Sicherheit auf dem Weihnachtsmarkt

Sicherheit auf dem Weihnachtsmarkt

In diesen Tagen haben sie Hochkonjunktur, die Weihnachtsmärkte. Festlich geschmückte Stände schenken Glühwein aus 5-Liter-Eimern vom Großmarkt aus – für fünf Euro pro Becher. Nebenan gibt es gut durchgegarte Bratwürste mit Senf aus großen Eimern, einen Stand weiter werden bunt bemalte Holzreste als Baumschmuck angeboten. Und Horden von bestens ausgebildeten Taschendieben stehen zwei Polizeibeamten gegenüber und ziehen den Besuchern die prall gefüllten Geldbörsen aus der Tasche. Oh du Fröhliche...

Zum Glück kann ein Dieb mit dem so erbeuteten Geldbeutel nicht viel anfangen. Gut, das Bargeld ist weg, aber die Cashkarte – häufig noch als EC-Karte bezeichnet –  landet neben der senfverschmierten Serviette im nächstgelegenen Mülleimer. Die Chance, das gute Stück wiederzubekommen ist also gleich Null. Wenigstens kann das Konto nicht leer geräumt werden, weil dem Dieb die PIN fehlt – die Sie ja hoffentlich niemals auf einem Zettelchen im Geldbeutel mittragen.

Manche Menschen glauben, dass die PIN auf der Geldkarte gespeichert ist. Sie ist es nicht. Ansonsten könnte man diese ja auslesen und am nächsten Automaten verwenden. Wie aber um alles in der Welt ist der Geldautomat in der Lage, die PIN zu überprüfen, wenn sie nicht drauf steht? Damit das geht, hat sich jemand eine ganz schlaue Sache einfallen lassen.

Ohne Mathe geht's nicht

Es gibt mathematische Einbahnstraßen-Formeln, die etwas anders ticken, als wir das aus der Schule kennen. Nehmen wir den Term a x b = c, zum Beispiel 5 x 7 = 35. Kenne ich nur a und c, kann ich mir selbst errechnen, welchen Wert b hat. In unserem Beispiel teile ich c durch a, das ergibt b ( 35 / 5 = 7). Nun gibt es Rechenmethoden, bei denen das nicht geht. Selbst wenn mir a und c bekannt sind, ist es nicht möglich, b zu errechnen. Das hat etwas mit Primzahlen zu tun und mit großen, sogar sehr großen Zahlen.

Groß müssen die Zahlen deshalb sein, weil es immer noch die Möglichkeit gibt, einfach mal alle Zahlen auszuprobieren. Ist der Zahlenraum aber so groß, dass selbst modernste Rechner nicht in der Lage sind, alle möglichen Zahlen in weniger als Millionen von Jahren auszuprobieren, dann bietet so eine Formel eine ausreichende Sicherheit. Und die Cashkarte nutzt dieses Prinzip bei der Speicherung der PIN. Auf der Karte befindet sich das Ergebnis und ein Faktor, also c und a. Der Faktor b fehlt und der ist Ihre PIN. Zugegeben, das ist jetzt etwas vereinfacht dargestellt, aber das Prinzip lässt sich damit gut erklären.

Auf das exakte Ergebnis kommt es an

Nehmen wir an, ich mische aus zwei Farbeimern mit roter (a) und gelber Farbe (b) ein schönes Orange (c) – und merke mir die exakten (!) Mengen jeder Farbe, die ich dazu verwendet habe. Die Menge der roten Farbe (a) und den Farbton meines Oranges (c) speichere ich dann auf der Bankkarte. Die exakte Menge des verwendeten Gelbs (b) teile ich Ihnen mit – das ist quasi Ihre PIN.

Geldautomat und KarteWie kann der Geldautomat eine PIN überprüfen, wenn sie nicht auf der Karte gespeichert ist?

Der Bankautomat macht also Folgendes, wenn Sie Bares abheben wollen: er nimmt Ihre eingetippte PIN (b, also die Menge an gelber Farbe) und mischt diese mit der auf der Karte gespeicherten Menge an Rot (a). Anschließend vergleicht er lediglich, ob das daraus gemischte Orange exakt – und ich meine exakt – dem Orange entspricht, das auch auf der Karte gespeichert ist (c). Stimmt es überein, kann der Automat davon ausgehen, dass Sie die richtige PIN eingegeben haben. Kurzum, der Bankomat ist in der Lage, die PIN zu überprüfen, ohne sie selbst zu kennen. Eine wirklich clevere Idee.

Probieren Sie das mal mit echter Farbe. Sie können es beliebig oft versuchen, Ihr Orange entspricht niemals exakt dem Orange von der ersten Mischung – es sieht ihm höchstens ähnlich. Rot und Gelb gibt es übrigens auch auf dem Weihnachtsmarkt. Senf und Glühwein, viel Spaß beim Mischen. Und nicht wundern, wenn andere blöd gucken.

Ein Beitrag von Tobias Schrödel, freiberuflicher Berater für IT-Security & Awareness. Die Tricks der Hacker verrät unser Gastautor in seinem Buch „Hacking für Manager. Was Manager über IT-Sicherheit wissen müssen.“ Gabler Verlag, 2. Auflage 2012.

Video-Empfehlung: Sichere Passwörter knacken mit Tobias Schrödel

 

 

Bildquelle: © jokatoons, kk-artworks / Fotolia.com


Diskutieren Sie mit

Sie können diesen Artikel sofort ohne Registrierung als Gast-User kommentieren.

Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.



Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.

Kommentare