Technik & Web

KARTENZAHLUNG | 12.07.2012

Angriff auf EC-Kartenterminal erfolgreich simuliert

Nach Medienberichten lassen sich über ein Sicherheitsleck beim marktführenden Kartenterminal Artema Hybrid Kartendaten und PIN abgreifen. Die Kreditwirtschaft beschwichtigt, doch ganz so harmlos ist die Lücke nicht.

Foto: Verifone

Das meistverkaufte Kartenterminal steht unter Beschuss.

+

Das Kartenlesegerät Artema Hybrid des Herstellers Hypercom (heute Verifone) steht fast an jeder zweiten Kasse in Deutschland. Nach Berichten des TV-Magazins Monitor (Donnerstag, 12.7., 21:45 Uhr) und von ZEIT ONLINE lassen sich bei diesem Modell durch einen Hacker-Angriff EC-Kartendaten und PIN-Nummern abgreifen, ohne dass in die Hardware des Terminals eingegriffen werden müsste.

In den Berichten demonstrieren Mitarbeiter der Berliner Firma Security Research Labs, wie sich unautorisiert Software auf den so genannten Applikationsprozessor des Terminals aufspielen lässt. Auf diese Weise ist es möglich, dem Kassenpersonal und dem Kunden einen normalen Zahlungsvorgang zu suggerieren, um unbemerkt an Kartendaten und PIN zu gelangen.

Datendiebstahl per Simulation einer Zahlungstransaktion


Eine echte Zahlungstransaktion findet bei dieser Art des Terminalmissbrauchs nicht statt. Der betroffene Händler merkt also spätestens am Abend beim Kassenschnitt, dass keine realen Transaktionen stattgefunden haben und das Terminal manipuliert wurde. Damit unterscheidet sich der geschilderte Angriff in einem wesentlichen Punkt von den bislang an POS-Terminals bekannt gewordenen Skimming-Fällen.

Das Hochsicherheitsmodul (HSM), auf dem die kryptographischen Schlüssel der deutschen Kreditwirtschaft abgelegt sind, wurde bei der von SRLabs vorexerzierten Manipulation nicht kompromittiert, betonen Hersteller und Deutsche Kreditwirtschaft.

Verifone hatte die EC-Cash-Netzbetreiber und ausgewählte Kunden bereits Anfang des Monats über das Sicherheitsproblem informiert. Entgegen den in der IT-Sicherheitsbranche üblichen Gepflogenheiten hat SRLabs das genaue Angriffsszenario jedoch bis Dienstag dieser Woche nicht gegenüber dem Terminal-Hersteller offengelegt, daher gibt es zur Stunde noch keine Lösung des Problems. Verifone stellte aber ein Softwarepatch in Aussicht, das die Sicherheitslücke an der LAN-Schnittstelle schließen soll.

In einer Presseerklärung des Bundesverbands der deutschen Raiffeisen- und Volksbanken (BVR), der in diesem Jahr die Federführung im Branchenverband Deutsche Kreditwirtschaft (DK) innehat, spielen die Banken das Problem herunter: Es handele sich um einen Angriff unter "Laborbedingungen", selbst wenn es Betrügern gelänge Kartendaten auszuspähen, verhindere der EMV-Sicherheitsstandard (Chip & PIN) den erfolgreichen Einsatz von Kartendubletten.

Die Deutsche Kreditwirtschaft beschwichtigt die Karteninhaber


"Denn neben der PIN ist immer die Originalkarte notwendig, um eine erfolgreiche Transaktion durchzuführen", heißt es in der Erklärung des BVR.

Das ist jedoch nur die halbe Wahrheit, da sich mit gefälschten Karten im Ausland sehr wohl Geld abheben lässt, dort wo keine EMV-Technik an Geldautomaten zum Einsatz kommt. Die Kunden müssen derartige Angriffe aber ohnehin nicht fürchten, da die Banken etwaige Betrugsschäden tragen, wie der BVR stellvertretend für die deutsche Kreditwirtschaft versichert.

Beim betroffenen Hersteller Verifone verweist man darauf, dass sich das medienwirksam inszenierte Angriffszenario in der Praxis nur schwerlich realisieren lasse. "Der Angriff muss über die LAN-Schnittstelle erfolgen und kann nicht aus der Ferne ausgeführt werden kann, da er auf sogenannten ARP-Paketen beruht, die nicht über (DSL-)Router oder einen Switch übertragen werden können", erläutert das Unternehmen in einer Stellungnahme.

Der Angreifer müsse also direkt an das Terminal herankommen, um die Manipulation vornehmen zu können. Es sei daher kaum vorstellbar, mit diesem Angriff, ohne Kenntnis und aktive Mitwirkung eines Händlers tatsächlich PIN und Kartendaten im nennenswerten Umfang auszuspähen.

"Es hat vor allem im Ausland oder bei Tankstellen immer mal wieder Fälle gegeben, bei denen nachgebildete oder ausrangierte Terminals aufgestellt wurden, um Kartendaten und PIN abzugreifen", erläutert ein Kartenzahlungsexperte, der nicht genannt werden will. "Das scheint aber für professionell vorgehende Täter offenbar kein Geschäftsmodell zu sein, da es immer nur vereinzelte Fälle waren."

Anders verhält es sich bei den Terminalmanipulationen, die in den Jahren 2008 und 2009 vermehrt auftraten und auch in letzter Zeit wieder zu beobachten sind, bei denen in die Hardware der Geräte eingegriffen wurde. Hier finden echte Zahlungstransaktionen statt, so dass der Händler nicht merkt, dass seine Terminals angegriffen wurden. In diesen Skimming-Fällen können Kriminelle oft über Wochen oder Monate hinweg Daten abgreifen, um Konten aus dem Ausland zu plündern.

Hanno Bender

Anzeige

 


Diesen Artikel verlinken:
Twitter Facebook
LinkedIn

Impressum | Datenschutz | Kontakt

Copyright: Deutscher Fachverlag GmbH; Anregungen & Kommentare an info@derhandel.de
Credits: Konzept & Layout SamArt Gbr
Credits: Konzept, Projektmanagement, Programmierung und technische Realisation dfv Internet-Service

Anzeige

 

Anzeige

 

Printausgabe

Der Handel Ausgabe 07-08/2014

Die neue Ausgabe vom Wirschaftsmagazin Der Handel ist erschienen!

zum Inhalt »
Infos zum Abo »

 

RETAIL ROADSHOW 2014

Retail Roadshow

Erleben Sie die Local Heroes des
New Yorker Handels gemeinsam mit uns
vom 19-23. Oktober 2014.
Infos und Anmeldung »

 

Weiterbilden. Netzwerken. Horizont Erweitern




Management-Kurse mit Hochschulzertifikat - praxisnah, auf wissenschaftlichem Qualitätsniveau

Zum Kursangebot »



Das Premium-Seminar zu aktuellen Themen der Branche - mit Hochschulzertifikat

Mehr Informationen »

 

Zahl des Monats