(mm/rh) - Hackerangriff beim Einkaufen: Eine Sicherheitslücke in Lesegeräten für EC-Karten ermöglicht es Kriminellen, die Bankdaten und Geheimnummern von Kunden auszulesen. Wie das ARD-Magazin "Monitor" berichtet, ist beinahe jedes zweite Bezahlterminal betroffen. Der Hersteller hat die Schwachstelle bestätigt und will reagieren. Doch die Vorkommnisse weisen auf ein viel schwerwiegenderes Problem hin.

Mehr News zum Thema Wirtschaft

"Zahlen Sie bar oder mit Karte?" - diese Frage wird in deutschen Geschäften immer häufiger mit "Karte" beantwortet. Wurden im Jahr 2001 noch 490 Millionen Transaktionen getätigt, so hat sich die Zahl bis 2011 vervierfacht. Klar, die bargeldlose Zahlung ist komfortabel und praktisch - doch ist sie auch sicher? Dieser Frage geht das ARD-Magazin "Monitor" in seiner aktuellen Sendung nach und hat zusammen mit den IT-Experten der Berliner Firma Security Research Labs Kartenterminals auf die Probe gestellt. Das Ergebnis ist alarmierend.

Unter der Aufsicht von Gutachtern gelang es den Sicherheitsspezialisten, sich über eine Netzwerkverbindung von aussen in die EC-Lesegeräte einzuwählen und Kartendaten und Pin-Nummern der Kunden auszulesen. Möglich wurde dies durch eklatante Sicherheitslücken in der Software der Terminals.

Durchgeführt wurde der simulierte Hackerangriff an Originalgeräten des Branchenführers Verifone. Von insgesamt 670.000 Kartenterminals (Stand 2010) in Deutschland sind rund 300.000 Exemplare von diesem Hersteller. Sollten Kriminelle die Schwachstellen ausnutzen, wären also zahlreiche Geschäfte betroffen.

Die Sicherheitslücke hätte nicht auftreten dürfen

Auf Anfrage von "Monitor" bestätigte Verifone die Sicherheitslücke und kündigte an, bereits an einem Softwareupdate für die Geräte zu arbeiten, um die "Verwundbarkeit" zu beheben. Besonders ärgerlich: Schon im März dieses Jahres hatte Security Research Labs den Hersteller auf die Sicherheitslücke hingewiesen, behoben hat man die Fehler in der Zwischenzeit jedoch offensichtlich nicht. Auch der Spitzenverband der deutschen Geldinstitute, die Deutsche Kreditwirtschaft (DK), fordert ein rasches Update für die betroffenen Terminals.

Doch das Ausbessern dieser Schwachstellen sollte nur einen ersten Schritt darstellen. So weist nach Ansicht von Frank Rosengart, Sprecher des Chaos Computer Clubs (CCC), der gezeigte Angriff auf ein viel schwerwiegenderes Problem hin: Die anscheinend mangelhaften Prüfverfahren bei der Zertifizierung der EC-Lesegeräte. "Die gezeigten Schwachstellen dürfen bei solchen Geräten einfach nicht passieren und müssten spätestens bei der Zulassungsprüfung beanstandet werden", stellt Rosengart auf unsere Anfrage klar. Verantwortlich für diese Prüfverfahren ist der DK selbst.

Ist sicheres Bezahlen noch möglich?

Durch Betrügereien an Geldautomaten sind bereits viele Kunden misstrauisch, wenn sie Geld abheben. Wurden heimlich Kameras angebracht? Hat jemand die Tastatur modifiziert? Während diese Datendiebstähle zurückgehen, droht jetzt also an der Supermarkt-Kasse Gefahr.

Laut CCC-Sprecher Rosengart dürfte es nur schwer festzustellen sein, ob die Schwachstellen in der Praxis bereits ausgenutzt werden. Wenn dem so wäre, hätten Kunden keine Möglichkeit zu erkennen, ob sich Kriminelle Zugriff auf ein Bezahlterminal verschafft haben.

Trotz allem warnen die Experten vor Panikmache. Auf Nachfrage der Nachrichtenagentur dpa gab Karsten Nohl von der am Test beteiligten Firma Security Research Labs an, dass ein Betrüger die Bezahlterminals für eine Manipulation im Detail sehr gut verstehen müsste. Dies setze eine Erforschung von mehreren Monaten voraus. Auch der Bundesverband der Deutschen Volksbanken und Raiffeisenbanken versucht im Namen der DK zu beschwichtigen. Der Versuch sei unter Laborbedingungen entstanden und es gebe keinen Beweis, dass dieses Vorgehen auch unter realen Bedingungen funktioniere, so ein Sprecher laut dpa.

JTI zertifiziert JTI zertifiziert

"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.