Sicherheitslücke Terminals für EC-Kartenzahlung unsicher

PIN abfangen und Karte kopieren: In Deutschland hunderttausendfach eingesetzte Terminals für das Zahlen mit EC-Karten lassen sich hacken. Das berichtet das ARD-Magazin "Monitor". Der Hersteller soll davon seit Monaten wissen, eine Lösung gibt es noch nicht.


Köln - Beim Bezahlen mit EC-Karten gibt es einem Bericht des ARD-Magazins "Monitor" zufolge Sicherheitslücken. Wie das Magazin am Donnerstag berichtete, ist es IT-Experten gelungen, EC-Kartendaten samt Geheimnummern von außen an den Kassen im Einzelhandel auszulesen.

Mit den Kartendaten und Geheimnummern könnten Kriminelle neue EC Karten herstellen, um dann im Ausland Geld abzuheben, hieß es. Das ausgelesene Gerät stamme vom Branchenführer Verifone. Rund 300.000 dieser Geräte stünden in deutschen Geschäften für den bargeldlosen Zahlungsverkehr mit der EC-Karte bereit.

Experten der Berliner Firma Security Research Labs konnten das Lesegerät offenbar über das Netzwerk ansprechen, einen Speicherüberlauf provozieren und danach das Gerät kontrollieren. Der Test habe keinen kriminellen Hintergrund gehabt und sei für das Magazin an Originalgeräten unter Aufsicht von Gutachtern durchgeführt worden.

Verifone habe die Sicherheitslücke bestätigt. Man sei dabei, für die Kartengeräte ein Software-Update zu erstellen, um die Sicherheitslücke zu beheben, so der Bericht. Das wird offenbar auch Zeit: Die Lücke soll der Firma seit März bekannt sein. Laut Magazin werden jedes Jahr 110 Milliarden Euro mit EC-Karten im Handel umgesetzt.

ore/dpa



Forum - Diskutieren Sie über diesen Artikel
insgesamt 6 Beiträge
Alle Kommentare öffnen
Seite 1
Ghanima22 12.07.2012
1.
Na, dann wird man wohl die Geräte irgendwann für einen gewissen Zeitraum zwecks Softwareupdate für den Bargeldlosen Zahlungsverkehr sperren müssen. In letzter Zeit häufen sich die IT Probleme von Banken die es ihren Kunden verunmöglicht an ihr Geld zu kommen. Ein Schelm wer böses dabei denkt.
cosmic303 12.07.2012
2.
Zitat von sysopPin abfangen und Karte kopieren: In Deutschland hunderttausendfach eingesetzte Terminals für das Zahlen mit EC-Karten lassen sich hacken. Das berichtet das ARD-Magazin "Monitor". Der Hersteller soll davon seit Monaten wissen, eine Lösung gibt es noch nicht. http://www.spiegel.de/netzwelt/web/0,1518,844037,00.html
Wirklich praxisnahe Sicherheitslücke. Bin gespannt wie die Kassiererin reagiert, wenn ich demnächst mal mit dem Netbook und einem Netzwerkkabel an ihr ec-cash Gerät ran möchte... In der Realität ist es wohl eher so, das in die Läden eingebrochen wird, und das vorhandene Lesegerät durch ein manipuliertes ersetzt wird. Da brauchts dann auch keine Pseudo-Sicherheitslücke die so niemals ausgenutzt werden kann.
review 12.07.2012
3.
Zitat von cosmic303Wirklich praxisnahe Sicherheitslücke. Bin gespannt wie die Kassiererin reagiert, wenn ich demnächst mal mit dem Netbook und einem Netzwerkkabel an ihr ec-cash Gerät ran möchte... In der Realität ist es wohl eher so, das in die Läden eingebrochen wird, und das vorhandene Lesegerät durch ein manipuliertes ersetzt wird. Da brauchts dann auch keine Pseudo-Sicherheitslücke die so niemals ausgenutzt werden kann.
Es soll auch kriminelle Händler geben ....
cosmic303 12.07.2012
4.
Zitat von reviewEs soll auch kriminelle Händler geben ....
Wer kennt sie nicht, die Händler/Gastronomen/etc die mal eben einen Buffer Overflow aus dem Ärmel schütteln... Ich bleibe dabei, ein kompletter Austausch des Gerätes ist wesentlich realistischer und einfacher zu bewerkstelligen, auch für kriminelle Händler. Der hier vorgestellte "Exploit" dient lediglich der Profilierungssucht der "Sicherheitsfirma".
mr.ious 12.07.2012
5.
Zitat von cosmic303Wer kennt sie nicht, die Händler/Gastronomen/etc die mal eben einen Buffer Overflow aus dem Ärmel schütteln... Ich bleibe dabei, ein kompletter Austausch des Gerätes ist wesentlich realistischer und einfacher zu bewerkstelligen, auch für kriminelle Händler. Der hier vorgestellte "Exploit" dient lediglich der Profilierungssucht der "Sicherheitsfirma".
Na dann mal hierher gesehen : Kartenbetrug: EC-Karten-Terminals verraten die PIN | Digital | ZEIT ONLINE (http://www.zeit.de/digital/datenschutz/2012-07/ec-karten-hack) Da soll man ja das Video kommentieren, was aber so gut wie niemand in den Kommentaren tut. ;) Das hat also einer ein Terminal und alles was er damit machen "könnte" macht..........er nicht. Nun ist das ja, weil es an seinem Rechner auf dem Tisch hängt, wohl eher kein "EC-Karten Terminal" sondern ein ganz stinkt normales Terminal das noch keiner weiteren Bestimmung zugefügt wurde und auch sonst nirgends angeschlossen ist. Wie es solche Geräte ja schon gab, als der Gute noch vor der Einschulung stand. Ich meine jetzt die frei verkäuflichen, die ja, samt Karte vor allem, seinerzeit jedwedes verlieren von Schlüsseln unmöglich machen sollte. ;) "Karten, Karten, Karten..." war wohl so Mitte der 90er auf dem Höhepunkt. Und, wie zu sehen, gibt und gab es, nicht nur für Banken welche, die auch mit PIN funktionieren ! Toll, was ? Ich hatte mal Mitte besagter 90er in einer wegen Umbau geschlossenen Bankenzentrale oder Verwaltung zu tun,........Gästekarten für den Getränkeautomaten ! Das nur zur Verdeutlichung, denn in einem ganz anderem Gebäude, aber gleicher Bank, gab es ein Jahr vorher zwar auch jede Menge Zugangstüren deren Sicherung durch Kartenleser nicht ganz nachvollziehbar waren, aber für die Getränkeautomaten gab es nur eine Sorte Karten.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.