Girocard und die Tokenisation im Apple Wallet: Sind die Kontodaten ausreichend verschleiert?

Anfang September warfen wir die Frage auf: Wie anonym ist Apple Pay mit GiroCard? Der Hintergrund: Ein Leser machte uns auf eine Unstimmigkeit bei der Tokenisation bei der Girocard aufmerksam. Wir hatten die Token-Frage an die die S-Payment gestellt – und – unser erstes Fazit war: Alles gut. Doch ganz so einfach ist es nicht, wie unser Payment-Experte Rudolf Linsenbarth feststellt: Die Aussagen der Unternehmen waren zwar im Prinzip richtig – gehen aber haarscharf am Problem vorbei. Die Detailanalyse

von Rudolf Linsenbarth

Manche Aussagen sind zwar eine Antwort – umgehen aber geschickt das Problem. Beim ersten Lesen der Herstellerantworten zu Girocard im Apple Wallet habe ich gestutzt und fand die Darstellung ein wenig unglücklich. Unser Leser des IT Finanzmagazin Chris @kkrdvc, hat uns das Problem genau geschildert – und auch er nahm Anstoß an den folgenden Formulierungen:

„[…]Die Nachfrage bei S-Payment ergab, dass die Kontonummer tatsächlich bei der Token-Berechnung eine Rolle spielt. Allerdings zusammen mit weiteren Zuordnungsnummern, die weder der Kunde noch Apple noch die für Apple Pay verwendeten Geräte kennen. […]“

„[…]Für nichtautorisierte Personen lässt sich nicht auf den Kontoinhaber schließen, so der Vertreter der Sparkassen, lediglich das kontoführende Institut kann die Verbindungsdaten dem zugehörigen Kontoinhaber zuordnen. […]“

„[…]Darüber hinaus sei es im Girocard-System nicht möglich, nur mit den Daten einer physischen oder digitalen Karte auf anderem Wege eine Transaktion erfolgreich auszulösen […]“

Diese Aussagen sind im Prinzip zwar alle richtig. Gehen am Kern des Themas aber haarscharf vorbei. Nämlich der Frage, ob es sich bei der girocard in Apple Pay wirklich um eine „echte“ Tokenisierung handelt. Chris zieht hierfür die EMVCo Spezifikation heran.

„[…](10.8 De-Tokenise)The Payment Token SHALL be de-tokenised to the underlying PAN in the incoming Token Authorisation prior to sending the PAN Authorisation to the Card Issuer.“ 

„[…]Routing and account range tables need to clearly distinguish Token BINs and Token BIN Ranges from traditional PAN BINs and PAN BIN ranges in order to ensure the underlying integrity of payment processing.“ 

„[…]The ability to retrieve an underlying PAN and PAN Expiry Date in exchange for its affiliated Payment Token and Token Expiry Date without verification should be restricted to specifically authorised entities, individuals, applications, or systems.“

„[…] PAR Data SHALL be generated using a method that cannot be reverse engineered to determine underlying PAN or Payment Token information.“ 

„[…]To aid Payment Tokenisation ecosystem transparency, traceability and global interoperability, EMVCo manages a Token Service Provider Code registration process. This provides unique identification of each Registered Token Service Provider and avoids collisions of Token Requestors IDs between Token Service Providers. In compliance with Token Programme policies, Token Service Providers SHOULD register with EMVCo when providing services for one or more separate and legally distinct entities.“

Fehlende Verschleierung der Konto-Daten

Chris kommt dabei zu dem Schluss, dass es sich hier nicht um eine eine Tokenisierung im Sinne der EMVCo-Spezifikation handelt, da er keine Token-Infrastruktur sieht. Also eine Datenbank, in der eine girocard-Nummer einer Token girocard-Nummer zugeordnet wird. Außerdem gibt es keine Verschleierung der Kontodaten wie bei den Scheme PAN’s von AMEX, Mastercard und VISA.

Die girocard in Apple Pay ist für ihn aus technischer Sicht eher eine Zweit- oder Partnerkarte zum gleichen Girokonto. Dieser Meinung würde ich mich anschließen, da ich diese Diskussion mit den technisch Verantwortlichen bereits nach dem Launch der App „Mobiles Bezahlen“ geführt habe.

Ob die girocard in der Apple Wallet jetzt eine Tokenisierung im Sinne der EMVCo-Spezifikation ist, kann man zunächst als akademische Diskussion betrachten.

Für wesentlich bedeutender halte ich die Frage, wie steht es mit der Sicherheit und dem Betrugsrisiko?”

Hier muss man sagen, die Daten in der Apple Wallet liegen dort genauso „schutzlos“ wie auf der Plastikkarte. Allerdings können die Daten auf dem iPhone nur ausgelesen werden, wenn die Freigabe (biometrisch oder per PIN) erfolgt ist. Dann aber kann aus diesen Daten die IBAN des Kunden sehr einfach ermittelt werden.

Was könnte ein Betrüger damit machen?

Er könnte eine Lastschrift einreichen. Da er aber über kein Mandat verfügt, ist eine Rückbuchung für die nächsten 13 Monate möglich. Außerdem benötigt der Betrüger eine Geschäftsbeziehung zu einer Bank, die diese Lastschriften für ihn einzieht.

Die kontaktlose girocard ist jetzt seit 5 Jahren am Markt. Der Abgriff der Kontodaten wäre dort sehr viel einfacher. Von einer Betrugswelle, bei der diese Lücke ausgenutzt wird, ist mir nichts bekannt.

Was könnte die DK tun?

Wenn die DK an dem obigen Konstrukt etwas ändern will, müsste das Backend der Autorisierungsinfrastruktur mit seinen Kopfstellen angepasst werden. Dann hätten die Banken mit einem Schlag auch das Thema ELV (Lastschrift) von der Backe. Aber zu diesem Schritt kann man sich irgendwie nicht entschließen.

Außerdem steht einem solchem Vorhaben eventuell noch das Kartellamt im Weg. In einer Meldung aus dem Jahr 2013 hieß es:

 „…Darüber hinaus beabsichtigen die Banken technische Änderungen, die die Nutzung des sogenannten Elektronischen Lastschriftverfahrens (ELV) unmöglich machen würden. Wir wollen das Lastschriftverfahren als Konkurrenzprodukt erhalten, um einen Wettbewerb der Systeme zu ermöglichen…“

Also mal schauen, wie sich das mit den „echten“ Token weiter entwickelt.

…und so lange die girocard kein kassenübergreifendes Teilstorno kann, ist man als Apple-Pay-Nutzer auf diese Funktion sogar dringend angewiesen. Sonst wird es im Stadion schwierig, bei der Rückbuchung des Becher-Pfands!Rudolf Linsenbarth