Unsicher

300 000 Geräte gefährdet: EC-Karten-Terminals geben PINs preis

ARD-Magazin Monitor berichtet über gravierende Sicherheitslücken
AAA

Rund 300 000 Kartenlesegeräte sollen in Deutschland gefährdet sein.Rund 300 000 EC-Karten­lese­geräte sollen in Deutschland gefährdet sein. Das ARD-Magazin Monitor berichtet in seiner heutigen Sendung, dass bestimmte EC-Karten-Terminals unsicher seien. Dem Bericht zufolge ist ein in Deutschland an rund 300 000 Verkaufsstellen eingesetztes Terminal des Herstellers VeriFone von der Sicherheitslücke betroffen. Angeblich sei die Sicherheitslücke dem Hersteller und den Banken bereits seit Monaten bekannt.

Für den Bericht arbeitet Monitor mit den Berliner Sicherheitsspezialisten von Security Research Lab zusammen. Karsten Nohl von Security Research Labs hält die Sicherheitslücke für groß: "Anders als bei Skimming, wo Kriminelle einzelne Geldautomaten belagern müssen, könnten hier theoretisch viele Terminals auf einmal gehackt werden."

Drei Sicherheitslücken in Kartenlesegerät entdeckt

Die Versuche haben gezeigt, dass die Geräte von VeriFone über wenigstens eine Sicherheitslücke verfügen, die von Außen ausgenutzt werden kann. Diese soll sich über die Netzwerk-Schnittstelle des Gerätes ausnutzen lassen und einem Angreifer erlauben, gefährlichen Code auf Systemebene auszuführen. Daneben haben die Sicherheits-Experten auch zwei weitere Lücken gefunden, die jedoch nur am Gerät direkt ausgenutzt werden können. Der Anwendungs-Prozessor des Gerätes lasse sich über zwei Schnittstellen ansprechen, ohne dass dafür das Kartenlesegerät geöffnet werden müsste.

Alle drei Lücken erlauben einem Angreifer, die vom Kunden eingegebene PIN auszuspionieren und Transaktionsdaten zu fälschen. Mit der ausgelesenen PIN lassen sich Kopien der genutzten EC-Karte erstellen, mit denen im Ausland Geld vom Konto abgehoben werden kann. Ein Angreifer kann nach Angaben von Security Research Lab aber auch nach einem erfolgreichen Angriff zum Beispiel den Betrag fälschen. Auch sei es möglich, dem Kassensystem eine erfolgreiche Transaktion vorzugaukeln.

Hersteller Verifone will Lücke bald schließen

Der Hersteller habe sich mittlerweile gegenüber Monitor geäußert. Demnach arbeite VeriFone an einem Software-Update, das zumindest die Lücke schließen soll, die Angreifern von Außen Zugriff erlauben soll. Nach Angaben der Berliner Sicherheits-Experten sollen sich die zwei lokal ausnutzbaren Sicherheitslücken jedoch nicht durch ein Software-Update schließen lassen, da sich die genutzte Schnittstelle nicht ohne weiteres deaktivieren lasse. Die Experten vermuten daher, dass diese Schwachstellen so lange offen bleiben, bis duie Geräte an sich getauscht würden.

Den vollständigen Bericht sendet die ARD im Magazin Monitor heute um 21:45 Uhr.

Mehr zum Thema Online- und Handy-Bezahlsysteme