Bild: dpa / Tobias Kleinschmidt
Was ist passiert?

Bezahlen mit EC-Karte ist in Deutschland unter Umständen unsicher. Das haben Sicherheitsforscher mehreren Journalisten vorgeführt. Offenbar fällt es den Forschern nicht schwer, sich in die Terminals zu hacken, mit denen in vielen Läden bezahlt wird.

Anschließend transferierten die Forscher Geld von den Betreibern der Terminals (das können zum Beispiel Tankstellen oder andere Geschäfte sein) auf ein eigenes Konto.

Die Sicherheitsforscher haben die Organisation der Banken, die Deutsche Kreditwirtschaft, vor der Sicherheitslücke gewarnt. Kriminelle könnten diese genauso benutzen wie die Forscher. Der Verband wiegelt aber ab. Der Hack sei nur theoretisch möglich, sagte ein Vertreter der Süddeutschen Zeitung und Zeit Online.

Was brauchen die Forscher für den Angriff?

Nicht viel. Im Grunde sind es drei Informationen, jede von ihnen ist offenbar mit einem alten Kassenbeleg, einem auf Ebay ersteigertem Kartenterminal und einem Laptop zu beschaffen:

  1. Identifikationsnummer des EC-Kartenterminals (steht auf jedem Kassenzettel)
  2. Service-Passwort des Terminals (wurde mal im Internet geleakt, lässt sich nach Angaben der Forscher aber auch aus dem Terminal auslesen)
  3. Port-Nummer des Terminals (lässt sich per Diagnosebefehl elektronisch abfragen)

Mit diesen drei Informationen können nun die Sicherheitsforscher – oder wahlweise Kriminelle – das EC-Terminal eines normalen Ladens aus der Ferne klonen und sich selbst Geld überweisen. Das geht auf mehreren Wegen:

  • Entweder sie tun so, als ob sie einen gekauften Artikel zurückgeben würden und überweisen sich eine beliebige Summe auf ihr Konto. Dann wird das Geld vom Konto des Ladeninhabers abgezogen. Das könnten Mitarbeiter des Ladens natürlich bemerken. Zeit Online berichtet jedoch unter Berufung auf die Sicherheitsexperten, dass eine solche genaue Überprüfung längst nicht überall stattfinde.
  • Oder die Sicherheitsforscher lassen sich Geld als Guthaben auf ein Prepaid-Handy gutschreiben. Im Anschluss könnten Kriminelle dann zum Beispiel eine kostenpflichtige Telefonnummer wählen, die sie aber selber kontrollieren. So gelänge das Geld dann letztendlich auch zu ihnen.
Wer steckt dahinter?

Die Sicherheitsforscher des Berliner SRLabs. Schon vor drei Jahren hatte ein Forscher des Labs eine Möglichkeit gefunden, EC-Karten zu klonen. Ihren neuesten Hack wollen sie am 27. Dezember auf dem Jahrestreffen des Chaos Computer Clubs in Hamburg vorstellen.

Muss ich mir jetzt Sorgen machen?

Angreifer können offenbar auch Pin-Codes und Magnetstreifendaten von eingesteckten EC-Karten ablesen (Motherboard, Heise). Noch mehr Sorgen müssen sich aber Einzelhändler machen, deren Geld sich offenbar viel zu einfach auf wildfremde Konten verschieben lässt.

Quellen
  • Sicherheitslücke bei EC-Kartenzahlung (Tagesschau)
  • Sicherheitsforscher hacken das EC-Bezahlsystem (Zeit Online)
  • European Credit Card Terminals Are Plagued with Serious Vulnerabilities (Motherboard)
  • Shopshifting: Sicherheitsforscher decken Lücken beim elektronischen Bezahlen auf (Heise)
Montag bis Freitag
News zum Wachwerden