Sicherheit
EC-Terminals immer noch nicht sicher
von
Thorsten
Eggeling - 15.08.2012
Das bisher als sicher geltende bargeldlose Bezahlen mit EC-Karte hat gravierende Sicherheitslücken, die seit Monaten bekannt sind. Dennoch hat der Hersteller bis heute den Fehler nicht beseitigt.
Das EC-Karten-Terminal „Artema-Hybrid“ vom Marktführer VeriFone ist weit verbreitete. Einem Artikel von Welt Online zufolge kommt dieses Terminal alleine in Deutschland an über 300.000 Kassen zum Einsatz. Insgesamt sind in Deutschland etwa 100 Millionen EC-Karten im Umlauf und jedes Jahr buchen Gaststätten und Einzelhandel um die 110 Milliarden Euro von den Konten ihrer Kunden ab.
Nach eingehenden Untersuchungen haben Sicherheitsexperten von Security Research Labs (SRLabs) bereits vor einiger Zeit gravierende Sicherheitslücken in dem System der bargeldlosen Zahlung über EC-Terminals entdeckt. Ihnen gelang es, sich unter Ausnutzung einer Sicherheitslücke unentdeckt Zugriff auf das Terminal verschaffen, das direkt mit der Bank verbunden ist. Nach Angaben der Experten sind Phishing-Attacken auf die Kunden möglich. Beispielsweise könnten Kunden durch Manipulation dazu aufgefordert werden, ihre PIN erneut einzugeben. Durch den unmittelbaren Zugriff auf den Terminal könnten Angreifer dann die PINs im Klartext auslesen. Darüber könnten Kriminelle schließlich Zahlungen vom Konto des Kunden auf beliebige andere Konten umleiten.
Carsten Nohl von SRLabs hatte der Herstellerfirma Verifone bereits im März die Sicherheits-Probleme vorgeführt. Weil das Unternehmen aber kein Interesse zeigte, wendete sich der Sicherheitsspezialist schließlich an die Öffentlichkeit. Dennoch gibt es bis heute kein Sicherheits-Update. Immerhin hat VeriFone die Sicherheitslücken inzwischen zugegeben. Nur der Bankenverband scheint den Ernst der Lage immer noch nicht erkennen zu wollen. Auf der Internetseite der Deutschen Kreditwirtschaft heißt es weiter, dass Kartenterminals im Handel sicher seien.
Update 03.09.2012: In einer Stellungnahme betont VeriFone, dass sie die Sicherheit ihrer Produkte sehr ernst nehmen. Man stehe im Kontakt mit der Sicherheitsfirma SRLabs. Allerdings habe SRLabs bis heute keine vollständigen Unterlagen zur Verfügung gestellt. Laut VeriFone handelt es sich um ein rein theoretisches Angriffsszenario und ein Angriff sei in der Praxis nicht erfolgt. Man habe aber bereits „Umsetzungsvorschläge für ein Software-Update für das Artema Hybrid Terminal erarbeitet. Diese werden derzeit von der Deutschen Kreditwirtschaft (DK) geprüft. Nach Prüfung durch den DK werden wir den Netzbetreibern, die den Betrieb der Terminals durchführen, das Software-Update kurzfristig zur Verfügung stellen.“, heißt es in der Stellungnahme.
