7. Juli 2007

EC-Karten-PINs und die Wahrscheinlichkeit von BGH-Richtern

Category: Allgemein,Hacking — Christian @ 19:12

These:

Lottospielende BGH-Richter kennen sich mit Wahrscheinlichkeitsrechnung nicht aus.

Beweis:

Betrachten wir das Samstagslotto. Simples 6 aus 49. Die Wahrscheinlichkeit für x richtige berechnet sich nach der klassischen Wahrscheinlichkeitsrechnung als hypergeometrische Verteilung. Die Formel ist etwas komplizierter, ich schreibe hier nur mal die Wahrscheinlichkeit für x richtige in einer Tabelle auf. Die Zufallszahl lassen wir mal außer acht.

Anzahl Richtige Wahrscheinlichkeit Wahrscheinlichkeit in %
1 1 : 2.421 41,302 %
2 1 : 7,554 13,238 %
3 1 : 56,656 1,7650 %
4 1 : 1.032,397 0,096862 %
5 1 : 54.200,837 0,0018450 %
6 1 : 13.983.816 0,0000071511 %

Um also sagen wir mal ein paar hundert oder tausend Euro zu gewinnen, braucht man als Spieler nach den aktuellen Quoten schon 5 Richtige, also eine Wahrscheinlichkeit von 1 : 54201 (BayernLotto vom 23.06.2007: Gewinnklasse 4 (5 Richtige) mit 3.572,90 Euro).

3.500 Euro könnte man jetzt auch von meinem Konto abheben, natürlich nur mit meiner EC-Karte und natürlich der Geheimzahl. Ich verrate jetzt sicher nicht zu viel wenn ich offenbare, daß „0000“ nicht die richtige PIN ist. Das ist auch nur zum einfacheren Rechnen. Bevor die Karte eingezogen wird, hat der Kartendieb 3 Versuche, bei 9999 verschiedenen PINs (die 0000 haben wir ausgeschlossen) also eine Wahrscheinlichkeit von 1 : 3333, an Geld zu kommen. Das ist mehr als Faktor 16 besser(!) als Lotto spielen. Und das schönste, man muß nichtmal einen finanziellen Einsatz tätigen. Lotto spielen kostet mindestens 1,25 Euro pro ausgefülltem Kästchen ohne Spiel 77 und Super 6. Ok, einen kleinen Nachteil hat das EC-Karten klauen, es ist strafrechtlich bewehrt.

Es ist also 16 mal so Wahrscheinlich, mit einer geklauten EC-Karte zufällig ein paar tausend Euro abzuräumen, als die gleichen paar tausend Euro im Lotto zu gewinnen. Nur der BGH sieht das offensichtlich anders. Die aktuelle Rechtsprechung ist da ganz eindeutig:

    In solchen Fällen spricht „der erste Anschein“ dafür, dass der Inhaber die EC-Karte und die PIN-Nummer nicht ausreichend getrennt aufbewahrt hat

Ein Lottospielender BGH-Richter kann folglich keine Ahnung von Wahrscheinlichkeitsrechnung haben. Die Wahrscheinlichkeit, daß mit einer geklauten EC-Karte „zufällig“ die richtige PIN erraten wird, wird als so unwahrscheinlich abgetan, daß der Inhaber die PIN wohl irgendwo notiert haben muß. Aber dann Lotto spielen! qed.

Wie sicher ist die EC-Karte?

Soweit ich weiß, ist in jeden Geldautomaten ein Hardware-Chip eingebaut, der anhand von Daten auf der EC-Karte die PIN ermitteln kann. Das war früher notwendig, als die Datenleitung zum Rechenzentrum nicht zuverlässig genug war und der Nutzer sein Geld auch abheben sollte, wenn die PIN nicht zentral überprüft werden konnte. Davon ist man jedoch weitgehend abgekommen, weil jeder Kartendieb den Zähler der PIN-Eingabe wieder auf 0 zurücksetzen kann, wenn die Fehleingaben nicht zentral sondern nur im Magnetstreifen der Karte gespeichert wird.

Die Entschlüsselung ist außerdem auch nur mit dem Hardware-Chip möglich, eine Software zur Berechnung ist nicht bekannt. Eigentlich eine recht sichere Lösung. Eigentlich. Inzwischen werden nämlich auch komplette Geldautomaten gestohlen. Natürlich mit dem Chip drin. Ich kann mir sehr gut vorstellen, daß ein kluger Bastler mit dem Geldautomaten und dem Chip und ein wenig Elektronik was basteln kann, um anhand der EC-Karte die PIN zu ermitteln.

Und selbst wenn das nicht möglich sein sollte, es gibt immer wieder Fälle von manipulierten Geldautomaten. Schön dabei ist, daß der Nutzer nachweisen muß, daß so ein Geldautomat manipuliert war. Dabei erkennen oft sogar geschulte Kriminalbeamte die Manipulation nicht. Inzwischen gibt es sogar Diebesbanden, die in Geschäfte einsteigen, dort jedoch nichts klauen sondern nur die Geräte für die EC-Kartenzahlung manipulieren um sich die PIN-Eingaben der genutzten Karten zu verschaffen. Und wer ist schon in der Lage zu prüfen, ob ein Lesegerät nicht manipuliert wurde.

Und die PIN?

Ein Ärgernis ist die in Deutschland gebräuchliche PIN mit nur vier Stellen. Ein Freund von mir (Franzose) arbeitet in Basel und hat ein Konto bei der UBS. Die Schweizer Banken erlauben durchgängig 6-stellige PINs, da hat man eine erheblich höhere Sicherheit als in Deutschland. Vermutlich ist der Schweizer an sich intelligenter und kann sich eine 6-stellige PIN merken, der dumme Deutsche aber nur 4 Stellen. An der 4-stelligen PIN ist übrigens Mrs Shepherd-Barron schuld, die Frau des Erfinders der Geldautomaten:

    One by-product of inventing the first cash machine was the concept of the Pin number. Mr Shepherd-Barron came up with the idea when he realised that he could remember his six-figure army number. But he decided to check that with his wife, Caroline. „Over the kitchen table, she said she could only remember four figures, so because of her, four figures became the world standard,“ he laughs.

Die BBC hat online einen längeren Beitrag über den Erfinder des Geldautomaten.

Vielleicht sind Kreditkarten doch keine so unsichere Erfindung?

1 Kommentar

  1. Kommentare gesperrt wegen Spam

    Comment by Christian — 27. Mai 2008 @ 23:02

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.