Morgens auf dem Weg zur Arbeit schnell einen Kaffee kaufen oder an der Tankstelle bezahlen. Ein Vorgang der sich unzählige Male jeden Tag in Deutschland wiederholt. Auch in Deutschland kommen hierbei immer stärker Kreditkarten und Co. zum Einsatz. Die Bezahlvorgänge müssen im Kern zwei Voraussetzung erfüllen, Sicherheit und Bequemlichkeit.
Um eine Transaktion durchzuführen reicht in vielen Fällen der pure Besitz einer Kreditkarte. Vor allem Onlinekäufe werden durch diesen simplen Vorgang abgewickelt. Das macht es Dieben gerade mit Kreditkarten so einfach. Die bisher nächste Stufe zur Absicherung von Transaktionen ist die zusätzliche Eingabe einer PIN oder aber eine Unterschrift. Dieser Ablauf ist uns allen vom Bezahlen mit der girocard (besser bekannt als ec-Karte) vertraut.
Mastercard testet derzeit in Südafrika eine neue Kreditkartengeneration (vgl. hier), bei der in der Karte ein Sensor verbaut ist, der, ähnlich der Entsperrfunktion bei Smartphones, einen Fingerabdrucksensor beinhaltet. Kunden sollen sich beim Bezahlen mit ihrem Fingerabdruck identifizieren und damit die Bezahlung freischalten können. Zuvor müssen die Kunden ihren Fingerabdruck bei der Bank einscannen lassen, die diesen dann verschlüsselt auf dem Kartenchip ablegt. Der Fingerabdrucksensor, kann den Fingerabdruck beim Bezahlvorgang, während die Karte im Kartenlesegerät steckt, abgleichen. Hierzu nutzt der Sensor die Stromversorgung des Kartenlesegeräts. Das hat den immensen Vorteil, dass alles sehr schnell erfolgt und die Händler keinerlei neue Technik anschaffen müssen (ausgenommen sind Kartenlesegräte zum Durchziehen der Karte, bei denen funktioniert die neue Karte nicht).
Das Ganze klingt erst einmal toll. Vorbei die Zeit, in der man sich 4-stellige PINS merken musste und an denen die Warteschlage an der Kasse immer länger wurde, weil jemand mal wieder seine PIN vergessen hatte. Vergessen werden darf aber nicht, dass es sich bei dem biometrischen Merkmal Fingerabdruck auch „nur“ um einen zweiten Faktor (Biometrie) handelt, der neben dem Faktor Besitz (Karte) zur Ermöglichung der Transaktion führt. Bisher werden in der Regel die Faktoren Besitz (Karte) und Wissen (PIN) als sog. 2-Faktor-Authentifizierung genutzt.
Ob nun der biometrische Faktor per se sicherer ist, als die PIN darf bezweifelt werden. Wie bereits mehrfach bei den Fingerabdruckscannern von Smartphones nachgewiesen wurde sind solche Scanner relativ leicht zu knacken und an den Fingerabdruck ist in der Regel auch zu gelangen. Alleine auf der Karte dürften sich ausreichend Fingerabdrücke des Besitzers befinden, die für eine Erstellung eines Replics ausreichen dürften. Wenn die PIN nicht gerade per Post-it an der Karte klebt, oder aber im Adressbuch des Besitzers unter „Bank“ abgespeichert wurde, müssen Kriminelle auch einen gewissen Aufwand betreiben, um die PIN herauszubekommen. Bei einem Diebstahl des biometrischen Faktors kann dieser nur in sehr begrenzter Anzahl von Fällen (beim Finger in der Regel 9x) ersetzt werden, so dass der Verlust in der Regel schwerer wiegt. Auch gibt es viele Menschen, deren Fingerabdruck für einen Scan schlicht untauglich ist, sei es durch die Arbeit mit Chemikalien oder aus ganz anderen Gründen.
Wenn das ganze also per se nicht sicherer ist, warum könnte sich das Verfahren dennoch durchsetzen? Nun ja, hier kommt der Begriff Bequemlichkeit oder convenience zum Tragen. Viele Kunden werden es einfach praktisch finden, sich keine PINs mehr merken zu müssen.
Einen echten Mehrwert an Sicherheit würde allerdings die bisher nicht geplante Verknüpfung der drei Faktoren Wissen, Biometrie und Besitz bringen. Aber ob sich das durchsetzen könnte ist in unserer schnelllebigen Zeit fraglich.