Offline-Zahlung + Offline-PIN bei Kreditkarten inkl. Cardpeek EMV-Tutorial

Offline-Zahlung / Offline-PIN und mehr CVM mit CardPeek-Tutorial

Jede Bank konfiguriert die herausgegebene Kreditkarte ein wenig anders. Ob Offline-Zahlung und Offline-PIN unterstützt werden, das dokumentieren Banken nur selten.

Gerade für Vielreisende können Funktionen wie die Offline-Zahlung oder die Offline-PIN jedoch wichtig sein.

Um herauszufinden, wie der EMV-Chip der Kreditkarte konfiguriert ist, lohnt sich ein Blick in Online-Communities oder man liest den EMV-Chip mit der Software Cardpeek selbst aus.

Eine Einführung in Offline-Zahlung, Offline-PIN, CMV-Listen und ein Cardpeek-Tutorial finden sich nachfolgend.

Offline-Zahlung + Offline-PIN

Bedeutung Offline-Zahlung

Im normalen Einzelhandel sind die Karten-Terminals an das Banken-Netzwerk angeschlossen.

Bevor die Transaktion bewilligt wird, findet eine Prüfung bei der herausgebenden Bank statt, ob ein entsprechender Verfügungsrahmen besteht und die Transaktion durchgeführt werden kann.

Jedoch gibt es auch in der heutigen Zeit noch einige Beispiele für Karten-Terminals, die keine Netzwerkverbindung haben.

Gängige Beispiele sind: Kauf von Essen oder Getränken während eines Fluges (BYOB), Kauf einer Fahrkarte direkt im Zug beim Schaffner oder Einkauf im Bordshop (Duty Free) während eines Fluges.

In einem solchen Fall wird eine Offline-Zahlung durchgeführt.

Die Kreditkarte muss dazu jedoch die Offline-Zahlung auch unterstützen. Vielreisende meinen deshalb oftmals: Bei einer Reisekreditkarte ist es sinnvoll, dass Offline-Zahlungen freigeschaltet sind.

Bedeutung Offline-PIN

CVM-Verfahren: Offline-PIN, Online-PIN, Signature, No-CVM

CVM steht für „cardholder verification method“, also ein Verfahren zur Karteninhaberverifizierung.

Als sicherstes Verfahren für Händler-Zahlungen gilt die Eingabe vom PIN am Terminal. Letztlich handelt es sich dabei um stärkeres Sicherheitsmerkmal im Vergleich zur Unterschrift auf dem Zahlungsbeleg.

Die Eingabe einer PIN ist als Offline-PIN oder Online-PIN möglich.

Bei einer Offline-PIN sende das Terminal die eingegebene PIN an die Kreditkarte bzw. Debit-Karte. Dort wird die gespeicherte PIN auf dem EMV-Chip mit der Eingabe am Terminal abgeglichen.

Der EMV-Chip antwortet lediglich mit „Bestätigung“ oder „Fehler“ an das Zahl-Terminal, weshalb die PIN nicht aus dem EMV-Chip ausgelesen werden kann.

Offline-PIN funktioniert nur mit dem EMV-Chip und nicht mittels Magstripe / Magnetstreifen.

Bei einer Online-PIN hingegen baut das Karten-Terminal eine Verbindung mit dem Server der Bank auf und verifiziert die PIN über das Netzwerk. Das funktioniert sowohl mit EMV-Chip wie auch mit Magstripe / Magnetstreifen. Letzteres ist immer noch an vielen Geldautomaten üblich.

Werden beide PIN-Verfahren nicht unterstützt, findet in der Regel ein Fallback auf Unterschrift zurück, was als weniger sicheres Verfahren gilt.

Als viertes Verfahren gibt es noch No-CVM. Dieses war ursprünglich eher für Kleinbeträge oder z.B. unbediente Ticketautomaten (z.B. Nahverkehr oder Maut) gedacht und ist immer seltener anzutreffen.

Auswahl des CVM-Verfahrens

Ob Offline-PIN und/oder Online-PIN unterstützt werden und während des Zahlvorgangs tatsächlich angeboten werden, hängt einerseits von der Kreditkarte (CVM-Liste) und andererseits vom Karten-Terminal ab.

In Deutschland unterstützt quasi jedes Händler-Terminal Online-PIN, weshalb viele Banken Kreditkarten mit Online-PIN ausgeben.

Anders sieht es jedoch teilweise im Ausland aus. Bereits in vielen europäischen Nachbarländern wie Frankreich unterstützen Karten-Terminals vielfach nur die Offline-PIN.

Deshalb sind viele Vielreisende der Meinung: Bei Reisekreditkarten empfiehlt sich eine Kreditkarte mit Offline-PIN.

CMV-Liste mit Cardpeek auslesen

Banken schreiben eigentlich nie in die Konto-Konditionen, ob die Kreditkarte Offline-Zahlungen und/oder Offline-PIN unterstützt, obwohl dies für einige Kunden wichtig sein kann.

Es gibt zwei Möglichkeiten, herauszufinden, was die eigene Kreditkarte unterstützt.

Online CVM-Datenbanken

Im deutschsprachigen gibt es das Community-Projekt EMV-Kartentest.

Für angelsächsische Kreditkarten lohnt sich ein Blick in die EMV CVM Database von SpotterWiki.

EMV mit SmartCard-Reader - CVM (Offline-PIN) und Service Code (Offline-Zahlung) auslesen

Cardpeek EMV-Analyse

Wer sich dafür interessiert, wie die eigene Kreditkarte eingesetzt werden kann, kann zur kostenlosen Software Cardpeek (für Windows, Linux und Mac) greifen.

Damit der EMV-Chip ausgelesen werden kann, ist noch ein SmartCard-Reader notwendig (kostet ca. 5-10,- €).

EMV-Chip per SmartCard-Reader auslesen

Kurz den Treiber installieren (i.d.R. für Windows, Linux und Mac verfügbar), den Kartenleser per USB verbinden und der SmartCard-Reader ist einsatzbereit.

Eigentlich jeder gängige SmartCard-Reader kann auch den EMV-Chip einer Kreditkarte auslesen.

Die zu untersuchende Kreditkarte wird dann einfach in den SmartCard-Reader geschoben.

EMV per Cardpeek untersuchen

Cardpeek ist ebenfalls für Windows, Linux und Mac verfügbar und kostenlos.

Als vorkonfiguriertes Script ist Cardpeek EMV verfügbar.

Das Auslesen der EMV-Daten ist damit einfach:

  1. Cardpeek starten
  2. Angeschlossenen USB-Card-Reader auswählen
  3. Im Menü Analyzer – EMV auswählen
  4. Abfrage „Issue a GET PROCESSING OPTIONS command“ bestätigen
  5. EMV-Daten analysieren

Für die Verwendung von Cardpeek EMV zur Analyse einer Reisekreditkarte sind eigentlich nur die CVM-Werte (Offline-PIN) und der Service-Code (Offline-Zahlung) interessant.

Dazu ist Ausschau CVM1, CVM2… CVMX zu halten (Offline-PIN). Außerdem ist der Service Code interessant (dreistellig, X0Y heißt Offline-Zahlung unterstützt).

Für das Cardpeek-Tutorial nutze ich eine MasterCard der ehemaligen DAB Bank (nicht mehr verfügbar / eingestellt und damit eine perfekte „Testkarte“).

CVM-Liste (Offline-PIN, Online-PIN, Signature)

Die ehemalige DAB MasterCard ist eine sogenannte signature first bzw. Unterschrift bevorzugende Kreditkarte [CVM 1 – signature (paper)].

Als optimal für eine Reisekreditkarte mit guten Sicherheitsmerkmalen gilt vielfach eine „Offline PIN first“ bzw. Offline PIN bevorzugende Kreditkarte als CVM1.

Die DAB MasterCard unterstützte jedoch Offline-PIN (passiv) als CVM4. Noch davor kommt Online-PIN als CVM3.

Ein Zahl-Terminal wird jedoch in der Regel bevorzugt bereits CVM1 ausgewählt haben und deshalb zur Unterschrift auffordern.

CVM-Liste via Cardpeek EMV-Script

Folgende CVMs sind mir bekannt:

Hierbei handelt es sich um Online-PIN.

Hier wird die eingegeben PIN verschlüsselt an die Bank-Server gesendet.

Die Verifizierung der PIN findet demnach online statt.

Hierbei handelt es sich um Offline-PIN.

ICC steht für „integrated circuit chip“. Hier wird die PIN also vom Terminal an den EMV-Chip gesendet.

Dies geschieht „enciphered“, also verschlüsselt.

Wie oben, jedoch muss zusätzlich zur PIN-Eingabe unterschrieben werden.

Hierbei handelt es sich um Offline-PIN.

Der ICC („integrated circuit chip“, also EMV-Chip) überprüft die eingegebene PIN.

Die geschieht als „plaintext“, also unverschlüsselt.

Wie oben, jedoch muss zusätzlich zur PIN-Eingabe unterschrieben werden.

Hier wird der Beleg ausgedruckt und muss unterschrieben werden.

Die Zahlung wird ohne „Cardholder Verification Method“ (CVM), also ohne PIN oder Unterschrift, autorisiert.

Üblicherweise steht nach einer CVM „If the terminal supports the CVM“.

Das ist die Anweisung für das Terminal, zur nächsten CVM zu springen, wenn diese nicht unterstützt wird.

Teilweise steht hinter der ersten CVM „If unattended cash“. Damit ist ein Geldautomat (ATM) gemeint. Ein  Terminal im Handel würde dann gleich zur nächsten CVM springen.

Service-Code (Offline-Zahlungen)

Die MasterCard der ehemaligen DAB zeigt einen Service Code 201.

Dies bedeutet, das Offline-Zahlungen möglich sind.

Entscheidend ist die zweite Stelle im Service Code. Die zweite Stelle steht hier entweder für:

  • 0 entspricht Transactions are authorized following the normal rules.
  • 2 entspricht Transactions are authorized by issuer and should be online.
  • 3 entspricht Transactions are authorized by issuer and should be online, except under bilateral agreement.

Im Falle der im Cardpeek-Tutorial untersuchten MasterCard ist eine Offline-Zahlung also ohne weitere Einschränkungen möglich.

Offline-Zahlung / Offline-PIN bei Kreditkarten ermitteln

Banken stellen Kunden bei Kontoeröffnung meist keine Informationen bereit, wie die Kreditkarte mit Blick auf Offline-Zahlung und Offline-PIN konfiguriert ist. Mir ist jedenfalls keine Bank bekannt, die dies öffentlich täte.

Für die Mehrzahl der Kunden mag dies auch komplett irrelevant sein.

Wer jedoch eine Reisekreditkarte sucht, die häufig im Ausland eingesetzt wird, ist an einer bestimmten CVM-Liste (z.B. Offline-PIN; ggf. als CVM1) unter Umständen interessiert.

Ebenfalls sinnvoll kann die Freischaltung für die Offline-Zahlung sein.

Gerade mit dem Trend der Billigflieger (LCC), bei denen Getränke, Speisen und weitere Service über den Wolken per Kreditkarte gekauft werden, gibt es einen gängigen Anwendungsfall für die Offline-Zahlung mit einer Reisekreditkarte.

Wer interessiert ist, wie sich die Kreditkarte verhält, kann auf einen Community-Beitrag in einer EMV-Datenbank zurückgreifen oder mittels SmartCard-Reader und Cardpeek selbst den EMV-Chip analysieren.

Wie Cardpeek funktioniert, kann anhand des Cardpeek-Tutorials nachvollzogen werden.

Über Patrick

Hallo, ich bin Patrick. Viele Länder habe ich bereits bereist. Hier gebe ich Tipps zum Leben im Ausland und einen Überblick darüber, welche Lebenshaltungskosten in Ländern weltweit vorherrschen. Das soll Auswanderern und Globetrotter-Reisenden bei der Planung von Auslandsaufenthalten helfen.

2 Kommentare zu “Offline-Zahlung + Offline-PIN bei Kreditkarten inkl. Cardpeek EMV-Tutorial

    1. Hallo Alex,

      das sollte gehen. Aus der CardPeek-Beschreibung:

      As of version 0.8.2, this tool is capable of reading the contents of the following types of cards:

      EMV „chip and PIN“ bank cards, including:
      VISA, MasterCard, CB and UK Post Office Account contact cards;
      PayWave (VISA) and PayPass (MasterCard) contactless cards;

      Ich habe einen SmartCard-Reader ohne NFC-Funktion und kann deshalb nicht sagen, ob es in der Praxis auch funktioniert.

      Es gibt m.W. auch ein paar Android-Apps, die über NFC Daten auslesen können. CardPeek ist relativ bekannt in der Community – ich persönlich würde eine beliebige App aus dem PlayStore (oder noch schlimmer aus APK-Quellen) maximal auf eine alte, abgelaufene Karte loslassen bzw. es ganz lassen. Zu den Daten, die ausgelesen werden können, gehören schließlich nicht nur die CVM-Listen, um die es hier geht, sondern immerhin auch Kartennummer und Ablaufdatum…

      Viele Grüße,
      Patrick

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht.Pflichtfelder sind markiert *

Ich stimme zu, dass meine Angaben und Daten zur Veröffentlichung des Kommentars gemäß Datenschutzerklärung elektronisch erhoben und gespeichert werden.

ExpatLife.de - Auswandern, Leben im Ausland und mehr