Die scheinbar sichere EC-Kartenzahlung in Deutschland soll eine gravierende Sicherheitslücke haben. Dies hat eine Gruppe von Sicherheitsforschern herausgefunden, die seit einigen Tagen Alarm schlagen. Auf gleich zwei unterschiedlichen Wegen soll das zur Zeit genutzte System angreifbar und damit nicht wirklich sicher sein. Die gefundenen Lücken bedrohen dabei sowohl Kunden aus auch Ladeninhaber, die eine EC-Kartenzahlung anbieten.
Problem mit Terminal-ID bei der EC-Kartenzahlung
Im Mittelpunkt der gefundenen Sicherheitslücke steht die Terminal-ID eines Kartenterminals. Diese sorgt dafür, dass sich jeder Terminal im Bezahlsystem richtig ausweist, sodass die Beträge den jeweiligen Unternehmen richtig zugeordnet werden können. Die ID-Daten sind in vielen Fällen offen einsehbar, da sie direkt auf den Kundenbeleg gedruckt werden. Ein EC-Kartenterminal lässt sich allerdings sehr einfach resetten, wonach der Nutzer die Terminal-ID neu eingeben muss. Nutzt ein Betrüger dann die Daten eines bestehenden Unternehmens, ist er in der Lage, Gutschriften auf ein beliebiges Konto auszulösen.
Vereinfacht wird die Sache zudem dadurch, dass es sehr einfach ist, sich einen EC-Kartenterminal auszuleihen. Mit vergleichsweise niedrigen Summen kann heute jeder Händler ein solches Gerät mieten und es im eigenen Laden einsetzen. Für kriminelle Betrüger besteht damit nur eine sehr geringe Hürde.
>> EC Karte verloren: Ersatz muss kostenlos sein
[sc name=“adsense_InText_ad“]
Per Netzzugang Daten erbeuten
Während das Problem mit der Terminal-ID vor allem für Geschäftsinhaber eine Gefahr darstellt, ist ein Hack des ZVT-Protokoll in EC-Zahlungsgeräten generell ein Problem für elektronisches Bezahlen. Das ZVT ist praktisch dafür verantwortlich, dass die Vorgänge für ein elektronisches Bezahlen ausgelöst werden. Wichtige Kommandos wie beispielsweise die PIN-Abfrage sind durch den sogenannten Message Authentication Code gesichert. Dummerweise ist dieser bei vielen Terminals identisch. Gelingt es einem Hacker den Code zu knacken, kann er Kommandos an jeden Terminal des gleichen Bezahldienstproviders senden. In der Folge reicht es daher aus, wenn sich ein Hacker in das Netz der Terminals einklinkt. Diese sind in vielen Supermärkten und Hotels nahezu ungeschützt und können deshalb vergleichsweise einfach angegriffen werden. Gelingt dies einem Hacker, wäre er anschließend in der Lage bei einer EC-Kartenzahlung, Magnetstreifen-Daten abzufragen und sogar PINs zu erbeuten. Elektronisches Bezahlen würde dadurch zu einer echten Gefahrenquelle.
Fachverbände halten elektronisches Bezahlen für sicher
Die Fachverbände selbst sehen die gefundenen Lücken jedoch nicht als besonders großes Problem. So erklärte die Deutsche Kreditwirtschaft beispielsweise, dass der Hack der EC-Kartenzahlung nur unter Laborbedingungen möglich wäre. In der Praxis würden sich die beiden Probleme mit der Hilfe ein paar einfacher Sicherheitsvorkehrungen beheben lassen. Elektronisches Bezahlen in der echten Welt wäre von den aufgedeckten Lücken kaum gefährdet. Die Sicherheitsforscher um Karsten Nohl dürften hier aber sicherlich anderer Meinung sein. Sie wollen ihre Erkenntnisse und den genauen Sachverhalt auf dem Chaos Congress am 27.12. vorstellen.
Artikelbild: Rostislav Sedlacek / Fotolia
