Hintergrund

Erklärungen zu gängigen Begriffen sind ausgelagert und finden Sie hier.

Wann zahle ich mit Unterschrift und wann mit PIN?
Die folgenden Ausführungen beziehen sich auf Kreditkarten sowie auf Debitkarten der Systeme Visa Debit und Debit MasterCard, nicht aber auf Debitkarten der Systeme girocard, Maestro und V Pay, wo andere Regeln gelten.

Chipkarten führen eine Rangliste unterstützter Identifikationsmethoden (CVM – Cardholder Verification Methods) mit sich. Zu diesen können unter anderem Online-Überprüfung der PIN zwischen Terminal und Bank, Offline-Überprüfung der PIN zwischen Terminal und Karte, Unterschrift, und keine Identifikation gehören. Antwortet Ihr Bankberater auf die Frage, ob die Karte an Kassen PIN oder Unterschrift bevorzugt, mit „die Karte kann beides“, ist dies eine unzutreffende Aussage. Karte und Gerät stimmen sich miteinander ab.

Viele deutsche Karten unterstützen kein Offline-PIN, welches aber in Großbritannien, Irland, Schweden oder Finnland von der dortigen Kassenlandschaft fast vorausgesetzt wird. Peinliche Szenen an SB-Kassen, bei denen Personal für den Unterschriftenabgleich gerufen werden muss, oder glatte Zurückweisung an Verkaufsautomaten sind die Folgen. Absurd wird es, wenn die Karte im deutschen Inland und wenigen Online-PIN-Nachbarländern (wie Dänemark oder Polen) beim Zahlen immer die PIN verlangt, im Rest der Welt aber auf die unsichere Unterschrift zurückgreift – und doch ist dies der Fall bei den Karten von comdirect, Consorsbank und (bis Oktober 2015) Number26.

Wie ist es an Geldautomaten?
Geldautomaten akzeptieren weltweit (mit wenigen Ausnahmen) nur das Online-PIN-Verfahren. Weder Offline-PIN noch keine Identifikation werden unterstützt.

Sind Online-PIN und Offline-PIN zwei verschiedene Codes?
Theoretisch ist dies möglich, allerdings werden sich im Regelfall Online-PIN und Offline-PIN gleichen.

Es ist jedoch denkbar, dass eine PIN-Änderung zwar online, aber noch nicht auf dem Chip der Karte nachvollzogen wurde. Dies ist beispielsweise bei der Revolut Prepaid MasterCard denkbar, wo die PIN in der mobilen App geändert werden kann. Zur Sicherheit sollte eine Karte nach jeder im Onlinebanking erfolgten PIN-Änderung zuerst an einem Geldautomaten eingesetzt werden – eine Kontostandsabfrage genügt ggf. nicht – damit der Chip auf der Karte die Änderung mitgeteilt bekommt.

Wie wird eine Offline-PIN geändert?
Anders als eine Online-PIN residiert eine Offline-PIN direkt im Chip der Karte.

Insbesondere in Ländern, in denen Offline-PIN als Kartenfunktionalität Tradition hat, z.B. Großbritannien, Irland, Polen, Tschechien, der Schweiz, Österreich (BAWAGPSK), Rumänien oder Griechenland, bieten Geldautomaten oft branchenweit und bankübergreifend „PIN Services“ (d.h. „Reciprocal PIN Services“) an. Hierzulande ist die PIN jeweils nur, und nur sofern die Bank es unterstützt, am Automaten der ausstellenden Bank änderbar.

Unterstützt eine Karte mit Offline-PIN-Funktion die PIN-Änderung im Onlinebanking statt am Geldautomaten, wird ein sogenanntes Issuer Script hinterlegt, mit dem die PIN-Änderung dem Chip auf der Karte bekanntgemacht wird. Daher sollte die Karte nach jeder im Onlinebanking erfolgten PIN-Änderung sicherheitshalber zuerst an einem Geldautomaten eingesetzt werden – eine Kontostandsabfrage genügt ggf. nicht – damit die PIN-Änderung auch auf dem Chip nachvollzogen wird.

Warum meiden die deutschen Banken Offline-PIN?
Pauschal von „den deutschen Banken“ kann man nicht sprechen. Die Deutsche Kreditbank (DKB), immerhin auf Platz 2 nach der bekannten ING-DiBa, stellt bereits seit Jahren Visa-Karten aus, die Offline-PIN beherrschen und PIN bevorzugen.

Leider zeigen einige andere Banken wenig Interesse daran, ihren vielreisenden Kunden entgegenzukommen, da die Karte in Deutschland ja funktioniere. Nutzen Sie Ihr Wissen und wechseln Sie die Bank. Wählen Sie eine der reisetauglichen Karten.

Gerüchteweise soll der Dienstleister Atos Worldline keine Kreditkarten mit Offline-PIN ausstellen können. Die Landesbank Berlin/Berliner Sparkasse, Santander Consumer Bank, ING-DiBa, comdirect und Consorsbank arbeiten mit Atos zusammen. Hingegen nutzte die DAB Bank, deren Karte Offline-PIN unterstützte, genauso wie die ehemalige Muttergesellschaft die Issuing-Processing-Dienstleistungen von First Data (ex-Euro Kartensysteme/GZS). Die DKB arbeitet mit Bayern Card Services zusammen, viele andere Sparkassen sowie Wüstenrot mit PLUSCARD. Auf das Issuing Processing der VR-Banken setzen auch die MLP und Privatbank 1891.

Das Issuing Processing der girocard/Maestro oder girocard/V PAY wird von den Atos-verwendenden Instituten von anderen Dienstleistern eingekauft (ING-DiBa: First Data, comdirect und Consorsbank: Bank-Verlag).

Warum meiden die ausländischen Acquirer Online-PIN?
Dies hat größtenteils historische Gründe, da Datenverbindungen insbesondere bei mobilen Anwendungen wie Fahrkartenautomaten in Zügen teuer waren. Üblicherweise wurden kleinere Umsätze offline zwischengespeichert und nur mit dem gelegentlichen Kassenschnitt abgeglichen. So wurde es auch nötig, offlinefähige Karten (Visa Debit, Switch/Maestro) von nicht offlinefähigen Karten (Visa Electron, Solo) abzugrenzen. Diese Unterscheidung ist mittlerweile irrelevant geworden.

Welche Länder sind klassische Offline-PIN-Länder?
Hierzu gehören unter anderem Belgien, Estland, Frankreich, Finnland, Irland, Niederlande, Norwegen, Slowakei, Schweden, Großbritannien, Malaysia, Kanada und Brasilien. (Quelle)

Ein Muster ist ersichtlich. Insbesondere Länder, die frühzeitig auf die Chip-und-PIN-Technologie migriert sind, wie Frankreich und Großbritannien, sind Offline-PIN-Länder.

Welche Länder sind Online-PIN-Länder?
Hierzu gehören unter anderem Australien, Brasilien, Chile, China, Dänemark, Deutschland, Griechenland, Italien, Indien, Indonesien, Israel, Japan, Katar, Kolumbien, Kuwait, Mexiko, Neuseeland, Österreich, Peru, Polen (seit Anfang 2015), Russland, Saudi-Arabien, Südafrika, Südkorea, Spanien, Schweiz, Thailand, Tschechien, Türkei, Ungarn, die Vereinigten Arabischen Emirate, die Vereinigten Staaten von Amerika sowie Vietnam. (Quelle 1, Quelle 2)

Was ist der Unterschied zwischen Debitkarte und Kreditkarte?
Es gibt verschiedene Definitionen, u.a. nach Zahlungssystem, Logo, BIN oder gesetzgeberischer Einteilung.
Die Kartentypen können auch zwischenzeitlich wechseln bzw. reklassifiziert werden, auch wenn dies selten ist (Beispiel: Die Reklassifizierung der Visa Electron der Co-Operative Bank (BIN 450875) in Visa Debit in UK, 2010, oder die Reklassifizierung der Visa Debit der comdirect (BIN 426354) in Visa Credit, 2012).

Cardpeek verrät mir UCOL und LCOL nicht. Was soll ich machen?
Es ist nur bei bestimmten Mastercards (nicht Visa, nicht Amex) auslesbar. Man verwende die folgenden Befehle in der Kommandozeile, um die entsprechenden Werte zu bestimmen:

-- Mastercard aufrufen
card.select("#A0000000041010")
-- LCOL Limit
card.get_data(0x9F14)
-- UCOL Limit
card.get_data(0x9F23)
-- LCOL Amount
card.get_data(0x00CA)
-- UCOL Amount
card.get_data(0x00CB)