home Wirtschaft SRLabs: Experten finden gravierende Sicherheitslücke in EC-Bezahlsystemen

SRLabs: Experten finden gravierende Sicherheitslücke in EC-Bezahlsystemen

By Ralf Schmidl   Posted in Wirtschaft
Posted on
Bild: © Björn Wylezich - Fotolia.com

Berliner Sicherheitsexperten haben eine schwere Lücke in EC-Karten-Bezahlsystemen entdeckt. Der Fehler soll es Kriminellen mit wenig Aufwand erlauben, große Summen zu erbeuten. Wie der Angriff funktioniert, konnte man nun Medienvertretern erfolgreich vorführen. Die Betreiber der Systeme sehen dennoch nur ein geringes Risiko.

POS-Terminals werden geklont

INFO-BOX:
POS-SICHERHEIT
Ausführliche Hintergrundinformationen zur Sicherheitslücke bei POS-Terminals auf der Seite von SRLabs.
mehr dazu
POS-Terminals, über die Kunden bargeldlos mit EC-Karte bezahlen können, findet man in nahezu jedem deutschen Geschäft. Von der Tankstelle über den Supermarkt bis zum Hotel vertrauen Unternehmen auf das unkomplizierte Bezahlsystem. Sicherheitsexperten des Berliner Unternehmens „SRLabs“ haben nun aber gezeigt, dass der Einsatz das Risiko birgt, Opfer von Kriminellen zu werden. Diese müssen sich lediglich einige Information und ein eigenes Terminal besorgen, was problemlos möglich ist. Die Geräte können für eine geringe monatliche Gebühr beim jeweiligen Bezahlsystemanbieter gemietet werden.

Über das Terminal wird der Betreiber über Bezahlvorgänge und Gutschriften im jeweiligen Geschäft informiert, die im Anschluss automatisch abgewickelt werden. Genau an diesem Punkt setzt der Angriff der Sicherheitsexperten an. Sie nutzen ein ausgeliehenes Terminal, manipulieren es und gaukeln dem Anbieter des Bezahlsystems vor, es handle sich um ein anderes Gerät. Die dafür notwendigen Daten sind laut SRLabs leicht zu bekommen. So finde man eigentlich geheime Service-Passwörter zum Hacken der Terminals im Internet, während die Identifikationsnummer des zu klonenden Terminals nach der Zahlung auf dem Kassenbon ausgewiesen wird. In Verbindung mit weiteren Daten, deren Beschaffung die Experten geheim halten wollen, die aber leicht zu bekommen sein sollen, wird das Gerät im System als ein anderes registriert. Im Anschluss ist es den Angreifern möglich, Gutschriften zu erstellen, die vom Konto des Inhabers des echten Terminals abgebucht werden.

Kreditwirtschaft sieht nur theoretische Gefahr

Ein Limit soll es dafür laut den Sicherheitsforschern nicht geben, sodass Kriminelle binnen kürzester Zeit große Summen erbeuten können. Zudem seien nahezu alle Bezahlterminals in Deutschland von der Lücke betroffen. Das sieht der Dachverband der Bankenverbände, die Deutsche Kreditwirtschaft (DK), anders. Laut einer Stellungnahme habe man die Methode von SRLabs überprüft und sei zum Ergebnis gekommen, dass der Angriff nur unter Laborbedingungen, nicht aber in der Praxis funktioniert. Missbrauch sei deshalb ausgeschlossen. Der Bundesverband der electronic cash-Netzbetreiber (BECN) wollte die Sicherheitsprobleme ebenfalls nicht bestätigen. Man erklärte aber, die neue Angriffsform ernst zu nehmen und verwies auf regelmäßige Sicherheitsupdates durch die Terminalhersteller.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert