Einzelhandel: Sicherheitslücke im EC-Karten-System

Beim Bezahlen mit EC-Karten im Handel ist eine Sicherheitslücke aufgetaucht. (FOTO: DPA)

Beim Bezahlen mit EC-Karten im Handel ist eine Sicherheitslücke aufgetaucht. (FOTO: DPA) 

Angriffe bleiben unbemerkt

Kriminelle könnten mit den Kartendaten und Geheimnummern neue EC-Karten herstellen, um dann im Ausland Geld abzuheben. Besonders pikant an dem Versuch ist, dass die Experten die Daten auch außerhalb der Ladengeschäfte auslesen konnten, indem sie über eine drahtlose Wlan-Verbindung den Computerchip in den Lesegeräten ansteuerten. Experten zufolge würden solche Angriffe lange unbemerkt bleiben. In dem Experiment konnten die Daten aller EC-Kartentransaktionen ausgelesen werden, die an dem Tag am jeweiligen Gerät getätigt wurden. Steckte eine Karte aktuell in dem Terminal, konnten die IT-Experten sogar die Geheimnummer sehen.

Der Datenschutzbeauftragte von Schleswig-Holstein, Thilo Weichert, hält das Problem für sehr gravierend, wie er der Mitteldeutschen Zeitung sagte. "Der Nachweis ist nun erbracht, dass die Geräte sich hacken lassen und damit die Möglichkeit besteht, an die Daten und die Pin von Karten in großer Zahl zu kommen. Das ist eine riesige Sicherheitslücke." Dazu sei es zwar nötig, physisch die Geräte zu manipulieren oder ins Netzwerk des Betreibers einzudringen: "Beides ist aber vorstellbar."

Zwar könne ohne Chip in Deutschland und Europa kein Geld mehr abgehoben werden. Doch im außereuropäischen Ausland sei dies auch weiter möglich. "Deshalb ist es falsch, das Schadenspotenzial herunterzuspielen. Die Terminals könnten tatsächlich ein Einfallstor für Kriminelle sein", sagte Weichert. Die Banken könnten durch den Fall zudem in Zukunft auch rechtlich Schwierigkeiten bekommen, wenn sie argumentierten, dass bei einem Pin-Missbrauch eine Mitschuld des Karteninhabers unterstellt werden müsse. "Jeder Anwalt, der einen geschädigten Verbraucher vertritt, kann nun zu recht behaupten, dass es ja eine massive Sicherheitslücke gibt, mit der auch in großer Zahl Kartendaten und Pin abgefischt werden können", so Weichert.

Das ausgelesene Gerät stammt vom Branchenführer Verifone. Rund 300 000 dieser Geräte stehen der "Zeit" zufolge in deutschen Geschäften und wickeln dort den bargeldlosen Zahlungsverkehr mit der EC-Karte ab. Verifone bestätige die Sicherheitslücke. Man sei dabei, für die Kartengeräte "ein Softwareupdate zu erstellen", um die "Verwundbarkeit" zu beheben.

Magnetstreifen-System gescheitert

Das sogenannte Hybridsystem, bei dem die Banken Karten mit dem vor Manipulationen sehr sicheren Chip und gleichzeitig dem leicht nachzumachenden Magnetstreifen ausgeben, hält Weichert für gescheitert. "Dieser Fall zeigt: Es ist sicherer, nur noch Chipkarten auszugeben und für den Fall einer Reise in ein Land, bei dem das Chip-System nicht funktioniert, dann eine eigene Karte mit Magnetstreifen zu verwenden."

Bereits Anfang 2011 hatte das Bundeskriminalamt eine Abschaffung der Magnetstreifen gefordert. Ulrike Meyer, Professorin für IT-Sicherheit in Aachen, sieht die Anbieter in der Pflicht: "Es muss jetzt eine ganze Reihe Dinge passieren, an verschiedenen Fronten. Zum einen ist der Hersteller von dem EC-Terminal gefragt, dass er versucht diese existierende Lücke zu patchen. Wenn das nicht möglich ist, müssen natürlich neue Geräte verteilt werden."