Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Sicherheitslücke: Terminals für EC-Kartenzahlung unsicher

PIN abfangen und Karte kopieren: In Deutschland hunderttausendfach eingesetzte Terminals für das Zahlen mit EC-Karten lassen sich hacken. Das berichtet das ARD-Magazin "Monitor". Der Hersteller soll davon seit Monaten wissen, eine Lösung gibt es noch nicht.

Köln - Beim Bezahlen mit EC-Karten gibt es einem Bericht des ARD-Magazins "Monitor" zufolge Sicherheitslücken. Wie das Magazin am Donnerstag berichtete, ist es IT-Experten gelungen, EC-Kartendaten samt Geheimnummern von außen an den Kassen im Einzelhandel auszulesen.

Mit den Kartendaten und Geheimnummern könnten Kriminelle neue EC Karten herstellen, um dann im Ausland Geld abzuheben, hieß es. Das ausgelesene Gerät stamme vom Branchenführer Verifone. Rund 300.000 dieser Geräte stünden in deutschen Geschäften für den bargeldlosen Zahlungsverkehr mit der EC-Karte bereit.

Experten der Berliner Firma Security Research Labs konnten das Lesegerät offenbar über das Netzwerk ansprechen, einen Speicherüberlauf provozieren und danach das Gerät kontrollieren. Der Test habe keinen kriminellen Hintergrund gehabt und sei für das Magazin an Originalgeräten unter Aufsicht von Gutachtern durchgeführt worden.

Verifone habe die Sicherheitslücke bestätigt. Man sei dabei, für die Kartengeräte ein Software-Update zu erstellen, um die Sicherheitslücke zu beheben, so der Bericht. Das wird offenbar auch Zeit: Die Lücke soll der Firma seit März bekannt sein. Laut Magazin werden jedes Jahr 110 Milliarden Euro mit EC-Karten im Handel umgesetzt.

ore/dpa

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 6 Beiträge
Alle Kommentare öffnen
    Seite 1    
1.
Ghanima22 12.07.2012
Na, dann wird man wohl die Geräte irgendwann für einen gewissen Zeitraum zwecks Softwareupdate für den Bargeldlosen Zahlungsverkehr sperren müssen. In letzter Zeit häufen sich die IT Probleme von Banken die es ihren Kunden verunmöglicht an ihr Geld zu kommen. Ein Schelm wer böses dabei denkt.
2.
cosmic303 12.07.2012
Zitat von sysopPin abfangen und Karte kopieren: In Deutschland hunderttausendfach eingesetzte Terminals für das Zahlen mit EC-Karten lassen sich hacken. Das berichtet das ARD-Magazin "Monitor". Der Hersteller soll davon seit Monaten wissen, eine Lösung gibt es noch nicht. http://www.spiegel.de/netzwelt/web/0,1518,844037,00.html
Wirklich praxisnahe Sicherheitslücke. Bin gespannt wie die Kassiererin reagiert, wenn ich demnächst mal mit dem Netbook und einem Netzwerkkabel an ihr ec-cash Gerät ran möchte... In der Realität ist es wohl eher so, das in die Läden eingebrochen wird, und das vorhandene Lesegerät durch ein manipuliertes ersetzt wird. Da brauchts dann auch keine Pseudo-Sicherheitslücke die so niemals ausgenutzt werden kann.
3.
review 12.07.2012
Zitat von cosmic303Wirklich praxisnahe Sicherheitslücke. Bin gespannt wie die Kassiererin reagiert, wenn ich demnächst mal mit dem Netbook und einem Netzwerkkabel an ihr ec-cash Gerät ran möchte... In der Realität ist es wohl eher so, das in die Läden eingebrochen wird, und das vorhandene Lesegerät durch ein manipuliertes ersetzt wird. Da brauchts dann auch keine Pseudo-Sicherheitslücke die so niemals ausgenutzt werden kann.
Es soll auch kriminelle Händler geben ....
4.
cosmic303 12.07.2012
Zitat von reviewEs soll auch kriminelle Händler geben ....
Wer kennt sie nicht, die Händler/Gastronomen/etc die mal eben einen Buffer Overflow aus dem Ärmel schütteln... Ich bleibe dabei, ein kompletter Austausch des Gerätes ist wesentlich realistischer und einfacher zu bewerkstelligen, auch für kriminelle Händler. Der hier vorgestellte "Exploit" dient lediglich der Profilierungssucht der "Sicherheitsfirma".
5.
mr.ious 12.07.2012
Zitat von cosmic303Wer kennt sie nicht, die Händler/Gastronomen/etc die mal eben einen Buffer Overflow aus dem Ärmel schütteln... Ich bleibe dabei, ein kompletter Austausch des Gerätes ist wesentlich realistischer und einfacher zu bewerkstelligen, auch für kriminelle Händler. Der hier vorgestellte "Exploit" dient lediglich der Profilierungssucht der "Sicherheitsfirma".
Na dann mal hierher gesehen : Kartenbetrug: EC-Karten-Terminals verraten die PIN | Digital | ZEIT ONLINE (http://www.zeit.de/digital/datenschutz/2012-07/ec-karten-hack) Da soll man ja das Video kommentieren, was aber so gut wie niemand in den Kommentaren tut. ;) Das hat also einer ein Terminal und alles was er damit machen "könnte" macht..........er nicht. Nun ist das ja, weil es an seinem Rechner auf dem Tisch hängt, wohl eher kein "EC-Karten Terminal" sondern ein ganz stinkt normales Terminal das noch keiner weiteren Bestimmung zugefügt wurde und auch sonst nirgends angeschlossen ist. Wie es solche Geräte ja schon gab, als der Gute noch vor der Einschulung stand. Ich meine jetzt die frei verkäuflichen, die ja, samt Karte vor allem, seinerzeit jedwedes verlieren von Schlüsseln unmöglich machen sollte. ;) "Karten, Karten, Karten..." war wohl so Mitte der 90er auf dem Höhepunkt. Und, wie zu sehen, gibt und gab es, nicht nur für Banken welche, die auch mit PIN funktionieren ! Toll, was ? Ich hatte mal Mitte besagter 90er in einer wegen Umbau geschlossenen Bankenzentrale oder Verwaltung zu tun,........Gästekarten für den Getränkeautomaten ! Das nur zur Verdeutlichung, denn in einem ganz anderem Gebäude, aber gleicher Bank, gab es ein Jahr vorher zwar auch jede Menge Zugangstüren deren Sicherung durch Kartenleser nicht ganz nachvollziehbar waren, aber für die Getränkeautomaten gab es nur eine Sorte Karten.
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH




Fotostrecke
EC-Karten-Skimming: So sehen präparierte Automaten aus
Kreditkartenmissbrauch - So schützen Sie sich
Abrechnung kontrollieren
Kreditkartenabrechnungen sollten schnell kontrolliert werden, unlogischen Abbuchungen sofort widersprochen werden. Banken räumen in der Regel eine Frist von vier bis sechs Wochen ein. "Aber auch wenn Kunden später eine falsche Abbuchung bemerken, sollten sie in jedem Fall unverzüglich reklamieren", sagt Sylvia Beckerle, Referentin für Finanzdienstleistungen von der Verbraucherzentrale Rheinland-Pfalz.
Rechtliche Beratung
Sollte eine Auszahlung verweigert werden, kann sich der Kunde in letzter Konsequenz noch immer Rechtsbeistand holen. Die ist in der Regel über eine Rechtsschutzversicherung gedeckt. Auch Verbraucherzentralen bieten eine umfassende Rechtsberatung an.
Neues Konto
Thomas Hagen, Pressesprecher der Verbraucherzentrale Schleswig-Holstein, sieht die Chancen, sich umfassend zu schützen, relativ schlecht. "Jeder Kunde muss davon ausgehen, dass seine Daten ausgespäht werden können und unberechtigt bei ihm abgebucht werden kann", sagt er. Eine umfassende Sicherheit gebe es nicht, dazu seien schon jetzt zu viele Daten im Umlauf.

Eine sinnvolle Maßnahme, um Missbrauch mit bereits geklauten Daten zu vermeiden, sei, sich eine neue Bankverbindung nebst neuer Kreditkarte einrichten zu lassen. Diese biete allerdings nur zusätzlich Sicherheit, wenn man besonders restriktiv mit den neuen Daten umgehe. Das bedeute: keine Lastschriften, keine unseriösen Zahlungen im Internet, keine telefonische Datenweitergabe. jch
Verlorene Karte sperren
Wenn der Diebstahl oder Verlust auffällt, muss die Karte so schnell wie möglich gesperrt werden. Während der Geschäftszeiten sollte sofort die ausgebende Bank oder Sparkasse angerufen werden. Rund um die Uhr sind die kostenpflichtige zentrale Sperrnummer 01805-021021 oder die gebührenfreie Nummer 116116 zu erreichen. Das Einspeichern von Sperrnummern im Handy kann außerdem im Ernstfall hilfreich sein. Ein Diebstahl sollte zudem bei der Polizei angezeigt werden.

EMV-Chips
Wofür steht EMV?
Geldkarten mit EMV-Technologie haben einen Prozessorchip. Die Abkürzung EMV setzt sich aus den Anfangsbuchstaben der drei Gesellschaften zusammen, die den internationalen Standard für Karten und Geräte wie Geldautomaten entwickelt haben: Europay International (heute MasterCard Europe), MasterCard und Visa.
dpa
Wozu dienen die Chips?
Der Chip ist eine Art Mini-Computer und soll gespeicherte Daten besser gegen Missbrauch schützen als der herkömmliche Magnetstreifen. Die Technologie soll das Kopieren und Fälschen von Geldkarten eindämmen. Der Datensatz wird sicher verschlüsselt, die Karte bei Gebrauch auf Echtheit geprüft. Außerdem ist eine PIN nötig. Durch seine Rechenleistung bietet der Chip die Möglichkeit für Zusatzfunktionen. Der EMV-Standard soll die Magnetstreifen- Technologie ablösen. Nach Angaben des Unternehmens EMVCo, das die Technologie entwickelt, waren 2008 weltweit mehr als 730 Millionen Geldkarten mit dem EMV-Standard ausgestattet.
dpa
Diese Konzerne tauschen Karten aus
Lufthansa
Die Lufthansa nimmt Tausende ihrer Miles-and-More-Karten mit Bezahlfunktion zurück. Genauere Angaben macht das Unternehmen nicht.
Barclays
Die Deutschlandtochter von Barclays tauscht Tausende Karten aus. Genauere Angaben macht das Unternehmen nicht.
Volks- und Raiffeisenbanken
Die Volks- und Raiffeisenbanken haben rund laut "Financial Times Deutschland" rund 60.000 der von ihnen ausgegebenen Kreditkarten aus dem Verkehr gezogen.
Karstadt-Quelle Bank
Die Karstadt-Quelle Bank hat laut "Financial Times Deutschland" bereits im Oktober 15.000 Plastikkarten aus dem Verkehr gezogen.
Deutsche Bank
Bei der Deutschen Bank werden mehr Kreditkarten ausgetauscht als üblich, so ein Sprecher.

Alles zum Thema Skimming und Kartenbetrug
Sie sind Skimming-Opfer geworden?

1. Benachrichtigen Sie sofort Ihre Bank, lassen Sie die betroffene Karte sperren.

2. Erstatten Sie Anzeige bei der Polizei - gehen Sie zur Wache, dort erhalten Sie im Gegensatz zur Online-Anzeige sofort ein Aktenzeichen, das Sie Ihrer Bank mitteilen können.

3. Beobachten Sie Ihr Konto, Abbuchungen aus dem Ausland können dort ein paar Tage verspätet auftauchen - aktualisieren Sie gegebenenfalls Ihre Anzeige, informieren Sie Ihre Bank.

4. Bei erfolgter Anzeige sollten Sie problemlos Ihr Geld wiederbekommen.

So schützen Sie sich vor Skimmern

1. Achten Sie auf Ihre PIN: Geben Sie die Nummer nur komplett verdeckt ein – nutzen Sie die freie Hand oder einen Geldbeutel. Eine versteckte Kamera im Automatendach könnte Ihre Finger beobachten. Ohne PIN sind Ihre Kartendaten für Skimmer wertlos.

2. Untersuchen Sie den Geldautomaten auf merkwürdige Anbauten, Erhebungen, Löchern und wackligen Bauteilen. Kontrollieren Sie besonders den Kartenschlitz. Leichtes Rütteln erlaubt. Nutzen Sie möglichst immer denselben Automaten. Fallen Ihnen Veränderungen auf, benachrichtigen Sie die Bank, bei Schalterschluss die Polizei.

3. Meiden Sie freistehende Automaten, nutzen Sie weniger frequentierte Automaten Ihrer Bank.

4. Benutzen Sie keine Geldautomaten, die mit spezieller Beschilderung oder ungewöhnlichen Warnungen versehen sind. Das könnte ein Ablenkmanöver sein.

5. Verwenden Sie zum Betreten der Filiale und zum Geldabheben, wenn möglich, verschiedene Karten.

6.Geben Sie die PIN nie an Türöffnern ein. Keine Bank oder Sparkasse verlangt dies.

7. Haben Sie einen Skimming-Verdacht? Benachrichtigen Sie sofort die Bank, bei Schalterschluss die Polizei.

8. Kontrollieren Sie regelmäßig Ihre Kontoauszüge, Ihren Umsatz mittels Onlinebanking. Kontaktieren Sie sofort Ihre Bank bei merkwürdigen Abbuchungen.

9. Beobachten Sie, was Personen, denen Sie Ihre EC-Karte geben mussten (etwa im Supermarkt) mit der Karte tun: vielleicht verstecken sie einen Skimming-Automaten unterm Tisch.

Hier sind Skimmer besonders aktiv

1. Achten Sie besonders bei Reisen in die Türkei, in den Libanon und nach Südafrika auf Ihre EC-Karte. Hier sind Skimmer besonders aktiv – und können direkt Geld abheben.

2. In Deutschland gibt es nach LKA-Angaben kein Skimming-Muster, generell gefährdet sind stark frequentierte Geldautomaten. Wo sich das Skimming lohnt, wird geskimmt.

3. Touristenzentren sind Skimming-Zentren.

4. Egal ob Stadt oder Land: Es herrscht Skimming-Gefahr.

Weitere Automaten-Betrugstechniken

1. In etwa einem Prozent der Skimming-Fälle greifen die Täter mit eigenen Tastenfeldern die PIN-Nummer ab. So ein Angriff ist äußerst schwer zu entdecken.

2. Skimmer tauschen bei einem Einbruch EC-Terminals in Supermärkten mit manipulierten Terminals aus - so ein Angriff ist sehr selten. 2007 erbeutete eine Bande so 4,5 Millionen Euro.

3. Die Täter verhindern die Kartenausgabe im Automaten, der Automat verweigert die Auszahlung - und gibt es dem nächsten Kunden das Geld zusätzlich aus. Ein Klassiker des Geldautomatenbetrugs.

4. Die Täter fangen mit einem Geldschaft-Aufsatz die Geldscheine ab und sammeln sie später ein.

5. Ein Täter beobachtet die PIN-Eingabe des Opfers, ein anderer lenkt es im Moment der Kartenausgabe ab und klaut die Karte. Am Automat nebenan heben die Täter sofort so viel Geld ab wie möglich.

Hier finden Sie weitere Informationen

1. Skimming auf Cyberfahnder.de: Hintergründe, juristische Handhabe, Erfahrungsberichte und ein Arbeitspapier zu den technischen, organisatorischen und rechtlichen Rahmenbedingungen des Skimming

2. "Setzen Sie nicht auf die falsche Karte" - Präventionsprogramm der Polizei

3. "Vorsicht Kartentricks" – Faltblatt der Polizei

4. Kartensicherheit.de - Portal zu "Aufklärung, Vernetzung, Information" der Banken- und Sparkassenverbände


Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: