Magnetkarten werden überall dort eingesetzt, wo es darum geht, bargeldlos zu bezahlen.
Mit dieser Aussage erfaßt man den häufigsten Anwendungsbereich des sogenannten
Plastik-Geldes. Dabei kann es sich um die jedermann bekannten Bankkarten, wie Eurocheque
(EC-) oder Kundenkarte (auch Service- oder S-Card genannt) handeln. Einbezogen
sind aber auch Abbuchungskarten, sogennante Prepaid-Karten, bei denen man im
voraus für eine Dienstleistung bezahlen muß. Weitere Anwendungsbereiche sind die
Personenidentifikation und die Zutrittskontrolle. Beispiele für die hier angesprochenen
Arten der Magnetkarte werden im folgenden näher beschneben
Begonnen hat der Einzug der Magnetkarte im Kreditgewerbe. Hierbei geht es darum,
daß mit einer Plastikkarte eine Personenidentifikation vorgenommen wird. Mit der
Karte erteilt der Inhaber dem Geschäft, in dem er einkauft, eine Einzugsermächtigung.
Dies geschah friiher dadurch, daß ein Abdruck der Kartennummer, des Gültigkeitsdatums
und vom Namens des Inhabers genommen wurde. Der Karteninhaber mußte den
Beleg dann nur noch unterschreiben. Nach dieser Methode verfahren auch heute noch
einige Geschäfte. Sehr gewissenhaftes Verkaufspersonal vergleicht die Kartennummer
mit gesperrten oder als gestohlen gemeldeten Kartennummern. Dazu muß das Personal
jedoch in telefonbuchdicken Büchern blättern. Durch das Aufbnngen eines Magnetstreifcns
konnte eine Rationalisierung erreicht werden. Das Verkaufspersonal zieht die Kreditkarte
durch einen Magnetkartenleser, der über eine Telefonleitung mit einem Rechner
dts Kartenherausgebers verbunden ist. Die gelesenen Kartendaten werden dabei online
mit den im Rechner gespeicherten Daten verglichen. Für gespen2e oder als gestohlen
gemeldete Karten wird keine Freigabe erteilt. Dieses System hat die allgemein bekannten
sicherheitstechnischen Mängel. So wird z.B. die Kreditkarte nicht maschinell auf
ihre Echtheit überprüft. Selbst das Verkaufspersonal achtet nicht genau darauf. Und
recht selten wird die geleistete Unterschrift mit der auf der Karte befindlichen verglichen.
Durch Kreditkartenbetrug sind allein 1983 der amerikanischen Wirtschaft und den
amenkanischen Banken Verluste von über I Milliarde US-Dollar entstanden. Der einfache
Vergleich der auf der Karte aufgeprägten Nummer mit den Daten, die vom Magnetstreifen
gelesen wurden, würde das Sicherheitsnsiko bei Kreditkarten um ein Vielfaches
senken. Dazu wä~e nur eine Sensibilisierung des Verkaufspersonals gegen Kreditkartenbetrug
nötig, was in unser aller Interesse liegen sollte.
Die wohl bekannteste Magnetkarte ist die EC-Karte, die sich in (fast) jeder Bneftasche
befindet. Die EC-Karte hat sich heute zu einer Multifunktionskarte entwickelt: Mit
ihr kann sich der Karteninhaber Zutntt zum Geldausgabeautomaten (GAA) verschaffen,
mit Karte und Geheimnummer, der PIN (Personal Identification Number), Geld abheben
und in Geschäften bargeldlos einkaufen. Natürlich kann man mit der EC-Karte in
Verbindung mit Euro-Schecks immer noch auf die konventionelle Weise bezahlen. Anders
als bei der Kreditkarte wurde bei der Herstellung der EC-Karte darauf geachtet, das
Fälschen und Verfälschen zu verhindern. So werden beim Druck ähnliche Verfahren wie
beim Wertpapierdruck verwendet, d.h. die EC-Karte ist mit sichtbaren Merkmalen zur
Erkennung der Kartenechtheit wie Wasserzeichen, mehrfarbigen Guillochegravuren und
Prägehologramm ausgestattet. Über letzteres verfügt auch die Kreditkarte. Genauso wie
Geldscheine, lassen sich EC- und Kreditkarten mit speziellem UV-Licht schnell und sicher
auf ihre Echtheit hin überpriifen. Lampen, die ein solches Licht ausstrahlen sind
heute an fast jeder Kasse zu finden. Eingesetzt werden sie aber nur zur Überpriifung von
Geldscheinen. Auch hier sollte das Verkaufspersonal gezielt geschult werden. Denn nur
wer weiß, worauf er priifen soll, kann dies auch tun.
Damit Geldausgabeautomaten die Echtheit der EC-Karte überpriifen können, ist
diese auch mit sogenannten M-Merkmalen (maschinenfähige Merkmale) versehen.
Näheres zu dem MM-Schlüssel-System ist in Abschnitt 6.4.1 zu finden. Diese maschinenfähigen
Merkmale sind wichtig, da Geldausgabeautomaten nicht immer online mit
einem Zentralrechner des Kreditgewerbes verbunden sind und eine Autonsierung der
gelesenen Kartendaten vornehmen können. Denkbar ist aber auch, daß der Kunde an
den Automaten eines Geldinstitutes geht, bei dem er nicht Kunde ist. Die Erkennung der
Kartenechtheit muß also institutsübergreifend funktionieren. Bei den Kundenkarten ist
das nicht nötig, da sie nur bei dem ausstellenden Geldinstitut gültig sind. Die Identifikation
des Karteninhabers gegenüber dem Automaten erfolgt durch die Eingabe der vierstelligen
PIN (Abbildung 2-1).
Beim bargeldlosen Einkaufen mit der EC-Karte müssen zwei Arten der Zahlung unterschieden
werden. Eine davon ist das Electronic Cash, welches auch unter dem Namen
POS-Kassensystem (Point Of Sales) bekannt ist. Die Daten der Karte, wie Bankleitzahl
des ausstellenden Geldinstituts und Kontonummer des Karteninhabers, werden mit
einem Magnetkartenleser gelesen und mit der PIN, die der Kunde eingeben muß, online
von einem Rechner des Kreditverbandes autorisiert. Diese Art der Zahlungsweise ist allerdings
umstntten, da man durch eine Manipulation der Kassensysteme an die Kartendaten
sowie an die dazugehönge PIN gelangen kann. Eine weitere Schwachstelle ist,
daß keine Überpriifung des MM-Codes (vgl. Abschnitt 6.4.1) der Karte stattfindet. Dem
Electronic Cash steht das Lastschnftverfahren gegenüber. Für den Kunden besteht fast
kein Unterschied. Vom Magnetstreifen der Karte werden die Bankleitzahl des Geldinstituts
und die Kontonummer des Karteninhabers gelesen und auf einen Vordruck für eine
Einzugsermächtigung gedruckt, den der Kunde unterschreiben muß. Die Eingabe der
PIN ist nicht nötig, da keine online Autonsierung stattfindet. Der Kunde bestätigt mit
seiner Unterschrift auf dem Beleg, daß er mit der Abbuchung des Betrages von seinem
Konto einverstanden ist. Das Risiko der Kontodeckung liegt bei dem Geschäft, das die
Art der Zahlung akzeptiert hat. Bei dieser Zahlungsart ist es besonders wichtig, daß das
Verkaufspersonal sowohl die Echtheit der Karte, als auch die vom Magnetstreifen gelegenen
Daten mit den auf der Karte aufgedruckten vergleicht, um so einem möglichen
Betrug wirksam entgegenzutreten.
Leider tragen Fehlinformationen und so manches Geriicht über die Sicherheit und
das Risiko des bargeldlosen Zahlungssystems nicht zur Aufklärung bei. Hier sollte der
miindige Bürger genauestens über die Risiken bei der Benutzung einer EC- oder Kreditkarte
von seinem Geldinstitut aufgeklärt werden. Immerhin geht es um sein Geld.
Automatische Schranken und Kassenautomaten sind aus Parkhäusern nicht mehr wegzudenken.
Bevor man in ein Parkhaus einfahren kann, muß man eine Parkkarte ziehen.
Erst dann öffnet sich die Schranke, die Einlaß zum ersehnten Parkplatz gewährt. Diese
Parkkarten bestehen üblicherweise aus Pappe. Mittig in der Längsrichtung ist ein
Magnetstreifen aufgebracht, auf dem das Datum und die Uhrzeit des Einlasses vermerkt
und für den Kunden sichtbar, auf die Karte gedruckt wird. Vor dem Verlassen des
Parkhauses, muß die Karte in einen Kassenautomaten gesteckt werden. Dieser liest vom
Magnetstreifen die Daten des Parkbeginns und errechnet die zu zahlenden Gebühren.
Werden diese durch Einwurf von Münzen oder den Einzug eines Geldscheines gezahlt,
vermerkt der Kassenautomat das auf dem Magnetstreifen ·des Parkscheins und wirft ihn
anschließend aus. Der Kunde kann nun zur Ausfahrtschranke fahren und diese mit dem
entwerteten Parkschein öffnen. Der Parkschein wird einbehalten. Die Entsorgung der
einbehaltenen Parkscheine macht keinerlei Probleme, da es sich um Pappkarten handelt.
Der Magnetstreifen besteht im wesentlichen aus Eisenoxidteilchen, die ebenfalls gut zu
entsorgen sind. Anders ist das bei Parksystemen, die mit einer Chipkarte funktionieren.
Für Chipkarten muß aus Stabilitätsgriinden PVC oder ein anderer Kunststoff als
Trägermaterial genommen werden. Nach einer Lebensdauer von zehn- bis fünfiigtausend
Parkzyklen müssen diese Karten fachgerecht entsorgt werden. Dazu gehört, daß man
den Chip vom Trägermatenal trennt und beide Bestandteile für sich recycled.
Auf dem Markt befinden sich Parksysteme, die mit bereits vorhandenen Karten wie
z.B. EC- oder Kundenkarte arbeiten. Banken können damit ihren Kunden oder ihren
Angestellten Parkplätze zur Verfügung stellen. Da man durch die von der persönlichen
Karte gelesenen Daten die Person identifizieren kann, können so besondere
Parkberechtigungen zugeordnet werden. Die Verteilung von Parkplätzen nach Wochentagen oder
gar nach Tageszeit ist ebenfalls möglich. Ein solches System ist jedoch nicht
unumstntten, da aus den Daten auf das Verhalten, und sei es nur das Parkverhalten, des
Karteninhabers geschlossen werden kann.
Unter Abbuchungs- oder auch "Prepaid"-Karten verstehen wir Karten, die z.B. zur Nut-
zung einer im voraus bezahlten Dienstleistung berechtigen. Im folgenden werden wir
exemplansch zwei Anwendungsbereiche von Abbuchungskarten besprechen.
Kantinenkarte
In vielen Kantinen von größeren Betrieben wird an der Kasse nicht mehr mit Bargeld,
sondern mit einer Kantinenkarte, die einen Magnetstreifen besitzt, bezahlt. Jeder
Mitarbeiter des Unternehmens erhält eine solche Karte. Diese muß, bevor man mit ihr
bezahlen kann, an einem Automaten aufgefüllt werden. Dazu wird zunächst die Magnetkarte
in einen Kassenautomaten gesteckt. Danach muß der Betrag mit dem man die Karte
auffüllen möchte in Form von Geldmünzen oder -scheinen eingegeben werden. Mit
dieser Karte ausgeriistet kann man dann an der Kasse sein ausgewähltes Mittagessen
bezahlen, indem die Kassierenn den entsprechenden Betrag von der Kantinenkarte
abbucht. Damit findige Leute nicht auf die Idee kommen, die Karte am eigenen Rechner
selbcr aufzufüllen, werden HiCo-Magnetkarten (siehe Kapitel 5) verwendet.
Telefonkarte
Die Telefonkarte der Deutschen Telekom ist eine Chipkarte und hier nicht gemeint. In
anderen Ländern, z.B. in Italien und der Türkei, werden zum Telefonieren Magnetkarten
benutzt. Wie bei der Telefonkarte der Telekom kauft man bei der Italienischen S~P oder
dcr Tiirkischen PTTim voraus Telefoneinheiten, d.h man bezahlt für eine noch nicht
erbrachte Dienstleistung der Post. Möchte man telefonieren, muß man die Magnetkarte in
das Telefon stecken. Die öffentlichen Telefone sind zu diesem Zweck mit Magnetkartencodierern
ausgestattet. Das Gerät liest die auf der Karte vorhandenen Einheiten und
bucht anschließend die vertelefonierten Einheiten ab. Selbstverständlich sind die Daten
aufden Karten verschlüsselt, damit ein betriigensches Auffüllen der Telefonkarten nicht
möglich ist. Diese Telefonkarten verfügen über einige Merkmale, die es erlauben,
Kartenduplikate zu erkennen.
Abschließend sei angemerkt, daß diese Art von Telefonkarten im Vergleich zur Karte
der Deutschen Telekom, bei der ein "Auffüllen" durch eine Sicherheitslogik verhindert
wird, nicht so "sicher" sind.
Zur Erfassung von Arbeitszeiten bietet sich ein Zeiterfassungssystem an, das mit Magnetkarten
arbeitet. Jeder Mitarbeiter erhält eine eigene Karte, mit der er sich gegenüber
dem Zeiterfassungsterminal identifiziert. Wie bei einer konventionellen Stempeluhr,
werden Arbeitsbeginn und -ende protokolliert. Diese Daten werden jedoch nicht auf der
Karte, sondern im Zeiterfassungsterminal gespeichert und zur EDV der Personalabteilung
gesendet. Das umständliche Einsammeln und zeitaufwendige Auswerten der Stempelkarten
entfällt
Zudem können fürjeden Mitarbeiter unterschiedliche Arbeitszeitmodelle programmiert
werden. Durch die zentrale Auswertung der Daten kann man am Rechner auf Knopfdruck
einen übersichtlichen Jahres- und Wochenkalender fürjeden Mitarbeiter erstellen.
Es Iäßt sich auch überprüfen, wer gerade im Betrieb ist, oder welcher Mitarbeiter aus
welchem Grund gerade das Werkgelände verlassen hat.
Zutrittskontrolle
Mit der gleichen Magnetkarte, die zur Zeiterfassung eingesetzt wird, kann man eine
Zutrittskontrolle realisieren. Auf dem Markt erhältliche Türzugangskontrollsysteme bieten
die Möglichkeit, jedem Mitarbeiter eine Geheimzahl zuzuordnen. Möchte man einen
Raum betreten, muß man seine Identifikationskarte durch einen Magnetkartenleser
ziehen und anschließend seine persönliche Geheimzahl eingeben. Nur wenn die Daten der
Magnetkarten zu der eingegebenen Geheimzahl passen, öffnet sich die Tür. Sämtliche
Zugangsversuche oder auch Fehlversuche können mitprotokolliert werden. Dadurch hat
man die Möglichkeit festzustellen, wer sich berechtigt und unberechtigt Zutritt
verschaffen will. Durch die Programmierbarkeit solcher Systeme lassen sich Zugangsrechte
erteilen, die sich auf bestimmte Wochentage oder Tageszeiten beziehen. Sollte eine
Magnetkarte gestohlen werden oder verloren gehen, kann diese in Sekunden gesperrt wer-
den. Da eine Magnetkarte für 10 bis 20 Pfennig zu haben ist, entsteht kein großer
finanzieller Schaden. Ein teures Austauschen des Schließzylinders und der im Umlauf
befindlichen Schlüssel entfällt.
Solche Magnetkartensysteme gibt es auch als Zugangsberechtigungen zu Rechnern. Es
ist denkbar, daß sich der Benutzer gegenüber dem Rechner mit einer Magnetkarte
ausweisen muß. Das kann dadurch geschehen, daß das Paßwort nur über den Magnetkar
tenleser eingegeben wird. Das hat zwei entscheidende Vorteile gegenüber dem Eingeben
des Paßwortes über die Tastatur: Erstens, der Benutzer kann sein Paßwort nicht
vergessen und braucht es sich auch nicht zu notieren. Und zweitens, das Paßwort kann nicht
von einem Dritten unbemerkt "gestohlen" werden. Dieser müßte schon die Magnetkarte
stehlen, was dem Benutzer jedoch auffallen würde und eine sofortige Sperrung der
Karte zur Folge hat.