ISO-Norm sorgt für sichere PIN-Codes

Wie oft und an wie vielen Orten haben Sie heute schon Ihre Bankkarte benutzt und Ihren PIN-Code (Persönliche Identifikationsnummer) eingegeben? Zwecks Gewährleistung der Datenintegrität bei sämtlichen Transaktionen hat die ISOISO
International Organization for Standardization die entsprechende Norm mit den Anforderungen an das Management und die PIN-Sicherheit (ISOISO
International Organization for Standardization 9564-1) technisch überarbeitet und aktualisiert.

Wozu braucht man eine Internationale Norm für PIN-Management? Nehmen wir das Beispiel eines einzelnen Finanzunternehmens, nämlich Visa. Im Jahr 2007 waren Visa 20’000 Mitgliedbanken angeschlossen, die insgesamt 1,59 Mrd. Karten im Umlauf hatten, mit denen pro Jahr 59 Mrd. Transaktionen – in Spitzenzeiten über 6‘800 pro Sekunde – abgewickelt wurden. Die ISO-Norm für das PIN-Management dient dem Zweck, die für die Verifizierung der Karteninhaber verwendeten Identifikationsnummern auf der ganzen Welt vor der Entzifferung, der Kompromittierung oder dem Missbrauch durch Unberechtigte zu bewahren. Dadurch trägt sie zur Minimierung des mit dem Gebrauch elektronischer Zahlungssysteme verbundenen Betrugsrisikos bei.

Mark Sutton, der Vorsitzende des für die Erarbeitung der Norm zuständigen ISO-Unterausschusses, meint dazu: «Ein PIN-Code kann über lange Zeit und in vielen verschiedenen Ländern, an zahlreichen Geldautomaten, in Ladengeschäften und sogar online eingesetzt werden. Deswegen muss jederzeit sichergestellt sein, dass der PIN-Code geheim bleibt, ob bei Offline- oder bei Online-Verwendung. Dies gilt von der Erstellung eines PIN-Codes bis zu dessen Deaktivierung für sämtliche damit verbundenen Prozesse wie Kartenausgabe, Speichern, Buchungen, Überweisungen, Validierung usw.»

Die Norm ISOISO
International Organization for Standardization 9564-1:2011 «Bankwesen - PIN-Management und Sicherheit» (Teil 1: Grundsätze und Verfahren zum Schutz der PIN bei Online-PIN-Prüfung in ATM- und POS-Systemen) beschreibt die erforderlichen Mindestmassnahmen zur Gewährleistung der Sicherheit eines wirksamen PIN-Managements auf internationaler Ebene. Diese Massnahmen gelten für sämtliche Unternehmen, welche die Verantwortung für das Management und den Schutz der PIN-Codes bei Erstellung, Kartenausgabe, Gebrauch und Deaktivierung tragen.

Die Sicherheitsanforderungen an die Online- und die Offline-PIN-Verifizierung können sehr unterschiedlich sein. Da ein PIN-Code online kartenunabhängig verifiziert werden kann, können Transaktionen mit Zahlkarten oder Geräten jeder Art ausgelöst werden. Demgegenüber gibt es spezielle Anforderungen an die Verifizierung bei offline verwendeten Karten, insbesondere weil in einem solchen Fall der PIN-Code des Karteninhabers nicht zur Verifizierung ins Rechnersystem des Kartenemittenten übermittelt werden muss.

Dieser Teil der ISOISO
International Organization for Standardization 9564 sorgt dafür, dass die Kartenemittenten einheitlich gewährleisten können, dass auch im Rahmen der nicht unter ihrer direkten Kontrolle stehenden Prozesse mit den PIN-Codes ordnungsgemäss umgegangen wird. Die Norm beschreibt Verfahren zum Schutz des Prozesses der PIN-gestützten Kundenauthentifizierung über die gesamte Lebensdauer eines PIN-Codes

«Die aktualisierte Norm ISOISO
International Organization for Standardization 9564-1 erleichtert es den Banken und ihren Gegenparteien, die Geheimhaltung der kryptografischen Schlüssel zu wahren, was von grösster Bedeutung ist, da jeder kompromittierte Schlüssel die PIN-Sicherheit gefährden kann», erläutert Sutton.

Die ISOISO
International Organization for Standardization 9564-1 befasst sich mit dem PIN-Management zwecks Verifizierung von Karteninhabern in Geschäftsbankensystemen, insbesondere in Verbindung mit Geldautomaten, Verkaufskassen, Selbstbedienungstanksäulen, Verkaufsautomaten, Bank-Kiosken und Systemen für die PIN-Wahl/-Änderung.

Diese dritte Ausgabe der Norm ersetzt die beiden vorhergehenden Ausgaben, die technisch überarbeitet worden sind und somit entfallen. Die ISOISO
International Organization for Standardization 9564-1 wurde durch den Unterausschuss SCSC
Subcommittee 2 «Sicherheitsaspekte» der Technischen Kommission ISO/TCTC
Technical Committee 68 «Bankwesen» erarbeitet.

Quelle: ISO News and Media, 2011-05-03

Das entsprechende Schweizer Spiegelkomitee ist das INBINB
Interdisziplinärer Normenbereich/NKNK
Normen-Komitee 1068 «Bankwesen».

Ansprechpartnerin für weitere Informationen:
Edith Hugentobler, edith.hugentobler@snv.ch, +41 52 224 54 18

Bereits publizierte Normen zu diesem Thema:

Englische Publikationen

PDF-Download nach kostenloser Anmeldung unter www.mysnv.ch.