von Robert Klatt •
Das Sicherheitsunternehmen Gemalto hat eine Kreditkarte vorgestellt, die statt einem Pin den Fingerabdruck verwendet. Wie sicher ist das System wirklich?
Die kontaktlose EMV-Kreditkarte authentifiziert den Besitzer per Fingerabdruck. Der dafür benötigte Sensor ist direkt in die Kreditkarte integriert. Die vom Sensor erfassten Daten werden dann zur Freigabe einer Zahlung mit den auf der Karte vorher gespeicherten Informationen abgeglichen. Es ist aber auch möglich den Magnetstreifen zu verwenden. Aufgrund der zwei unterschiedlichen Authentifizierungsoptionen spricht der Hersteller von einer Dual Interface Card.
Laut der Pressemittelung von Gemalto kann die Kreditkarte, obwohl sie über den neuartigen Sensor verfügt, an allen herkömmlichen Contactless-Bezahlungsterminals eingesetzt werden. Inzwischen sind auch in Deutschland kontaktlose Bezahlvorgänge bereits in vielen Geschäften möglich. Der Strom für den Fingerabdrucksensor wird vom Bezahlterminal bereitgestellt. Es ist deshalb keine zusätzliche Stromquelle nötig. Der Hersteller weist daraufhin, dass Datenschutzbedenken unbegründet sind. Die Fingerabdruckdaten werden nur lokal auf der Kreditkarte gespeichert und nicht zentral auf einem Server der Firma abgelegt.
Aktuell findet ein Praxistest der neuen Kreditkarte in Kooperation mit der Bank of Cyprus statt. Kunden die sich über ihren Fingerabdruck authentifizieren wollen, müssen die Funktion zuerst in einer Bankfiliale aktivieren lassen, in dem dort die biometrischen Daten verifiziert werden. In der Zukunft soll dies jedoch laut einem Produktvideo von Gemalto auch per Smartphone möglich sein.
Der Kreditkartenanbieter Mastercard stellte in Kooperation mit dem Hersteller Zwipe bereits im Jahr 2014 ein ähnliches System vor. Das Konzept wurde im April 2017 bereits in Südafrika erfolgreich in der Praxis erprobt. Bisher können Kunden die Karte jedoch noch nicht erhalten. Das offizielle Erscheinungsdatum ist noch unbekannt.
Obwohl Gemalto mit dem Praxistest deutlich später startete, soll die Karte bereits gegen Ende 2018 oder Anfang 2019 in weiteren Ländern an Kunden verteilt werden. Da Zypern, wo aktuell der Praxistest stattfindet, zur EU gehört, ist damit zu rechnen, dass die Kreditkarte auch in Deutschland erscheinen wird.
Einige Experten äußerten jedoch Sicherheitsbedenken. Die Authentifizierung per PIN ist zwar nicht so komfortabel, dafür hat sie aber den großen Vorteil, dass der PIN nach einem Diebstahl oder Missbrauch durch Dritte leicht ersetzt werden kann. Bei einem Fingerabdruck besteht diese Option nicht. Solle der Fingerabdruck einmal in die Hände von Kriminellen gelangt sein, ist er damit dauerhaft bekannt und kann nicht mehr geändert werden. Außerdem ist es möglich auch aktuellen Sensoren noch leicht mit Fälschungen zu überlisten.