{"id":384,"date":"2012-07-14T11:35:46","date_gmt":"2012-07-14T09:35:46","guid":{"rendered":"https:\/\/www.amexio.de\/blog\/?p=384"},"modified":"2014-12-30T22:12:42","modified_gmt":"2014-12-30T21:12:42","slug":"gravierende-sicherheitslucke-beim-bezahlen-an-ec-karten-terminals-entdeckt","status":"publish","type":"post","link":"https:\/\/www.amexio.de\/blog\/gravierende-sicherheitslucke-beim-bezahlen-an-ec-karten-terminals-entdeckt\/","title":{"rendered":"Gravierende Sicherheitsl\u00fccke beim Bezahlen an EC-Karten-Terminals entdeckt"},"content":{"rendered":"

In Deutschland werden im Einzelhandel rund 21 Prozent des Umsatzes mit EC-Karten bezahlt. Hackern ist es gelungen, dass als sicher geltende Verfahren, zu knacken.<\/strong><\/p>\n

Die Sicherheitsl\u00fccke wurde von dem 21-j\u00e4hrigen Thomas Roth der Firma Security Research Labs<\/a> entdeckt. Bereits im M\u00e4rz 2012 hatte Security Research Labs den Hersteller Verifone, nach eigener Darstellung „Weltmarktf\u00fchrer im Bereich sicherer elektronischer Zahlungssysteme“, \u00fcber die Sicherheitsl\u00fccke informiert. Die L\u00fccke ist aktuell immer noch nicht geschlossen. Security Research Labs entschloss sich deshalb zum Gang an die \u00d6ffentlichkeit und f\u00fchrte den Hack eines EC-Kartenterminals im ARD Magazin Monitor unter der Aufsicht von Gutachtern vor.<\/p>\n

Bei dem gehackten EC-Terminal handelt es sich um das Modell „Artema Hybrid“ der Firma Verifone. Hierzulande ist das Artema Hybrid mit 300.000 St\u00fcck das am meisten genutzte System im deutschen Einzelhandel. Das System weist mehrere Schwachstellen auf. Angreifer k\u00f6nnten die Schnittstellen WLAN, Ethernet und SD-Kartenslot als Einfallstor f\u00fcr Schadsoftware nutzen. <\/p>\n

Gegen\u00fcber dem ARD Magazin Monitor best\u00e4tigte Verifone die Sicherheitsl\u00fccke. An einem Softwareupdate zur Behebung der Sicherheitsl\u00fccke wird noch gearbeitet. Den deutschen Banken ist die aktuelle Schwachstelle beim EC-Cash Zahlungsverfahren ebenfalls seit Monaten bekannt. Die Deutsche Kreditwirschaft spielt das Problem jedoch herunter. Aus ihrer Sicht sei so ein Angriff „nur unter Laborbedingungen“ m\u00f6glich. Weiter hei\u00dft es in der Stellungnahme, dass „im girocard-System die chipbasierte Abwicklung den Einsatz einer nachgemachten Karte verhindert“. Ein „tats\u00e4chliches Sicherheitsproblem“ soll nicht bestehen, da zum Geldabheben immer die Originalkarte notwendig ist. Bei dieser Beschwichtigung wird komplett ausgeblendet, dass der Schaden mit nachgemachten Karten aus Skimming F\u00e4llen in den letzten Jahren massiv gestiegen ist. Im Ausland kann mit nachgemachten EC-Karten problemlos Geld abgehoben werden, da die Sicherheitsvorkehrungen der Automaten nicht den deutschen Standards entsprechen und auch ohne funktionierenden EMV-Chip Auszahlungen m\u00f6glich sind.<\/p>\n

Sch\u00fctzen kann man sich vor der neuen Angriffsmethode nicht, da der Angriff nicht zu erkennen ist. Besonders vorsichtig sollten Sie sein, wenn der Zahlungsvorgang beim ersten Versuch nicht funktioniert haben soll und Sie erneut zur Eingabe der PIN aufgefordert werden. Bei der Demonstration von Security Research Labs wurde die PIN-Nummer bei der zweiten PIN-Abfrage abgegriffen. Der eigentliche Zahlungsvorgang war zu diesem Zeitpunkt bereits abgeschlossen. Ganz sicher gehen Sie, wenn Sie bis zur Behebung der Sicherheitsl\u00fccke nicht mehr mit EC-Karte zahlen, bzw. nur noch mit Unterschrift.<\/p>\n