Angriff

Sonia Seymour Mikich: „Willkommen alle. Sie sehen ein neues, lichtes Studio, ganz transparent, und ich hoffe, Sie mögen es. Und für mehr Transparenz sorgen unsere heutigen Themen. Gleich erzählen wir die Geschichte des EnBW-Deals von Stefan Mappus, die die ganze Republik ins Staunen bringt. Und genauso unglaublich, weiteres Akten-Schreddern beim Verfassungsschutz. Aber wir fangen an mit einem ungewöhnlichen Experiment. 97 Millionen ec-Karten gibt es in Deutschland. Dass Kriminelle versuchen, an PIN-Nummern heranzukommen, ist seit Jahren eine üble Praxis und verursacht Millionenschaden. Dass aber die Lesegeräte, die Sie alle vom Einkaufen kennen, dass diese Terminals selbst eine Schwachstelle sein könnten, davor warnen jetzt IT-Spezialisten. Jochen Leufgens und Peter Onneken über eine neue Variante des PIN-Klaus. Zugriff aus der Ferne.“

Prof. Ulrike Meyer, RWTH Aachen

Prof. Ulrike Meyer, RWTH Aachen: „Das Testbild, was wir hier sehen, ist sehr real. Es besteht aus lauter handelsüblichen Komponenten, die frisch eingekauft wurden, die hier neu ausgepackt wurden. Wie man es jetzt auch vorfinden sollte in einem normalen alltäglichen Setup.“

Vor dem Versuch wurden mehrere Konten bei unterschiedlichen Banken eröffnet. Die Geheimnummern waren bis jetzt verschlossen. Dann wird eine Bezahlung am Kassensystem mit den Karten simuliert. In den Datenverkehr mit einer Bank wird nicht eingegriffen. Ein Bezahlvorgang an einem Gerät, das als absolut sicher zertifiziert wurde. Es sollte nicht zu knacken sein.

Thomas Roth: „Die eingegebene PIN war 8215.“

Prof. Ulrike Meyer, RWTH Aachen: „Korrekt!“

Und kein Zufallstreffer. Die Hacker lesen tatsächlich jedes Mal mit.

Thomas Roth: „6141.“

Thomas Roth: „1541.“

Experte Christof Paar hatte vor dem Versuch gezweifelt, ob er funktionieren wird.

Prof. Christof Paar, Ruhr-Universität Bochum: „Dies ist ein neuer Angriff, das war mir vorher auch nicht bewusst. Ich hätte jetzt auch mal eher getippt, dass der Angriff nicht möglich ist, dass die Geräte dagegen abgesichert sind. Ja, und damit muss man jetzt natürlich entsprechend umgehen. Man muss sich bewusst sein, hier ist ein neuer Angriffsvektor, das sind neue Missbrauchspotentiale.“

Karsten Nohl, Security Research Labs: „Das Missbrauchspotential dieses Angriffs ist daher so groß, da er aus der Ferne erfolgen kann. Anders als beim Skimming, wo Banden einzelne Geldautomaten belagern müssen, könnte hier theoretisch ein Verbund mehrerer zusammengeschalteter Terminals durchaus auch vieler auf einmal gehackt werden und über Wochen oder Monate einem Angriff ausgesetzt sein.“

Das Schreckensszenario: Zunächst müssen Hacker ein Gerät infizieren, per Netzwerk etwa. Sie schicken eine Art Virus an das Gerät, um es unter Kontrolle zu bekommen. Jetzt können sie Geheimnummern und Kartendaten abgreifen. Es sind viele Kunden, denn fast jeder zweite in Deutschland zahlt mit Karte. Und die Daten lassen sich die Angreifer bequem über das Netzwerk liefern. Doch das Szenario könnte noch viel schlimmer sein. Denn in großen Märkten gibt es nicht nur ein Kassenterminal, sondern viele. Und jedes Terminal könnte Magnetstreifendaten und PIN an die Täter schicken. Der Hackerangriff wäre unsichtbar, an den Geräten nicht zu erkennen. Versuch und Szenario präsentieren wir Martin Warwick. Er ist Spezialist für Betrugsbekämpfung eines weltweit tätigen Unternehmens für Sicherheit im Zahlungsverkehr, verantwortlich für die Sicherheit von 400 Millionen Kreditkarten.

Martin Warwick, FICO

Martin Warwick, FICO (Übersetzung MONITOR): „Wenn solch ein Angriff stattfindet, können Sie ja nicht Millionen von Karten austauschen. Denn auch die können ja wieder ausgespäht werden, wenn Sie das Grundproblem der Terminalsicherheit nicht gelöst haben. Analysesoftware, wie sie manche Banken benutzen ist hilfreich, aber nicht genug. Man müsste die Kartenterminals austauschen.“

300.000 Artema Hybrid Geräte austauschen? Der Gerätehersteller Verifone bestätigt MONITOR gegenüber die Sicherheitslücke. Das Problem sei aber mit einem Softwareupdate an den betroffenen Geräten zu beheben. Dass dies erst jetzt geschieht - und die Sicherheitslücke heute immer noch existiert, ärgert Karsten Nohl. Bereits im März hatte er den Hersteller alarmiert.

Karsten Nohl, Security Research Labs: „Wir haben den Hersteller schon vor Monaten informiert inklusive einer Demonstration und in dem Gespräch stand natürlich das Risiko des PIN-Klaus und des Card-Clonings im Vordergrund und wurde von allen als das größte Risiko gesehen.“

Passiert ist offensichtlich wenig. Bis diese Woche. Ein ähnlicher Test wurde jetzt auch unter Behördenaufsicht durchgeführt, das bestätigte nun das Bundeskriminalamt gegenüber MONITOR. Hier war der Hersteller zugegen. Wann das Softwareupdate fertig ist, sagt Verifone nicht, lehnt ein Interview ab. Schriftlich heißt es:

Zitat: „Dies wird (...) spätestens nach Durchführung des Kassenabschlusses auffallen, der in der Regel täglich ausgeführt wird.“

Und:

Zitat: „Es ist aus unserer Sicht daher schwer vorstellbar mit diesem Angriff (...) tatsächlich PIN und Kartendaten im nennenswerten Umfang auszuspähen.“

Verifone sagt, in der Demonstration haben die Hacker zwar PIN und Kartendaten ausgelesen, das Sicherheitsmodul verhindere aber, dass es zu einer Zahlung kommt. Laut dem IT-Experten Karsten Nohl hilft das in Praxis wenig. Kriminelle hätten mehrere Möglichkeiten, das Problem zu umgehen.

Karsten Nohl, Security Research Labs: „Man kann den Kunden die PIN-Nummer zweimal eingeben lassen, man kann Lastschriften generieren und trotzdem die PIN-Nummer abfragen. Also ein Schutz vor PIN-Abgriff ist mit Sicherheit nicht durch die Tagesendabrechnung möglich.“

Und die Deutsche Kreditwirtschaft? Die uns noch vor Wochenfrist mitteilte, man müsse nur die Hand über das Eingabefeld halten? Ein Interview lehnt sie ab, schreibt aber, dass man auch schon länger Bescheid wusste. Und dass das Problem nur ein theoretisches sei, das der Hersteller aber nun schnell beheben müsse. Und:

Zitat: „Selbst wenn es Betrügern tatsächlich gelingen sollte, Karten-Daten auszuspähen, verhindert im girocard-System die chipbasierte Abwicklung den Einsatz einer nachgemachten Karte.“

Klingt plausibel. Stimmt auch, innerhalb Deutschlands. In den meisten Ländern im Ausland ist es kein Problem mit nachgemachten Karten wie diesen Geld abzuheben. Und den Kunden ist es letztlich gleich, von wo aus ihre Konten leer geräumt werden. Es bleibt eine Sicherheitslücke über Monate nicht geschlossen. Eine Lücke, die Hersteller und Kreditwirtschaft bekannt war. Erst jetzt wird versucht, das Loch unter Hochdruck zu schließen.