"Monitor" warnt

EC-Kartenterminals im Einzelhandel geknackt

Thomas Cloer war viele Jahre lang verantwortlich für die Nachrichten auf computerwoche.de.
Er sorgt außerdem ziemlich rund um die Uhr bei Twitter dafür, dass niemand Weltbewegendes verpasst, treibt sich auch sonst im Social Web herum (auch wieder bei Facebook) und bloggt auf teezeh.de. Apple-affin, bei Smartphones polymorph-pervers.
Bislang galt es als unmöglich, EC-Kartendaten samt Geheimnummern von außen an den Kassen im Einzelhandel auszulesen - nun ist genau das IT-Experten gelungen.
Ein EC-Terminal von Verifone
Ein EC-Terminal von Verifone
Foto: Verifone

Der Test wurde für das ARD-Magazin "Monitor" an Originalgeräten unter Aufsicht von Gutachtern versuchsweise durchgeführt (Das Erste, 12.07.2012, 21.45 Uhr), wie der WDR heute mitteilt. Das ausgelesene Gerät stammt demnach vom Branchenführer Verifone; rund 300.000 solche Terminals stehen in deutschen Geschäften für den bargeldlosen Zahlungsverkehr mit der EC-Karte bereit.

Karsten Nohl von der Firma Security Research Labs hält die Sicherheitslücke für groß: "Anders als beim ‚Skimming‘, wo Kriminelle einzelne Geldautomaten belagern müssen, könnten hier theoretisch viele Terminals auf einmal gehackt werden." Verifone habe die Sicherheitslücke gegenüber "Monitor" bestätigt und wolle ein Software-Update erstellen, um die "Verwundbarkeit" zu beheben, heißt es weiter.

Druck macht laut "Monitor" auch der Branchenverband Deutsche Kreditwirtschaft - kein Wunder, denn die Sicherheitslücke ist dem Hersteller und den Banken dem Bericht zufolge schon seit Monaten bekannt. Security Research Labs hatte Verifone schon im März 2012 über die Sicherheitslücke informiert. Die Gutachter bestätigten, dass beim Versuch an den Originalgeräten tatsächlich auch die Geheimnummern ausgelesen werden konnten, nachdem sich die Hacker von außen über eine LAN-Verbindung in das Kartenterminal eingewählt hatten.

Ulrike Meyer, Professorin für IT -Sicherheit an der RWTH Aachen, kommentiert: "Es muss jetzt eine ganze Reihe Dinge passieren, an verschiedenen Fronten. Zum einen ist der Hersteller von dem EC-Terminal gefragt, dass er versucht diese existierende Lücke zu patchen. Wenn das nicht möglich ist, müssen natürlich neue Geräte verteilt werden. Langfristig muss geschaut werden, was in dem Zertifizierungsprozess fehlgeschlagen ist."