Sicherheit

Shopshifting: EC-Kartenzahlung übers Internet angreifbar

Wie sicher ist die Zahlung per Karte wirklich? Sicherheitsexperten zeigen nun ein neues Angriffsszenario auf, welches auf Händler abzielt.
Von dpa / Daniel Rottinger

IT-Forscher: Karten-Terminals lassen sich klonen IT-Forscher: Karten-Terminals lassen sich klonen
Bild: dpa Es ist längst bekannt, dass EC-Karten nicht wirklich sicher sind. Durch die zunehmende Vernetzung erwacht allerdings eine neue Gefahr, die Sicherheitsexperten unter dem Titel Shopshifting zusammenfassen - diese betrifft vor allem die Händler.

Die Terminals, die in Geschäften für Kartenzahlungen eingesetzt werden, können laut Berliner IT-Experten mit etwas technischem Sachverstand kopiert und dann zum Plündern von Händler-Konten verwendet werden. Auf diese Weise könnten sich Kriminelle Geld über die Funktion zum Aufladen von Telefon-SIM-Karten sowie als vermeintliche Rückzahlung bei Retouren holen, erklärte die IT-Sicherheitsfirma SRLabs. Die Vereinigung Deutsche Kreditwirtschaft bezeichnete den von SRLabs durchgeführten Angriff auf das Girocard-Bezahlsystem als "nicht realistisch".

Händler sind potenziellem Risiko ausgesetzt

IT-Forscher: Karten-Terminals lassen sich klonen IT-Forscher: Karten-Terminals lassen sich klonen
Bild: dpa Bei einem solchen Szenario wären nur die Händler betroffen, aber nicht die Karten-Inhaber. Lücken in der Kommunikation zwischen Karten-Terminals und Kassen­geräten ließen aber auch Kartendaten bis hin zur PIN auslesen, warnte SRLabs. Die Vereinigung Deutsche Kreditwirtschaft erklärte: "Der von der Berliner Security Research Labs (SRLabs) durchgeführte Angriff auf das Girocard-Bezahlsystem ist nicht realistisch".

Die Forscher prangern an, dass die Kommunikation zwischen Kassengerät, Karten-Terminal und Zahlungsabwickler an mehreren Stellen unzureichend geschützt sei. Unter anderem würden in den Systemen identische Passwörter verwendet werden. Deswegen könne man ein Terminal für Kartenzahlungen klonen. Dafür braucht man ein ähnliches Terminal, das zum Beispiel im Internet gekauft werden kann. Dort könne mit etwas Fachwissen die ID eines bei einem Händler aktiven Terminals eingespeist werden. Diese ID steht auf jedem Kassenbon. Mit einem solchen geklonten Terminal bekomme man Zugang zum Konto des Händlers bei einem Zahlungsabwickler und könne auf dessen Geld zugreifen, erklärte SRLabs.

Weitere Hintergründe auf deutschem Hackerkongress

Ausführliche Details will SRLabs am 27. Dezember beim Kongress des Chaos Computer Clubs (CCC) in Hamburg vorstellen. Als kurzfristige Lösung sollten die Funktionen für SIM-Aufladung und Retouren deaktiviert werden, empfahlen die Experten. Auf lange Sicht müsse jedes Terminal seinen eigenen Sicherheitsschlüssel bekommen, damit keine Kopien mehr erstellt werden könnten. Die Deutsche Kreditwirtschaft nahm nicht zu den technischen Einzelheiten des von SRLabs beschriebenen Angriffs­szenarios Stellung. In einer Stellungnahme hieß es lediglich, die vorgestellten Angriffe erfolgten auf die Magnetstreifentechnik und seien nicht auf Chipkarten übertragbar: "Missbrauch oder Schäden im Girocard-System zu Lasten von Karteninhabern sind daher ausgeschlossen".

Mehr zum Thema Sicherheit