Die technischen Hintergründe der hier geschilderten Phänomene sind leider recht komplex. Ich kann daher jetzt nur versuchen, so allgemeinverständlich wie möglich dazu auszuführen.
Das Grundproblem ist die sogenannte CVM-Konfiguration Eurer Kreditkarten (CVM steht hierbei für "cardholder verification method"). Bei der Ausstellung einer Kreditkarte legt der Herausgeber fest, welche CVM für die Karte zugelassen sind und in welcher Reihenfolge diese zur Anwendung gelangen sollen. Diese Festlegung wird in Form einer priorisierten Liste auf der Karte hinterlegt.
Nun gibt es im EMV-Standard nicht nur eine, sondern insgesamt drei PIN-basierte CVM. Diese sind:
- enciphered PIN verified online
- plaintext PIN verified by ICC
- enciphered PIN verified by ICC
Bei Variante 1 wird die PIN durch das Terminal verschlüsselt und das Kryptogramm zur Validierung per Onlineabfrage an den Kartenherausgeber geschickt. Dies ist die klassische Geldautomaten-CVM, sie funktioniert auch mit (altertümlichen/US-amerikanischen) reinen Magnetstreifenkarten, da bei der PIN-Validierung keine aktive Mitwirkung der Karte erforderlich ist.
Bei Variante 2 wird die PIN im Klartext an den Chip übermittelt und mit einem dort hinterlegten sogenannten "witness image" abgeglichen. Dieses Verfahren wird mitunter auch Offline-PIN genannt, da die PIN-Validierung eben lokal und nicht online erfolgt. (Obacht: das heißt selbstverständlich nicht, dass die gesamte Transaktion offline abgewickelt wird - nach erfolgreicher lokaler PIN-Validierung kann eine ganz normale Authorisierungsanfrage an den Herausgeber geschickt werden, was i.d.R. auch geschieht!)
Variante 3 ist eine sehr aufwendige CVM. Das PINpad muss die eingegebene PIN verschlüsseln und an den Chip auf der Karte übermitteln, der wiederum in der Lage sein muss, das Kryptogramm zu entschlüsseln, um es mit dem hinterlegten PIN witness image abzugleichen. Diese CVM gelangt praktisch nur relativ selten zum Einsatz.
Nun ist es leider auch so, dass nicht jeder POS jede CVM unterstützt. Vereinfacht ausgedrückt: Karte und Terminal müssen sich bei einer Transaktion darauf einigen, welche CVM zur Anwendung gelangen soll. Das läuft so ab, dass die Karte dem Terminal zunächst die CVM vorschlägt, die mit der höchsten Priorität konfiguriert ist. Wenn das Terminal damit nicht einverstanden ist, weil es diese CVM z.B. technisch nicht unterstützt, schlägt die Karte die CVM mit der zweiten Priorität vor usw. -> entweder einigt man sich irgendwann oder im schlimmsten Fall eben auch nicht, dann kann keine (zumindest keine EMV-) Transaktion stattfinden.
Es tut mir leid, aber diese sehr technischen Vorbemerkungen waren erforderlich, um die geschilderten Phänomene verstehen zu können.
In bestimmten Ländern, namentlich in Großbritannien und Frankreich, gelangt am POS mit überwältigender Mehrheit die CVM "plaintext PIN verified by ICC" zum Einsatz. In anderen Ländern, beispielsweise Deutschland und Skandinavien (sowie offensichtlich - nach den Berichten in diesem Thread - die Niederlande) neigt man eher zu "enciphered PIN verified online", zumindest aber wird diese CVM dort von den meisten Terminals unterstützt.
Wenn nun eine bestimmte Karte z.B. in Deutschland praktisch immer per PIN authentifiziert, heißt das zunächst einmal lediglich, dass
irgendeine der drei PIN-basierten CVM mit höchster Priorität versehen ist. Bei der hier diskutierten Karte scheint das (leider) "enciphered PIN verified online" zu sein. Problem: POS in Großbritannien beherrschen diese CVM i.d.R. nicht, da dort "plaintext PIN verified by ICC" üblich ist.
Die von der Karte vorgeschlagene CVM wird also vom Terminal abgelehnt, die Karte muss die nächste CVM anbieten und das scheint bei dieser Karte leider "signature" zu sein.
"plaintext PIN verified by ICC" ist für diese Karte
entweder überhaupt nicht zugelassen
oder mit einer niedrigeren Priorität als "signature" hinterlegt, so dass sich Karte und Terminal bereits auf "signature" einigen, bevor die Karte "plaintext PIN verified by ICC" überhaupt anbieten konnte.
Wenn alle Beteiligten, namentlich das Kassenpersonal, wissen, was sie tun, sollten keine Akzeptanzprobleme auftreten. Aber ich kenne das selber sehr gut: in GB oder F unterschreiben zu müssen, führt nicht selten zu Irritationen oder handfestem Misstrauen. Fazit: eine zeitgemäße Kreditkarte muss
alle drei PIN-basierten CVM mit höherer Priorität als die CVM "signature" anbieten.
Wer von Euch einen Chipkartenleser besitzt, kann mit der Freeware
Cardpeek die CVM-Konfiguration seiner Kreditkarten auslesen. Ist nicht uninteressant.
Jetzt bitte ich nochmal um Verzeihung für diesen langen und sehr technischen Beitrag. Aber viel kompakter kann man die Problematik leider nicht darstellen.
