Gravierende Sicherheitslücke beim Bezahlen an EC-Karten-Terminals entdeckt

In Deutschland werden im Einzelhandel rund 21 Prozent des Umsatzes mit EC-Karten bezahlt. Hackern ist es gelungen, dass als sicher geltende Verfahren, zu knacken.

Die Sicherheitslücke wurde von dem 21-jährigen Thomas Roth der Firma Security Research Labs entdeckt. Bereits im März 2012 hatte Security Research Labs den Hersteller Verifone, nach eigener Darstellung „Weltmarktführer im Bereich sicherer elektronischer Zahlungssysteme“, über die Sicherheitslücke informiert. Die Lücke ist aktuell immer noch nicht geschlossen. Security Research Labs entschloss sich deshalb zum Gang an die Öffentlichkeit und führte den Hack eines EC-Kartenterminals im ARD Magazin Monitor unter der Aufsicht von Gutachtern vor.

Bei dem gehackten EC-Terminal handelt es sich um das Modell „Artema Hybrid“ der Firma Verifone. Hierzulande ist das Artema Hybrid mit 300.000 Stück das am meisten genutzte System im deutschen Einzelhandel. Das System weist mehrere Schwachstellen auf. Angreifer könnten die Schnittstellen WLAN, Ethernet und SD-Kartenslot als Einfallstor für Schadsoftware nutzen.

Gegenüber dem ARD Magazin Monitor bestätigte Verifone die Sicherheitslücke. An einem Softwareupdate zur Behebung der Sicherheitslücke wird noch gearbeitet. Den deutschen Banken ist die aktuelle Schwachstelle beim EC-Cash Zahlungsverfahren ebenfalls seit Monaten bekannt. Die Deutsche Kreditwirschaft spielt das Problem jedoch herunter. Aus ihrer Sicht sei so ein Angriff „nur unter Laborbedingungen“ möglich. Weiter heißt es in der Stellungnahme, dass „im girocard-System die chipbasierte Abwicklung den Einsatz einer nachgemachten Karte verhindert“. Ein „tatsächliches Sicherheitsproblem“ soll nicht bestehen, da zum Geldabheben immer die Originalkarte notwendig ist. Bei dieser Beschwichtigung wird komplett ausgeblendet, dass der Schaden mit nachgemachten Karten aus Skimming Fällen in den letzten Jahren massiv gestiegen ist. Im Ausland kann mit nachgemachten EC-Karten problemlos Geld abgehoben werden, da die Sicherheitsvorkehrungen der Automaten nicht den deutschen Standards entsprechen und auch ohne funktionierenden EMV-Chip Auszahlungen möglich sind.

Schützen kann man sich vor der neuen Angriffsmethode nicht, da der Angriff nicht zu erkennen ist. Besonders vorsichtig sollten Sie sein, wenn der Zahlungsvorgang beim ersten Versuch nicht funktioniert haben soll und Sie erneut zur Eingabe der PIN aufgefordert werden. Bei der Demonstration von Security Research Labs wurde die PIN-Nummer bei der zweiten PIN-Abfrage abgegriffen. Der eigentliche Zahlungsvorgang war zu diesem Zeitpunkt bereits abgeschlossen. Ganz sicher gehen Sie, wenn Sie bis zur Behebung der Sicherheitslücke nicht mehr mit EC-Karte zahlen, bzw. nur noch mit Unterschrift.

Die gesamte Monitor-Sendung können Sie über diesen Link ansehen.

Weitergehende Informationen zu diesem Thema finden Sie z.B. auf folgenden Seiten:

Golem.de: EC-Kartenterminals in Deutschland gehackt
Netzplitik.org: EC-Karten: Weit verbreitetes Terminal gehackt, PIN-Klau auch über’s Internet möglich
IT-Business.de: Weit verbreitetes EC-Karten-Terminal gehackt
Verbraucher-Papst.de: Sicherheitslücke entdeckt: Vorsicht beim Einkauf mit EC-Karte