Sicherheitslücken im bargeldlosen Geldverkehr
22. Dezember 2015
Ein namhafter IT-Experte hat vor Sicherheitslücken beim Bezahlen mit deutschen Girocards gewarnt. Wegen eines Softwarefehlers könnten Betrüger PIN-Nummern stehlen, Karten-Doubletten erstellen oder Geld auf fremde Konten überweisen, sagte IT-Experte Karsten Nohl der Nachrichtenagentur Reuters. Nohl und zwei Kollegen von der Forschungseinheit Security Research Labs (SRLabs) in Berlin haben ihre Erkenntnisse nach eigenen Angaben in den vergangenen Wochen an Banken und Kartenhersteller weitergeleitet.
"Schäden und Missbrauch sind ausgeschlossen"
Die Banken, organisiert in der Deutschen Kreditwirtschaft (DK), wiesen die Darstellung zurück. In einer am Dienstag veröffentlichten Stellungnahme hieß es: "Die Deutsche Kreditwirtschaft hat diese Angriffe, die unter Laborbedingungen durchgeführt wurden, geprüft. Das Girocard-System der DK ist von diesen Angriffsszenarien nicht betroffen."
Zur Begründung verweist die DK darauf, dass das Girocard-System seit 2012 vollständig auf Chip und PIN basiere, die von den Experten vorgestellten Angriffe bezögen sich aber auf die Magnetstreifentechnik. "Missbrauch oder Schäden im Girocard-System zu Lasten von Karteninhabern sind daher ausgeschlossen."
Mit einfachen Tricks gegen veraltete Technik
Ein Rechercheverbund aus "Süddeutscher Zeitung", NDR und WDR hatte von den Ergebnissen der IT-Sicherheitsforscher berichtet. Laut SRLabs beträfe die Schwachstelle fast den gesamten Einzelhandel: EC-Karten seien mittlerweile so verbreitet wie Bargeld. Die Sicherheitsexperten kritisierten, dass große Teile dieses Bezahlsystems über Software aus den 90er Jahren laufen.
Laut Bericht des Rechercheverbunds können Kriminelle ein so genanntes POS-Terminal nutzen, also das Gerät an der Supermarkt-Kasse, an dem Kunden mit der EC-Karte bezahlen. POS-Terminals lassen sich demnach für wenige Euro im Monat mieten. Die Angreifer könnten dann das Passwort des Terminals, die Identifikationsnummer und den Verbindungsaufbau analysieren.
Mit diesen Informationen lasse sich ein Verbindungsaufbau herstellen, bei dem die Angreifer ein fremdes POS-Terminal übernehmen könnten. So seien sie in der Lage, sich Gutschriften auszustellen. Grundsätzlich sei es denkbar, sich mit dieser Masche von Terminal zu Terminal zu arbeiten - und so in großem Stil Geld abzuschöpfen.
Unzureichend abgesichert
Bei einem solchen Szenario wären nur die Händler betroffen, aber nicht die Karten-Inhaber. Lücken in der Kommunikation zwischen Karten-Terminals und Kassengeräten ließen aber auch Kartendaten bis hin zur PIN auslesen, warnte SRLabs.
Der Kern des Problems ist den Forschern zufolge, dass in den Karten-Terminals zum Teil identische Sicherheits-Schlüssel verwendet werden. Das lasse zu, dass man ein solches Gerät klonen und beim Zahlungsabwickler für das Original ausgeben könne.
Für den Hack brauche man zwar noch weitere Informationen neben der Terminal-ID, sie sind laut SRLabs aber für Kundige relativ einfach zu beschaffen. So komme man an die Service-Passwörter der Betreiber heran, die benötigt werden, um zu den Einstellungen des Terminals vorzustoßen. Das Service-Passwort lasse sich auch aus dem Gerät auslesen, erklärten die Experten dem Magazin "Zeit Online". Die dritte erforderliche Information - die voreingestellte Port-Nummer – lasse sich über einen Diagnosebefehl herausfinden, hieß es.
Empfehlungen für mehr Sicherheit
Die Experten von SRLabs hätten drei Monate lang an dem Hack gearbeitet. Ausführliche Details will SRLabs am 27. Dezember beim Kongress des Chaos Computer Clubs (CCC) in Hamburg vorstellen.
Als kurzfristige Lösung sollten die Funktionen für SIM-Aufladung und Retouren deaktiviert werden, empfahlen die Experten. Auf lange Sicht müsse jedes Terminal seinen eigenen Sicherheitsschlüssel bekommen, damit keine Kopien mehr erstellt werden könnten.
dk/sri (dpa/rtr/afp)