EC-Symbol | Bildquelle: picture alliance / dpa

Warnung von IT-Experten Sicherheitslücke bei EC-Kartenzahlung

Stand: 22.12.2015 12:00 Uhr

IT-Experten haben eine Sicherheitslücke im Bezahlsystem mit EC-Karten aufgedeckt. Kriminelle Hacker könnten mit wenigen Informationen Händler und Geschäfte um ihr Geld bringen. Doch die Betreiber der Bezahlsysteme reden das Risiko klein.

Von Peter Onneken, Jochen Taßler, Andreas Spinrath, WDR

Die Maus, der kleine Elefant und die Ente sind Zeugen eines Hackerangriffs. Ziel ist ein kleiner Kasten auf der Theke im Kölner Maus-Shop. Tausende Male pro Jahr stecken Kunden dort ihre EC-Karten hinein, um Schlüsselanhänger oder Stofftiere mit den Motiven der ARD-Kindersendung zu bezahlen. IT-Experten haben einem Team aus WDR, NDR und Süddeutscher Zeitung am Beispiel des Maus Shops demonstriert, wie solche Geräte mit einem simplen Trick gekapert werden können - und Kriminelle im großen Stil Geld abschöpfen können.

Hacker finden offenbar neue Sicherheitslücke bei EC-Karten
tagesschau 16:00 Uhr, 22.12.2015, Peter Onneken, WDR

Download der Videodatei

Wir bieten dieses Video in folgenden Formaten zum Download an:

Hinweis: Falls die Videodatei beim Klicken nicht automatisch gespeichert wird, können Sie mit der rechten Maustaste klicken und "Ziel speichern unter ..." auswählen.

Alle möglichen EC-Terminals betroffen

"Die Schwachstellen in Bezahlprotokollen betreffen fast alle Bezahlterminals in Deutschland und somit alle Einzelhändler, Hotelbetreiber, Tankstellen", sagt der Berliner Sicherheitsexperte Karsten Nohl, dessen Team die Lücke aufgedeckt hat. Der Angriff ist simpel: Die Sicherheitsforscher des Berliner SRLabs haben sich ein eigenes Gerät geliehen. Dieses sogenannte POS-Terminal, mit dem man in Supermärkten oder Zeitschriftenläden bezahlt, kann sich jeder Händler für ein paar Euro pro Monat auf den Tresen stellen.

Mit ein paar Informationen gaukeln die Experten ihrem Leihgerät nun vor, dass es in einem Geschäft wie dem Maus-Shop steht. Sie kopieren sozusagen das Bezahlsystem des attackierten Ladens. Um dort keinen Schaden anzurichten, wird das System ab jetzt in einer Versuchsreihe nachgestellt. Statt einzukaufen, drucken die IT-Experten sich nun Gutscheine aus. Diese Funktion ist eigentlich dazu gedacht, Kunden, die ihre Ware zurückgeben wollen, den Kaufpreis zu erstatten. Doch die Forscher haben nie etwas gekauft: Stattdessen rattert ihr Leihgerät, druckt Gutschein nach Gutschein, immer wieder, jeweils bis zu 100 Euro, praktisch ohne dass es dem Händler auffällt.

Benötigte Informationen leicht zu beschaffen

Das Geld wird dem Betreiber des "echten" Terminals abgebucht. Die Informationen, die man braucht um ein Händler-Terminal zu simulieren, sind kinderleicht zu beschaffen: Man braucht zum einen ein Service-Passwort. "Das sollten eigentlich nur die Techniker haben", sagt Fabian Bräunlein, einer der Forscher, "aber netterweise ist das auf allen Geräten eines Netzbetreibers gleich. In unserem Fall stand es sogar im Internet."

Im zweiten Schritt benötigt man die Terminal-ID, mit der jedes Gerät eindeutig zu identifizieren ist: Diese steht auf dem Beleg, den jeder Kunde bei seinem Einkauf erhält. Und final braucht der Angreifer noch ein paar Zahlen, die sich leicht ermitteln lassen. Wie wollen die Forscher nicht verraten, um den Angriff für Kriminelle nicht komplett nachvollziehbar zu machen.

"Bisher an keine Limits gestoßen"

Die Forscher des SRLabs nennen ihren Angriff "Shopshifting". Kurz zusammengefasst: Die Angreifer bauen eine Verbindung zum Bezahlsystem eines Ladens auf und verwenden dafür die Technik eines anderen Terminals. Die Gutschrift landet auf dem Konto der Angreifer, wird aber dem Händler in Rechnung gestellt. "Wir sind bisher an keine Limits gestoßen", sagt Bräulein. "Wir haben uns viele, viele Prepaid-Guthaben ausgedruckt", sagt er. Grundsätzlich sei es denkbar, sich mit dieser Masche von Terminal zu Terminal zu arbeiten - möglicherweise sogar automatisiert.

Verbände wiegeln ab

Mit den Recherchen der Forscher konfrontiert, versucht die Deutsche Kreditwirtschaft (DK) abzuwiegeln. In einem Statement der Dachorganisation der Bankenverbände heißt es, dass man die Ergebnisse geprüft habe und festgestellt habe, dass das "Girocard-System" sicher sei: Die Angriffe seien nur "unter Laborbedingungen - das heißt theoretisch - möglich". Missbrauch zulasten der Karteninhaber sei ausgeschlossen.

Der Bundesverband der "electronic cash"-Netzbetreiber (BECN) antwortet, dass "derartige Vorkommnisse […] von den jeweils beteiligten Unternehmen geprüft und individuell bewertet werden" müssten. Man nehme die aktuell präsentierte neue Angriffsform sehr ernst und begrüße daher die Ankündigung der betreffenden Terminalhersteller, im Rahmen der regelmäßigen Softwareupdates geeignete Maßnahmen gegen die aufgezeigten Szenarien zu ergreifen.

Die Sicherheitsforscher um Karsten Nohl sagen, dass es grundsätzlich möglich sei, sich gegen die Angriffe zu wehren. Mithilfe der IP-Adresse könne man grundsätzlich prüfen, ob sich ein zweites Gerät einwähle - und sich als EC-Terminal in der Tankstelle, an der Supermarkt-Kasse oder im Maus-Shop ausgebe.

Darstellung: