Kartenzahlung - EVM bei Kreditkarten und Debit-Karten
FinTech

Offline-Zahlung + Offline-PIN bei Kreditkarten inkl. Cardpeek EMV-Tutorial

Bild: Depositphotos / © LDProd

Jede Bank konfiguriert die eigenen Kreditkarten bzw. Debit-Karten anders.

Ob dabei die Offline-Zahlung erlaubt ist und die Offline-PIN unterstützt wird, das dokumentieren Banken nur selten.

Gerade für Vielreisende können Funktionen wie die Offline-Zahlung oder die Offline-PIN jedoch wichtig sein.

Um herauszufinden, wie der EMV-Chip der Kreditkarte konfiguriert ist, lohnt sich ein Blick in Online-Communities oder man liest den EMV-Chip mit der Software Cardpeek selbst aus.

Eine Einführung zu den Themen Offline-Zahlung, Offline-PIN, CVM-Listen und ein Cardpeek-Tutorial habe ich nachfolgend zusammengestellt.

Offline-Zahlung + Offline-PIN

Bedeutung Offline-Zahlung

Im normalen Einzelhandel sind die Karten-Terminals an das Banken-Netzwerk angeschlossen.

Bevor die Transaktion bewilligt wird, findet eine Prüfung bei der herausgebenden Bank statt, ob ein entsprechender Verfügungsrahmen besteht und die Transaktion durchgeführt werden kann.

Jedoch gibt es auch in der heutigen Zeit noch einige Beispiele für Karten-Terminals, die keine Netzwerkverbindung haben.

Gängige Beispiele sind: Kauf von Essen oder Getränken während eines Fluges (BYOB), Kauf einer Fahrkarte direkt im Zug beim Schaffner oder Einkauf im Bordshop (Duty Free) während eines Fluges.

In einem solchen Fall wird teilweise eine Offline-Zahlung durchgeführt.

Die Kreditkarte muss dazu jedoch die Offline-Zahlung auch erlauben.

Vielreisende meinen deshalb oftmals: Bei einer Reisekreditkarte ist es sinnvoll, dass Offline-Zahlungen freigeschaltet sind.

Bedeutung Offline-PIN

CVM-Verfahren: Offline-PIN, Online-PIN, Signature, No-CVM

CVM steht für „cardholder verification method“, also ein Verfahren zur Karteninhaberverifizierung.

Als sicherstes Verfahren für Händler-Zahlungen gilt die Eingabe vom PIN am Terminal.

Letztlich handelt es sich bei der PIN um ein stärkeres Sicherheitsmerkmal im Vergleich zur Unterschrift auf dem Zahlungsbeleg.

Die Eingabe einer PIN ist als Offline-PIN oder Online-PIN möglich.

Bei einer Offline-PIN sendet das Terminal die eingegebene PIN an die Kreditkarte bzw. Debit-Karte. Dort wird die gespeicherte PIN auf dem EMV-Chip mit der Eingabe am Terminal abgeglichen.

Der EMV-Chip antwortet lediglich mit „Bestätigung“ oder „Fehler“ an das Zahl-Terminal, weshalb die PIN nicht aus dem EMV-Chip ausgelesen werden kann.

Außerdem verfügt der EMV-Chip über Sicherheitsmaßnahmen, um das Erraten der PIN zu verhindern (sog. „brute force“-Attacke). Das kann z.B. so gelöst sein, dass der EMV-Chip sich nach der dritten Falscheingabe für weitere PIN-Eingaben sperrt.

Offline-PIN funktioniert nur mit dem EMV-Chip und nicht mittels Magstripe / Magnetstreifen.

Bei einer Online-PIN hingegen baut das Karten-Terminal eine Verbindung mit dem Server der Bank auf und verifiziert die PIN über das Netzwerk. Das funktioniert sowohl mit EMV-Chip wie auch mit Magstripe / Magnetstreifen. Letzteres ist immer noch an vielen Geldautomaten üblich.

Werden beide PIN-Verfahren nicht unterstützt, findet bei vielen CVM-Konfigrationen ein Fallback auf Unterschrift zurück, was als weniger sicheres Verfahren gilt.

Als viertes Verfahren gibt es noch No-CVM.

No-CVM war ursprünglich eher für Kleinbeträge oder z.B. unbediente Ticketautomaten (z.B. Nahverkehr oder Maut) gedacht und ist immer seltener anzutreffen.

CVM-Verfahren im Überblick
Das sind die grundlegenden CVM-Verfahren bei Zahlungen mit Kreditkarte, Debit-Karte oder Prepaid-Karte am Point-of-Sale (PoS):

  • Online-PIN: Das Terminal sendet die eingegebene PIN zum Abgleich an die Server der Banken und erhält die Antwort über das Netzwerk (Online-Verifizierung).
  • Offline-PIN: Die am Terminal eingegeben PIN wird durch den EMV-Chip mit der dort gespeicherten PIN abgeglichen (Offline-Verifizierung).
  • Signature: Das Terminal druckt einen Beleg mit Unterschriften-Feld aus, auf dem eine Unterschrift zu leisten ist.
  • No-CVM: Die Zahlung wird ohne weitere Verfahren zur Karteninhaberverifizierung durchgeführt.

Genau betrachtet, gibt es noch weitere Ausprägungen und Mischformen bei den CVM-Verfahren, die weiter unten erläutert sind.

Auswahl des CVM-Verfahrens

Ob Offline-PIN und/oder Online-PIN unterstützt werden und während des Zahlvorgangs tatsächlich angeboten werden, hängt einerseits von der Kreditkarte (CVM-Liste) und andererseits vom Karten-Terminal ab.

In Deutschland unterstützt quasi jedes Händler-Terminal Online-PIN, weshalb viele Banken Kreditkarten mit Online-PIN ausgeben.

Anders sieht es jedoch teilweise im Ausland aus. Bereits in vielen europäischen Nachbarländern wie Frankreich unterstützen Karten-Terminals vielfach nur die Offline-PIN.

Deshalb sind viele Vielreisende der Meinung: Bei Reisekreditkarten empfiehlt sich eine Kreditkarte mit Offline-PIN.

CVM hat nichts mit CVC/CVV zu tun

Bei Online-Zahlungen ist üblicherweise neben Name des Karteninhabers, Kartennummer und Ablaufdatum zusätzlich ein Sicherheitscode einzugeben.

Dabei handelt es sich um den CVC (Cardholder Verification Code) bzw. auch CVV (Cardholder Verification Value).

Dieser Code ist als meist dreistellige oder vierstellege Prüfnummer auf die Rückseite der Kreditkarte, Debit-Karte oder Prepaid-Karte meist direkt neben das Unterschriftenfeld gedruckt.

Unterschiede von CVM und CVC/CVV
Gemeinsam haben CVM und CVC/CVV, dass es sich um ein zusätzliches Sicherheitsmerkmal bei Kartenzahlungen handelt.

In der Praxis unterscheiden sich CVM und CVC/CVV jedoch grundlegend:

  • CVM: Kommt bei Kartenzahlungen, bei denen die Karte physisch vorgelegt wird, zum Einsatz (Händlerzahlungen am Point-of-Sale – PoS) – Beispiel: Einkauf im Supermarkt.
  • CVC/CVV: Ist relevant für Online-Zahlungen – Beispiel: Online-Shopping.

Grundsätzlich gelten Online-Transaktionen als risikoreicher. Daran konnte auch der CVC/CVV grundlegend nichts ändern, da er von der Karte abgeschrieben werden kann.

Deswegen sind bei Online-Zahlungen mittlerweile fortschrittlichere Sicherheitsverfahren wie Mastercard Identity Check oder Visa Secure zusätzlich zum Einsatz kommen.

Dabei handelt es sich um Verfahren zur Zwei-Faktor-Authentifizierung (2FA).

CVM-Liste mit Cardpeek auslesen

Banken schreiben eigentlich nie in die Konto-Konditionen, ob die Kreditkarte Offline-Zahlungen und/oder Offline-PIN unterstützt, obwohl dies für einige Kunden relevant sein kann.

Es gibt zwei Möglichkeiten, herauszufinden, was die eigene Kreditkarte unterstützt.

Online CVM-Datenbanken

Im deutschsprachigen gibt es das Community-Projekt EMV-Kartentest.

Teilweise sind auch weitere Foren einen Blick wert.

Die CVM-Liste für die Debit-Karte von Tomorrow, ein Smartphone-Konto mit nachhaltigem Ansatz, fand ich z.B. schon vor der Kontoeröffnung hier.

Für Kreditkarten, die von Banken im angelsächsischen Raum herausgegeben werden, lohnt sich hingegen ein Blick in die EMV CVM Database von SpotterWiki.

EMV mit SmartCard-Reader - CVM (Offline-PIN) und Service Code (Offline-Zahlung) auslesen

Cardpeek EMV-Analyse

Wer sich dafür interessiert, wie die eigene Kreditkarte eingesetzt werden kann, kann zur kostenlosen Software Cardpeek (für Windows, Linux und Mac) greifen.

Damit der EMV-Chip ausgelesen werden kann, ist noch ein SmartCard-Reader notwendig (kostet ca. 5-10,- €).

EMV-Chip per SmartCard-Reader auslesen

Kurz den Treiber installieren (i.d.R. für Windows, Linux und Mac verfügbar), den Kartenleser per USB verbinden und der SmartCard-Reader ist einsatzbereit.

Eigentlich jeder gängige SmartCard-Reader kann auch den EMV-Chip einer Kreditkarte auslesen.

Die zu untersuchende Kreditkarte wird dann einfach in den SmartCard-Reader geschoben.

EMV per Cardpeek untersuchen

Cardpeek ist ebenfalls für Windows, Linux und Mac verfügbar und kostenlos.

Als vorkonfiguriertes Script ist Cardpeek EMV verfügbar.

Das Auslesen der EMV-Daten ist damit einfach:

  1. Cardpeek starten
  2. Angeschlossenen USB-Card-Reader auswählen
  3. Im Menü Analyzer – EMV auswählen
  4. Abfrage „Issue a GET PROCESSING OPTIONS command“ bestätigen
  5. EMV-Daten analysieren

Für die Verwendung von Cardpeek EMV zur Analyse einer Reisekreditkarte sind eigentlich nur die CVM-Werte (Offline-PIN) und der Service-Code (Offline-Zahlung) interessant.

Dazu ist Ausschau CVM1, CVM2… CVMX zu halten (Offline-PIN). Außerdem ist der Service Code interessant (dreistellig, X0Y heißt Offline-Zahlung unterstützt).

Für das Cardpeek-Tutorial nutze ich eine MasterCard der ehemaligen DAB Bank (nicht mehr verfügbar / eingestellt und damit eine perfekte „Testkarte“).

CVM-Liste (Offline-PIN, Online-PIN, Signature)

Die ehemalige DAB MasterCard ist eine sogenannte signature first bzw. Unterschrift bevorzugende Kreditkarte [CVM 1 – signature (paper)].

Als optimal für eine Reisekreditkarte mit guten Sicherheitsmerkmalen gilt vielfach eine „Offline PIN first“ bzw. Offline PIN bevorzugende Kreditkarte als CVM1.

Die DAB MasterCard unterstützte jedoch Offline-PIN (passiv) als CVM4. Noch davor kommt Online-PIN als CVM3.

Ein Zahl-Terminal wird jedoch in der Regel bevorzugt bereits CVM1 ausgewählt haben und deshalb zur Unterschrift auffordern.

CVM-Liste via Cardpeek EMV-Script

Folgende CVMs sind mir bekannt:

  • Enciphered PIN verified online
    Hierbei handelt es sich um Online-PIN. Hier wird die eingegeben PIN verschlüsselt an die Bank-Server gesendet. Die Verifizierung der PIN findet demnach online statt.
  • Enciphered PIN verification performed by ICC
    Hierbei handelt es sich um Offline-PIN. ICC steht für „integrated circuit chip“. Hier wird die PIN also vom Terminal an den EMV-Chip gesendet. Dies geschieht „enciphered“, also verschlüsselt.
  • Enciphered PIN verification performed by ICC and signature (paper)
    Wie oben, jedoch muss zusätzlich zur PIN-Eingabe unterschrieben werden.
  • Plaintext PIN verification performed by ICC
    Hierbei handelt es sich um Offline-PIN. Der ICC („integrated circuit chip“, also EMV-Chip) überprüft die eingegebene PIN. Die geschieht als „plaintext“, also unverschlüsselt.
  • Plaintext PIN verification performed by ICC and signature (paper)
    Wie oben, jedoch muss zusätzlich zur PIN-Eingabe unterschrieben werden.
  • Signature (paper)
    Hier wird der Beleg ausgedruckt und muss unterschrieben werden.
  • No CVM Required
    Die Zahlung wird ohne „Cardholder Verification Method“ (CVM), also ohne PIN oder Unterschrift, autorisiert.

Üblicherweise steht nach einer CVM „If the terminal supports the CVM“.

Das ist die Anweisung für das Terminal, zur nächsten CVM zu springen, wenn diese nicht unterstützt wird.

Teilweise steht hinter der ersten CVM „If unattended cash“. Damit ist ein Geldautomat (ATM) gemeint. Ein Terminal im Handel würde dann gleich zur nächsten CVM springen.

Service-Code (Offline-Zahlungen)

Die MasterCard der ehemaligen DAB zeigt einen Service Code 201.

Dies bedeutet, das Offline-Zahlungen möglich sind.

Entscheidend ist die zweite Stelle im Service Code. Die zweite Stelle steht hier entweder für:

  • 0 entspricht Transactions are authorized following the normal rules.
  • 2 entspricht Transactions are authorized by issuer and should be online.
  • 3 entspricht Transactions are authorized by issuer and should be online, except under bilateral agreement.

Im Falle der im Cardpeek-Tutorial untersuchten MasterCard ist eine Offline-Zahlung also ohne weitere Einschränkungen möglich.

Offline-Zahlung / Offline-PIN bei Kreditkarten ermitteln

Banken stellen Kunden bei Kontoeröffnung meist keine Informationen bereit, wie die Kreditkarte mit Blick auf Offline-Zahlung und Offline-PIN konfiguriert ist. Mir ist jedenfalls keine Bank bekannt, die dies öffentlich täte.

Für die Mehrzahl der Kunden mag dies auch komplett irrelevant sein.

Wer jedoch eine Reisekreditkarte sucht, die häufig im Ausland eingesetzt wird, ist an einer bestimmten CVM-Liste (z.B. Offline-PIN; ggf. als CVM1) unter Umständen interessiert.

Ebenfalls sinnvoll kann die Freischaltung für die Offline-Zahlung sein.

Gerade mit dem Trend der Billigflieger (LCC), bei denen Getränke, Speisen und weitere Service über den Wolken per Kreditkarte gekauft werden, gibt es einen gängigen Anwendungsfall für die Offline-Zahlung mit einer Reisekreditkarte.

Wer interessiert ist, wie sich die Kreditkarte verhält, kann auf einen Community-Beitrag in einer EMV-Datenbank zurückgreifen oder mittels SmartCard-Reader und Cardpeek selbst den EMV-Chip analysieren.

Wie Cardpeek funktioniert, habe ich hier mit einem kurzen Cardpeek-Tutorial gezeigt.

Patrick Woessner

Ich bin Patrick und hier blogge ich zu verschiedenen Themen rund um Technik, Gadgets und mehr. Früher hatte ich gleich mehrere Blogs zu diesem Thema. Mittlerweile steht Tech Junkies im Mittelpunkt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich stimme zu, dass meine Angaben und Daten zur Veröffentlichung des Kommentars gemäß Datenschutzerklärung elektronisch erhoben und gespeichert werden.