Was ist eine Postcard?

Die Postcard ist - genauso wie die ec-Karte - eine sogenannte Debit-Karte, die seit Anfang der 90'er Jahre des letzten Jahrhunderts von der PostFinance in der Schweiz herausgegeben wird. Mit der Postcard kann an allen inländischen - und den meisten ausländischen - GAAs (GeldAusgabeAutomaten) Bares vom Gelben Konto bezogen werden. In der Schweiz stehen dafür zusätzlich sogenannte Postomaten (aufgestellt von der PostFinance) als GAAs zur Verfügung. Zudem kann die Postcard an vielen POS-Kassen-Terminals genutzt werden, um direkt Waren oder Dienstleistungen zu beziehen. Alle grossen Discounter (Coop, Migro, ...) und die meisten Dienstleistungsunternehmen (SBB, Swisscom, ...) bieten ihren Kunden an, direkt an einem POS-Terminal per Postcard zu bezahlen.

Mit 2'500'000 Benutzern gehört die Postcard zu den gebräuchlicheren Debit-Karten; pro Jahr werden damit Waren, Dienstleistungen und Bargeld in Höhe von rund CHF 8'000'000'000 (acht Milliarden) in insgesamt über 750'000'000 Einzeltransaktionen umgesetzt (Eigenangabe der PostFinance, 2002).

Was ist Sicherheit?

Wenn Sie die Postcard selber für Einkäufe und Barbezug nutzen (statistisch gesehen ist das fast jede zweite in der Schweiz lebende Person), dann wird es Sie sicherlich interessieren, wie es um die Sicherheit dieser Bankkarte bestellt ist - schliesslich geht es um ihr Geld...

Als Benutzer der Postcard achten Sie natürlich darauf, dass sie die Karte nicht verlieren, den PIN nicht zuzsammen mit/auf der Postcard aufbewahren und beides nicht an jemand anderen weitergeben (Sorgfaltspflichten, Nutzungsbedingungen). Im Gegenzug erwarten Sie natürlich von der PostFinance, dass auch diese alles tut, damit die technische Sicherheit des Systems gewährleistet ist.

Die Postcard wurde im Jahr 2002 durch unabhängige Sicherheits-Experten aus Deutschland und der Schweiz aus eigenem Interesse näher untersucht. Die dabei gemachten Entdeckungen und Erfahrungen wurden schon 2002 der PostFinance mitgeteilt und sind auf den nachfolgenden Seiten näher beschrieben.

Grundsätzlich wurde festgestellt, dass die schweizerische "Postcard" im technischen Aufbau genau der französischen Bankkarte "Carte Bleue" entspricht. Die aus Sicherheitsbelangen schlechte Nachricht daran ist, dass für genau diese französische Bankkarte schon im Jahr 1998 gravierende Sicherheitsmängel nachgewiesen wurden (Text in französischer Sprache).

Die für die Sicherheitsexperten gute Nachricht daran war, dass alle Erkenntnisse aus Frankreich verwendet werden konnten, um sie auf die Analyse der schweizerischen Postcard anzuwenden. Die Erkenntnisse, die aus diesem Vorgehen gewonnen werden konnten, sind in einer Übersicht dokumentiert.