Sicherheitslücke entdeckt: Vorsicht beim Einkauf mit EC-Karte

Beim Bezahlen mit EC-Karten sind offensichtlich Sicherheitslücken aufgetaucht. Wie das ARD-Magazins „Monitor“ heute berichtet, ist es IT-Experten gelungen, EC-Kartendaten samt der vom Kunden eingegebenen Geheimnummern von außen auszulesen. Der vorliegende Fall war ein Test, den „Monitor“ an Originalgeräten unter Aufsicht von Gutachtern versuchsweise durchgeführt hatte. Kriminelle Hacker könnten allerdings mit den Kartendaten und Geheimnummern der ahnungslosen Einzelhandels-Kunden neue EC Karten herstellen, um dann Geld abzuheben. Das im Test gehackte Kartenlese-Gerät stammt laut ARD vom Branchenführer „VeriFone“. Rund 300 000 dieser Geräte sind im deutschen Einzelhandel in Betrieb. Die Herstellerfirma hat die Sicherheitslücke bereits bestätigt und ist dabei ein Softwareupdate zu erstellen, um die Sicherheitslücke zu schließen.

Werbung

Bezahlen mit EC-Karte unsicher: Lesegeräte können ausspioniert werden

Bislang galt es als unmöglich, dass Hacker die EC Kartendaten samt Geheimnummern von außen an den Kassen im Einzelhandel auslesen. Doch nun ist genau das IT Experten im Auftrag des ARD-Magazins „Monitor“ gelungen. Der Test hatte keinen kriminellen Hintergrund, er wurde an Originalgeräten unter Aufsicht von Gutachtern lediglich versuchsweise durchgeführt. Das gehackte Gerät stammt laut ARD vom Branchenführer VeriFone. Rund 300.000 dieser Geräte stehen in deutschen Geschäften für den bargeldlosen Zahlungsverkehr mit der EC-Karte bereit.

Der IT-Experte Karsten Nohl von der Firma Security Research Labs, der den Test im Auftrag von „Monitor“ duchführte, hält die Sicherheitslücke für groß: „Anders als bei Skimming, wo Kriminelle einzelne Geldautomaten belagern müssen, könnten hier theoretisch viele Terminals auf einmal gehackt werden“. Die betroffene Herstellerfirma „VeriFone“ bestätigte gegenüber MONITOR inzwischen die Sicherheitslücke. Man sei dabei, für die Kartengeräte „ein Softwareupdate zu erstellen“, um die „Verwundbarkeit“ zu beheben.

Werbung

Deutscher Banken-Verbrand fordert schnelles Handeln

Auch die deutschen Banken sind alarmiert. Immerhin garantieren die Institute für die Sicherheit der bargeldlosen Zahlungssysteme. Der Dachverband der Deutschen Kreditwirtschaft forderte daher Hersteller VeriFone umgehend auf das Software-Update so schnell wie möglich zur Verfügung zu stellen, damit die Sicherheitslücke geschlossen werden kann. Pikant dabei: Das Problem ist dem Hersteller und den Banken seit Monaten bekannt.

Schließlich hatten die IT-Experten der Firma „Security Research Labs“ die Herstellerfirma schon im März über die Sicherheitslücke informiert. Die eingeschalteten Gutachter bestätigten gegenüber dem ARD-Magazin „Monitor“, dass beim Versuch an den Originalgeräten tatsächlich auch die Geheimnummern ausgelesen werden konnten, nachdem sich die Hacker von außen über LAN Verbindung in das Kartenterminal eingewählt hatten. Mit den so gehackten Kartendaten und Geheimnummern könnten Kriminelle problemlos neue EC Karten herstellen, um dann zum Beispiel im Ausland Geld abzuheben.

Ulrike Meyer, Professorin für IT –Sicherheit an der RWTH Aachen sieht gegenüber dem ARD-Magazin die Anbieter in der Pflicht: „Es muss jetzt eine ganze Reihe Dinge passieren, an verschiedenen Fronten. Zum einen ist der Hersteller von dem EC-Terminal gefragt, dass er versucht diese existierende Lücke zu patchen. Wenn das nicht möglich ist, müssen natürlich neue Geräte verteilt werden. Langfristig muss geschaut werden, was in dem Zertifizierungsprozess fehlgeschlagen ist.“ Wie lange es dauert, bis die Sicherheutslücke geschlossen werden kann ist ungewiss. Als Verbraucher kann man leider wenig tun. Wer ganz auf Nummer sicher gehen will, dem bleibt nur der Verzicht auf Zahlung mit der EC-Karte.

Werbung

Check Also

Sicheres Fahrradschloss

Fahrradschlösser-Test: Stiftung Warentest findet nur vier gute

Fahrradschlösser sind wichtig. Sie sollten sicher sein und nicht einfach geknackt werden können. Doch leider …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.