Datenklau beginnt an der Tankstelle

26.06.2007
Die Online-Welt ist sicherer als ihr Ruf: Laut Gartner erfolgen die meisten Angriffe auf Einzelhändler über die Elektronik an der realen Kasse.

Der Gebrauch einer Kreditkarte an der Tankstelle ist unter Umständen riskanter als der bargeldlose Online-Einkauf. Laut Avivah Litan, Sicherheitsanalystin bei Gartner, haben sich die Terminals am Point of Sale (POS) als schwächstes Glied der Sicherheitskette erwiesen. Mit den Informationen, die aus dem Magnetstreifen der Kreditkarte ausgelesen werden, können bewanderte Hacker Litan zufolge mit einfachen Mitteln eine Kartenkopie anfertigen und diese missbräuchlich verwenden: "Es ist fast gefährlicher, zu tanken, als online einzukaufen", warnte die Analystin auf dem Access Management Summit von Gartner am gestrigen Montag in London. "Bislang hat sich niemand wirklich Gedanken gemacht, welche Informationen auf einem POS-Controller gesammelt sind."

Eine Teilschuld tragen die Netze der Händler, die häufig auf dem Internet Protocol (IP) basieren . Immer öfter finden sich drahtlose Access-Points als Eingangstore ins Netz, die mittels WEP (Wired Equivalent Privacy) abgesichert sind. WEP gilt allgemein als unsicher und kann mit den richtigen Werkzeugen und Fachkenntnissen innerhalb von Sekunden entschlüsselt werden. Derweil sitzt der Angreifer im Auto auf dem Parkplatz des Supermarkts und grast die IP-Netze nach Schwachstellen und finanziell verwertbaren Daten ab.

Der Datenklau in der Offline-Welt ist ein bekanntes Phänomen. Laut Gartner hat eine Kreditkartengesellschaft ermittelt, dass von 160 untersuchten Angriffen 128 im realen Leben stattgefunden haben. Der Rest verteilt sich auf die Vertriebskanäle Online und Telefon. Daher machen sich Kreditkartenfirmen wie Visa und Mastercard für die Implementierung des Sicherheitsstandards Payment Card Industry (PCI) stark. Dieser untersagt etwa die Speicherung der Informationen aus Magnetstreifen auf POS-Terminals. Gartner zufolge will Visa in den kommenden Monaten mit finanziellen Sanktionen gegen Händler vorgehen, die PCI nicht unterstützen.

Inhalt dieses Artikels