Bargeldloses Bezahlen Hacker finden Sicherheitslücke in EC-Kartenlesern

Berliner Sicherheitsforscher haben neue Schwachstellen in Bezahlterminals für Kredit- und EC-Karten aufgedeckt. Mit einem bestimmten Angriff könnten sich Kriminelle bereichern. Die Banken sehen allerdings nur eine theoretische Gefahr.

    Kartenleser an der Kasse (Symbolbild): Zahlstationen an Tankstellen, in Geschäften und Hotels mit Schwachstellen
Getty Images

Kartenleser an der Kasse (Symbolbild): Zahlstationen an Tankstellen, in Geschäften und Hotels mit Schwachstellen


Gerade im Vorweihnachtsgeschäft wird in den Läden viel mit EC- oder Kreditkarte bezahlt. Eine Gruppe deutscher Sicherheitsforscher hat nun in den Lesegeräten erneut Schwachstellen gefunden, die Kriminelle ausnutzen könnten. Mit einem ganz bestimmten Angriff könnten Hacker sich selbst Gutschriften ausstellen und sich so zu bereichern.

Ihre Erkenntnisse stellen die Berliner Forscher Karsten Nohl und Fabian Bräunlein nach Weihnachten bei einem Vortrag auf dem Jahreskongress des Chaos Computer Clubs vor, der ab dem 27. Dezember in Hamburg stattfindet. Doch schon vorher haben die Forscher den Journalisten mehrerer Medien das Angriffsszenario vorgestellt.

Laut dem Bericht der "Süddeutschen Zeitung" nutzen die Experten dafür ein sogenanntes POS-Terminal, also ein Lesegerät wie an vielen Supermarktkassen, an dem Kunden mit ihrer Karte bezahlen. Solche Geräte lassen sich demnach für wenige Euro im Monat mieten.

Banken sehen nur eine theoretische Bedrohung

Potenzielle Angreifer bräuchten das Passwort des Terminals, die Identifikationsnummer und Informationen über den Verbindungsaufbau; mithilfe dieser Informationen könnten sie eine Verbindung herstellen, ein fremdes POS-Terminal übernehmen und sich offenbar nach Belieben Gutschriften ausstellen.

Sollte so etwas tatsächlich einmal passieren, wäre der jeweilige Händler der Geschädigte. Von der Lücke betroffen sein sollen laut Nohl fast alle Bezahlterminals in Deutschland und somit Einzelhändler, Hotelbetreiber und Tankstellen.

Grundsätzlich sei es laut den Sicherheitsforschern denkbar, sich mit der von ihnen erdachten Masche von Terminal zu Terminal zu arbeiten - und so in großem Stil Geld abzuschöpfen. Es gebe allerdings Wege, sich als Betreiber vor solchen Angriffen zu schützen, berichtet die "Süddeutsche Zeitung".

Von den Journalisten mit den Erkenntnissen der Forscher konfrontiert, versuchten die Banken und Sparkassen zu beruhigen: Die Angriffe seien nur unter Laborbedingungen, also nur theoretisch, möglich, teilte der Verband Deutsche Kreditwirtschaft mit. Das Girocard-System sei sicher.

juh/AFP



Forum - Diskutieren Sie über diesen Artikel
insgesamt 30 Beiträge
Alle Kommentare öffnen
Seite 1
noalk 22.12.2015
1. Nur unter Laborbedingungen möglich
Als ob Kriminelle nicht in der Lage wären, sich Labore einzurichten.
schüttelkugel 22.12.2015
2. Is ja irre!
"Potenzielle Angreifer bräuchten das Passwort des Terminals, die Identifikationsnummer und Informationen über den Verbindungsaufbau." Ach ne! Es soll auch möglich sein, dass man mit Passwort, Codenummer und ein bisschen Gespür den dritten Weltkrieg auslösen kann. Is wahr - ich habs bei James Bond gesehen! Meine Güte, was für eine überflüssige Angstmacher-Nachricht auf SPON! Theoretisch ist _ Achtung, jetzt wieder was fürs Angstgefühl - ALLES möglich!
tkedm 22.12.2015
3.
Und wie sollte ein Krimineller an diese 3 Informationen kommen, ohne in den Laden oder die Zentrale einzubrechen? Und dann wird er das Gerät wohl per Kabel anzapfen müssen und in unmittelbarer Nähe sein, um Ausführungen vornehmen zu können. Das ist doch in der Tat alles sehr theoretisch. Da ist "normaler" Diebstahl wohl wesentlich einfacher und effektiver.
cor 22.12.2015
4.
Zitat von tkedmUnd wie sollte ein Krimineller an diese 3 Informationen kommen, ohne in den Laden oder die Zentrale einzubrechen? Und dann wird er das Gerät wohl per Kabel anzapfen müssen und in unmittelbarer Nähe sein, um Ausführungen vornehmen zu können. Das ist doch in der Tat alles sehr theoretisch. Da ist "normaler" Diebstahl wohl wesentlich einfacher und effektiver.
http://www.sueddeutsche.de/digital/shopshifting-hacker-decken-massive-schwachstelle-bei-zahlung-mit-ec-karten-auf-1.2793453 Hier wird beschrieben, wie sie an die Infomationen kommen. Wobei nicht klar ist, wie sie genau an die IP Adresse des POS kommen. Ich gehe ausserdem davon aus, dass das Gerät per Internet angezapft wird und auch hier ist wieder die Frage, wie man genau an der Firewall vorbei kommt. Desweiteren kann man nicht mal eben so anonym eine Gutschrift auf ein Konto machen, da die Transaktionen nie anonym im Hintergrund ablaufen. Es ist vollständig nachvollziehbar, an welches Konto und damit auch an welche Person eine Gutschrift passiert. Also mir erscheint das alles auch sehr, sehr konstruiert.
wiede7 22.12.2015
5. Heute Laborbedingungen morgen im Laden
Ich würde den Banken nicht so weit trauen. Gerade bei EC und Kreditkarten haben Banken sich schon öfter geirrt.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.