IT-Experten warnen: Kriminelle Hacker könnten durch eine Sicherheitslücke im Bezahlsystem mit EC-Karten Gelder von Händlern erbeuten. Ein Team aus WDR, NDR und Süddeutscher Zeitung deckten den Skandal auf.
Die Schwachstellen in den Bezahlprotokollen würden fast alle Bezahlterminals in Deutschland und somit alle Einzelhändler, Hotelbetreiber und Tankstellen betreffen, erklärte der Berliner Sicherheitsexperte Karsten Nohl. Der Chef vom Security Research Labs in Berlin hat mit seinem Team die Sicherheitslücke aufgedeckt.
Dazu liehen die IT-Experten sich ein EC-Kartenterminal aus. So wie es die Händler für wenige Euro im Monat auch machen. Sie programmierten das Gerät so, als würde es in einem Geschäft stehen, das attackiert werden soll.
Das dafür nötige Service-Passwort des Netzbetreibers, das eigentlich nur die Techniker besitzen sollten, fanden sie im Internet. Die ebenfalls benötigte Terminal-ID des Gerätes steht auf jedem Kassenbon, den der Kunde erhält. Noch ein paar kleine Zahlentricks und schon kann der Hacker-Angriff losgehen.
Anstatt nun in dem simulierten Geschäft einzukaufen und zu bezahlen, druckten die IT-Experten Gutscheine aus. Eine Funktion, die bei Warenrückgabe dazu gedacht ist, den Kaufpreis zu erstatten. Im Test funktionierte es, ohne das eingekauft worden ist. Der Wert der Gutscheine wird dem Betreiber des „echten“ Terminals abgebucht.
Die Deutsche Kreditwirtschaft (DK) findet den Angriff auf das Girocard-Bezahlsystem nicht realistisch, da er unter Laborbedingungen erfolgte.
In einer Stellungnahme heißt es: "Das girocard-System der DK ist von diesen Angriffsszenarien nicht betroffen. Das girocard-System basiert seit 2012 vollständig auf Chip und PIN. Die von Berliner Security Research Labs vorgestellten Angriffe erfolgen auf die Magnetstreifentechnik und sind nicht auf Chipkarten übertragbar. Missbrauch oder Schäden im girocard-System zu Lasten von Karteninhabern sind daher ausgeschlossen."
Auch wenn Kunden nicht betroffen sind, so könnte es die Händler aktuell stark verunsichern. Dabei wäre nach Angaben von Security Research Labs ein Schutz ganz einfach. Mithilfe der IP-Adresse könne der Händler grundsätzlich überprüfen, ob sich ein zweites Gerät einwähle und sich als EC-Terminal ausgebe.
Foto: © Gordon Bussiek/Fotolia
