Volltextsuche über das Angebot:

2 ° / -5 ° wolkig

Navigation:
Google+ Instagram YouTube
Geklonte Karten-Terminals können Händlern Geld abzweigen

Finanzen Geklonte Karten-Terminals können Händlern Geld abzweigen

Berliner IT-Forscher schlagen Alarm: Wegen Lücken in der Sicherheit könnten Händler mit Hilfe von kopierten Karten-Terminals bestohlen werden. Auch Kartendaten wie PIN-Nummern könnten ausgelesen werden. Die Girocard-Betreiber nennen den Hack "nicht realistisch".

Voriger Artikel
Medien: Google will mit Ford selbstfahrende Autos bauen
Nächster Artikel
Google will WhatsApp und Co. mit neuem Messenger angreifen

Ein Mann zieht eine Geldkarte durch ein Kartenlesegerät.

Quelle: Sebastian Gollnow/Illustration

Berlin. Die Terminals, die in Geschäften für Kartenzahlungen eingesetzt werden, können laut Berliner IT-Experten mit etwas technischem Sachverstand geklont und dann zum Plündern von Händler-Konten verwendet werden.

Kriminelle könnten über die Funktion zum Aufladen von Telefon-SIM-Karten oder als vermeintliche Rückzahlung bei Retouren Geld abbuchen, erklärte die IT-Sicherheitsfirma SRLabs am Dienstag.

Bei einem solchen Szenario wären nur die Händler betroffen, aber nicht die Karten-Inhaber. Lücken in der Kommunikation zwischen Karten-Terminals und Kassengeräten ließen aber auch Kartendaten bis hin zur PIN auslesen, warnte SRLabs. Die Vereinigung Deutsche Kreditwirtschaft erklärte: "Der von der Berliner Security Research Labs (SRLabs) durchgeführte Angriff auf das Girocard-Bezahlsystem ist nicht realistisch."

Der Kern des Problems ist den Forschern zufolge, dass in den Karten-Terminals zum Teil identische Sicherheits-Schlüssel verwendet werden. Das lasse zu, dass man ein solches Gerät klonen und beim Zahlungsabwickler für das Original ausgeben könne.

Dafür braucht man ein ähnliches Terminal, das es zum Beispiel im Internet zu kaufen gibt. In das Gerät könne die ID eines tatsächlich bei einem Händler aktiven Terminals eingespeist werden. Diese ID-Nummer steht auf jedem Kassenbon. Mit einem solchen geklonten Terminal bekomme man Zugang zum Konto des Händlers bei einem Zahlungsabwickler und könne auf dessen Geld zugreifen, erklärte SRLabs.

"Jeder kann so tun, als ob er jedes andere Gerät wäre und dann auf die Konten der entsprechenden Händler zugreifen", sagte SRLabs-Leiter Karsten Nohl "Zeit Online".

Für den Hack brauche man zwar noch weitere Informationen neben der Terminal-ID, sie sind laut SRLabs aber für Kundige relativ einfach zu beschaffen. So komme man an die Service-Passwörter der Betreiber heran, die benötigt werden, um zu den Einstellungen des Terminals vorzustoßen. Das Service-Passwort lasse sich auch aus dem Gerät auslesen, erklärten die Experten "Zeit Online". Die dritte erforderliche Information - die voreingestellte Port-Nummer - lasse sich über einen Diagnosebefehl herausfinden, hieß es. Die Experten von SRLabs hätten drei Monate lang an dem Hack gearbeitet.

Ausführliche Details will SRLabs am 27. Dezember beim Kongress des Chaos Computer Clubs (CCC) in Hamburg vorstellen. Als kurzfristige Lösung sollten die Funktionen für SIM-Aufladung und Retouren deaktiviert werden, empfahlen die Experten. Auf lange Sicht müsse jedes Terminal seinen eigenen Sicherheitsschlüssel bekommen, damit keine Kopien mehr erstellt werden könnten.

Die Deutsche Kreditwirtschaft nahm am Dienstag nicht zu den technischen Einzelheiten des von SRLabs beschriebenen Angriffsszenarios Stellung. In einer Stellungnahme hieß es, die vorgestellten Angriffe erfolgten auf die Magnetstreifentechnik und seien nicht auf Chipkarten übertragbar: "Missbrauch oder Schäden im Girocard-System zu Lasten von Karteninhabern sind daher ausgeschlossen."

Die Forscher stellten ihre Erkenntnisse vorab dem Rechercheverbund von "Süddeutscher Zeitung", WDR und NDR sowie "Zeit online" und der US-Website "Motherboard" vor. SRLabs hatte bereits vor drei Jahren von einem Weg berichtet, wie EC-Karten geklont werden können.

dpa

Voriger Artikel
Nächster Artikel
Mehr aus Multimedia
  • Jetzt einschalten!

    Begeistern Sie Ihre Kunden mit Ihren eigenen Angeboten & Informationen auf großen Bildschirmen – spielend einfach mit der LVZ Mediabox. mehr

  • Unsere Empfehlung

    Kein Display? Kein Problem! Von 22 bis 55 Zoll - mit unseren Mediabox-Komplettsystemen bieten wir Ihnen immer die individuell passende Lösung an. mehr

  • Top Preis

    Sie besitzen bereits einen Display? Mit der LVZ Mediabox steuern Sie ihre individuelle Sendeschleife bequem über das Internet. mehr

  • Sie bestimmen das Programm

    Individuell und aktuell: Ihre Informationen, Angebote und Aktionen sowie News der LVZ und von N24 auf der LVZ Mediabox mehr

  • E-Paper
    E-Paper

    Mit unserem E-Paper-Abo können Sie die LVZ in digitaler Form täglich im Original-Layout im Web oder auf Ihrem Tablet lesen. mehr

  • Magicpaper
    Magicpaper

    Wenn Sie an Beiträgen in der gedruckten LVZ das Handy-Symbol entdecken, stehen ab sofort mithilfe der Magicpaper App zusätzliche digitale Inhalte f... mehr

  • Onlineabo

    "LVZ-Online Extra" heißt das Online-Premiumangebot der Leipziger Volkszeitung, das Sie überall auf der Welt und rund um die Uhr nutzen kö... mehr

  • Schau! Das Leipziger Museumsportal
    Schau! Das Leipziger Museumsportal

    Alle Informationen zu den Museen in Leipzig, ihren Ausstellungen und Events auf einen Blick im Special der LVZ. mehr

  • Zoo Leipzig
    Zoo Leipzig

    Infos und Events aus dem Zoo Leipzig sowie zahlreiche Bilder aller Vierbeiner und der geflügelten Zoobewohner. mehr

  • In Bewegung
    Die Sparkasse Leipzig sucht für Ihren Kalender 2017 wieder schöne Fotos

    Die Sparkasse Leipzig sucht für ihren Kalender 2017 die 12 besten Motive aus hunderten Einsendungen. Die Entscheidung fällt in einem Voting. Hier k... mehr

  • Sparkassen Challenge
    Logomotiv der Sparkassen Challenge 2016

    Sport frei!, heißt es auch 2016 bei zahlreichen Wettkämpfen der Sparkassen-Challenge. Alle Events mit vielen Fotos finden Sie hier! mehr