EC-Symbol | Bildquelle: picture alliance / dpa

Warnung von IT-Experten Sicherheitslücke bei EC-Kartenzahlung

Stand: 22.12.2015 12:00 Uhr

IT-Experten haben eine Sicherheitslücke im Bezahlsystem mit EC-Karten aufgedeckt. Kriminelle Hacker könnten mit wenigen Informationen Händler und Geschäfte um ihr Geld bringen. Doch die Betreiber der Bezahlsysteme reden das Risiko klein.

Von Peter Onneken, Jochen Taßler, Andreas Spinrath, WDR

Die Maus, der kleine Elefant und die Ente sind Zeugen eines Hackerangriffs. Ziel ist ein kleiner Kasten auf der Theke im Kölner Maus-Shop. Tausende Male pro Jahr stecken Kunden dort ihre EC-Karten hinein, um Schlüsselanhänger oder Stofftiere mit den Motiven der ARD-Kindersendung zu bezahlen. IT-Experten haben einem Team aus WDR, NDR und Süddeutscher Zeitung am Beispiel des Maus Shops demonstriert, wie solche Geräte mit einem simplen Trick gekapert werden können - und Kriminelle im großen Stil Geld abschöpfen können.

Hacker finden offenbar neue Sicherheitslücke bei EC-Karten
tagesschau 16:00 Uhr, 22.12.2015, Peter Onneken, WDR

Download der Videodatei

Wir bieten dieses Video in folgenden Formaten zum Download an:

Hinweis: Falls die Videodatei beim Klicken nicht automatisch gespeichert wird, können Sie mit der rechten Maustaste klicken und "Ziel speichern unter ..." auswählen.

Video einbetten

Nutzungsbedingungen Embedding Tagesschau: Durch Anklicken des Punktes „Einverstanden“ erkennt der Nutzer die vorliegenden AGB an. Damit wird dem Nutzer die Möglichkeit eingeräumt, unentgeltlich und nicht-exklusiv die Nutzung des tagesschau.de Video Players zum Embedding im eigenen Angebot. Der Nutzer erkennt ausdrücklich die freie redaktionelle Verantwortung für die bereitgestellten Inhalte der Tagesschau an und wird diese daher unverändert und in voller Länge nur im Rahmen der beantragten Nutzung verwenden. Der Nutzer darf insbesondere das Logo des NDR und der Tageschau im NDR Video Player nicht verändern. Darüber hinaus bedarf die Nutzung von Logos, Marken oder sonstigen Zeichen des NDR der vorherigen Zustimmung durch den NDR.
Der Nutzer garantiert, dass das überlassene Angebot werbefrei abgespielt bzw. dargestellt wird. Sofern der Nutzer Werbung im Umfeld des Videoplayers im eigenen Online-Auftritt präsentiert, ist diese so zu gestalten, dass zwischen dem NDR Video Player und den Werbeaussagen inhaltlich weder unmittelbar noch mittelbar ein Bezug hergestellt werden kann. Insbesondere ist es nicht gestattet, das überlassene Programmangebot durch Werbung zu unterbrechen oder sonstige online-typische Werbeformen zu verwenden, etwa durch Pre-Roll- oder Post-Roll-Darstellungen, Splitscreen oder Overlay. Der Video Player wird durch den Nutzer unverschlüsselt verfügbar gemacht. Der Nutzer wird von Dritten kein Entgelt für die Nutzung des NDR Video Players erheben. Vom Nutzer eingesetzte Digital Rights Managementsysteme dürfen nicht angewendet werden. Der Nutzer ist für die Einbindung der Inhalte der Tagesschau in seinem Online-Auftritt selbst verantwortlich.
Der Nutzer wird die eventuell notwendigen Rechte von den Verwertungsgesellschaften direkt lizenzieren und stellt den NDR von einer eventuellen Inanspruchnahme durch die Verwertungsgesellschaften bezüglich der Zugänglichmachung im Rahmen des Online-Auftritts frei oder wird dem NDR eventuell entstehende Kosten erstatten
Das Recht zur Widerrufung dieser Nutzungserlaubnis liegt insbesondere dann vor, wenn der Nutzer gegen die Vorgaben dieser AGB verstößt. Unabhängig davon endet die Nutzungsbefugnis für ein Video, wenn es der NDR aus rechtlichen (insbesondere urheber-, medien- oder presserechtlichen) Gründen nicht weiter zur Verbreitung bringen kann. In diesen Fällen wird der NDR das Angebot ohne Vorankündigung offline stellen. Dem Nutzer ist die Nutzung des entsprechenden Angebotes ab diesem Zeitpunkt untersagt. Der NDR kann die vorliegenden AGB nach Vorankündigung jederzeit ändern. Sie werden Bestandteil der Nutzungsbefugnis, wenn der Nutzer den geänderten AGB zustimmt.

Einverstanden

Zum einbetten einfach den HTML-Code kopieren und auf ihrer Seite einfügen.

Alle möglichen EC-Terminals betroffen

"Die Schwachstellen in Bezahlprotokollen betreffen fast alle Bezahlterminals in Deutschland und somit alle Einzelhändler, Hotelbetreiber, Tankstellen", sagt der Berliner Sicherheitsexperte Karsten Nohl, dessen Team die Lücke aufgedeckt hat. Der Angriff ist simpel: Die Sicherheitsforscher des Berliner SRLabs haben sich ein eigenes Gerät geliehen. Dieses sogenannte POS-Terminal, mit dem man in Supermärkten oder Zeitschriftenläden bezahlt, kann sich jeder Händler für ein paar Euro pro Monat auf den Tresen stellen.

Mit ein paar Informationen gaukeln die Experten ihrem Leihgerät nun vor, dass es in einem Geschäft wie dem Maus-Shop steht. Sie kopieren sozusagen das Bezahlsystem des attackierten Ladens. Um dort keinen Schaden anzurichten, wird das System ab jetzt in einer Versuchsreihe nachgestellt. Statt einzukaufen, drucken die IT-Experten sich nun Gutscheine aus. Diese Funktion ist eigentlich dazu gedacht, Kunden, die ihre Ware zurückgeben wollen, den Kaufpreis zu erstatten. Doch die Forscher haben nie etwas gekauft: Stattdessen rattert ihr Leihgerät, druckt Gutschein nach Gutschein, immer wieder, jeweils bis zu 100 Euro, praktisch ohne dass es dem Händler auffällt.

Benötigte Informationen leicht zu beschaffen

Das Geld wird dem Betreiber des "echten" Terminals abgebucht. Die Informationen, die man braucht um ein Händler-Terminal zu simulieren, sind kinderleicht zu beschaffen: Man braucht zum einen ein Service-Passwort. "Das sollten eigentlich nur die Techniker haben", sagt Fabian Bräunlein, einer der Forscher, "aber netterweise ist das auf allen Geräten eines Netzbetreibers gleich. In unserem Fall stand es sogar im Internet."

Im zweiten Schritt benötigt man die Terminal-ID, mit der jedes Gerät eindeutig zu identifizieren ist: Diese steht auf dem Beleg, den jeder Kunde bei seinem Einkauf erhält. Und final braucht der Angreifer noch ein paar Zahlen, die sich leicht ermitteln lassen. Wie wollen die Forscher nicht verraten, um den Angriff für Kriminelle nicht komplett nachvollziehbar zu machen.

"Bisher an keine Limits gestoßen"

Die Forscher des SRLabs nennen ihren Angriff "Shopshifting". Kurz zusammengefasst: Die Angreifer bauen eine Verbindung zum Bezahlsystem eines Ladens auf und verwenden dafür die Technik eines anderen Terminals. Die Gutschrift landet auf dem Konto der Angreifer, wird aber dem Händler in Rechnung gestellt. "Wir sind bisher an keine Limits gestoßen", sagt Bräulein. "Wir haben uns viele, viele Prepaid-Guthaben ausgedruckt", sagt er. Grundsätzlich sei es denkbar, sich mit dieser Masche von Terminal zu Terminal zu arbeiten - möglicherweise sogar automatisiert.

Verbände wiegeln ab

Mit den Recherchen der Forscher konfrontiert, versucht die Deutsche Kreditwirtschaft (DK) abzuwiegeln. In einem Statement der Dachorganisation der Bankenverbände heißt es, dass man die Ergebnisse geprüft habe und festgestellt habe, dass das "Girocard-System" sicher sei: Die Angriffe seien nur "unter Laborbedingungen - das heißt theoretisch - möglich". Missbrauch zulasten der Karteninhaber sei ausgeschlossen.

Der Bundesverband der "electronic cash"-Netzbetreiber (BECN) antwortet, dass "derartige Vorkommnisse […] von den jeweils beteiligten Unternehmen geprüft und individuell bewertet werden" müssten. Man nehme die aktuell präsentierte neue Angriffsform sehr ernst und begrüße daher die Ankündigung der betreffenden Terminalhersteller, im Rahmen der regelmäßigen Softwareupdates geeignete Maßnahmen gegen die aufgezeigten Szenarien zu ergreifen.

Die Sicherheitsforscher um Karsten Nohl sagen, dass es grundsätzlich möglich sei, sich gegen die Angriffe zu wehren. Mithilfe der IP-Adresse könne man grundsätzlich prüfen, ob sich ein zweites Gerät einwähle - und sich als EC-Terminal in der Tankstelle, an der Supermarkt-Kasse oder im Maus-Shop ausgebe.

Darstellung: