheren ITAN-Verfahrens (indizierte Transaktionsnummer) hingewiesen. Mit einer Erweiterung des weltweit gültigen EMV-Standards (Eurocard Mastercard Visa) soll beim elekt-ronischen Bankverkehr zumindest den aktuellen Bedrohungen aus dem Internet Einhalt geboten werden. CAP (Chip Authentication Program) heisst die EMV-Zusatzspezifikation.
Dahinter steht der erste internationale Standard für «starke Authentifizierung». Um darauf zurückzugreifen, muss der Karteninhaber über einen kleinen Kartenleser mit Tastatur und Anzeige verfügen, der alle EMV-CAP-Funktionen ausliest. Konkret gibt man beim E-Banking zuerst die Vertragsnummer auf der Banking-Plattform ein und erhält einen nummerischen Code. Dann schiebt man die EMV-Karte in den Leser, identifiziert sich mit der üblichen PIN (Persönlichen Identifikationsnummer) und tippt dann den numerischen Code ein. Der Leser generiert jetzt das Passwort zum Einstieg ins E-Banking. Der Kartenleser enthält keinerlei Daten.

In einem Pilotprojekt der Postfinance wird EMV-CAP jetzt bis Ende Februar 2006 von 250 Mitarbeitern der Post als Login-Verfahren für die Kontobewirtschaftung über das Webportal Yellownet erprobt. Im Einsatz stehen unter anderem Kartenleser der Firma Vasco. Postfinance testet zudem als erste Bank die Debit-Karte als Login-Karte.
Laut Thomas Dinkel, Leiter des Pilotprojektes bei der Bankentochter der Post, funktio-nierten «ähnliche Verfahren bisher nur mit einer separaten Karte, die über keinerlei Zusatzfunktionen verfügte». Er verspricht sich von den Tests, dass «die Postcard dank der neuen Funktion noch mehr zum Schlüssel zur Postfinance-Welt wird.» Ausserdem soll mit der erweiterten EMV-Karte auch die Kartenflut eingedämmt werden, was der Kundschaft entgekommen werde, wie der Projektleiter meint.
CAP wurde ursprünglich von Mastercard definiert, von Visa als «Visa Dynamic Passcode» übernommen und als Zusatz in EMV integriert. EMV-CAP hat sich als Standard der internationalen Kartenorganisationen etab-liert und verfügt über alle erforderlichen Komponenten für Front- und Backend-Systeme. Hinter der Nutzung der EMV-Karte mit Zusatzfunktionen steht aber auch die Absicht, den Banken die im Vergleich mit den Magnetkarten markant teureren Chip-Karten schmackhaft zu machen. Und da ohnehin im Rahmen der Kartenerneuerung 2004 bis 2008 alle Schweizer Debitkarten mit EMV-Chips bestückt werden sollen, dürfte CAP die Einführung beschleunigen.
Dinkel ist jedenfalls in Sachen Kosten zuversichtlich. «Mit diesem Verfahren halten wir die Kosten tief, weil die nötigen Kartenleser über eine lange Lebensdauer verfügen und keine neuen Karten produziert werden müssen», führt er aus. «Zudem können künftig Phishing-Attacken wie die im letzten Juni verhindert werden, weil Phishing in der heute bekannten Form mit EMV-CAP nicht mehr möglich ist», nennt er noch weitere Gründe für das Pilotprojekt.

Dass Postfinance EMV-CAP zum Test zugelassen hat, liegt laut Dinkel aber auch daran, dass «der EMV-Standard etabliert ist und bereits weltweit genutzt wird». Da CAP auf diesem Standard aufsetzt, seien potenzielle technische Risiken kaum zu erwarten gewesen, erläutert der Projektleiter. Dinkels Fazit ist eindeutig: «Aktuelles Phishing wird es mit diesem Login-Verfahren nicht mehr geben», ist er sich sicher. Doch «vielleicht finden Betrüger andere Wege, um die Gutmütigkeit der Kunden auszunutzen», fügt er an.