Deutschen Sicherheitsexperten ist es gelungen Zahlvorgänge mit EC-Karten zu manipulieren. Darüber könnten Kriminelle Geld abschöpfen, indem sie sich selbst Gutschriften ausstellen. Das berichten mehrere deutsche Medien am Dienstag. Details will das Team um den Security-Forscher Karsten Nohl im Rahmen eines Vortrages auf dem diesjährigen Chaos Computer Congress (32C3) in Hamburg vorstellen.

POS-Terminal

Laut den Experten benötigt man für diese Art des Ladendiebstahls ein sogenanntes POS-Terminal (Point of Sale) – also jenes Gerät an Supermarkt-Kassen, an denen Kunden mit ihrer EC-Karte zahlen. An derartige POS-Terminals zu gelangen ist keine Zauberei, man kann sie mieten oder auf Ebay kaufen.

Danach muss man das Passwort des Terminals herausfinden – eine Aufgabe, die man mit Hilfe von Google oder einem entsprechenden Programm erledigen kann. Dieses Passwort funktioniert in der Regel auf allen Terminals des Netzbetreibers, der den Bezahlvorgang zwischen Händler und Bank abwickelt und Terminals wartet oder vermietet.

Identifikationsnummer

Dann braucht man noch die Identifikationsnummer jenes Terminals, über das der Ladendiebstahl über die Bühne gehen soll – diese Nummer findet sich auf jedem Kundenbeleg. Diese Nummer kann man in sein Terminal eingeben und so vorgeben, ein anderes Terminal zu sein.

Als letzten Schritt benötigt man noch die vom Betreiber voreingestellte Port-Nummer des zu klonenden Terminals, über die es sich mit dem Netzbetreiber verbindet. Dieser kann über einen Computerbefehl ermittelt werden. "Wurde dem Angreifer-Terminal nun die Identifikationsnummer eines anderen Terminals verpasst, lädt es automatisch alle benötigten Konfigurationsdaten nach. Anschließend lässt es sich so benutzen, als seien die Angreifer in dem Laden, den sie ausnehmen wollen", beschreibt Zeit-Online. Man braucht für den Ladendiebstahl nicht mal das Haus zu verlassen.

Rückgabe der Waren

Danach kommt man an Geld, in dem so tut, als ob man die Waren, die man vermeintlich gekauft hat, zurückgibt. Dafür muss man auf dem Terminal die entsprechende Funktion auswählen und kann Geld auf ein Konto überweisen. Anschließend bucht das Terminal die Gutschrift und zieht die entsprechende Summe vom Konto des Ladeninhabers ab.

Gegenüber heise.de verriet Nohl, dass sich Lücken im Protokoll Poseidon finden, über welches das Terminal seine Transaktionen abwickelt, sowie in dem Netzwerkprotokoll ZVT, über das Kassen mit einem Terminal kommunizieren.

Nohl hat Bezahldienstleister über diese Schwachstellen informiert. Bei den österreichischen SIX Payment Services (Paylife) werden "Poseidon und ZVT nicht unterstützt/eingesetzt", so eine Sprecherin zum WebStandard.

Bankenverband: "Girocard nicht betroffen"

Die deutschen Banken, organisiert in der Deutschen Kreditwirtschaft (DK), wiesen die Darstellung zurück. In einer am Dienstag veröffentlichten Stellungnahme hieß es: "Die Deutsche Kreditwirtschaft hat diese Angriffe, die unter Laborbedingungen durchgeführt wurden, geprüft. Das Girocard-System der DK ist von diesen Angriffsszenarien nicht betroffen."

Zur Begründung verweist die DK darauf, dass das Girocard-System seit 2012 vollständig auf Chip und PIN basiere, die von den Experten vorgestellten Angriffe bezögen sich aber auf die Magnetstreifentechnik. "Missbrauch oder Schäden im Girocard-System zu Lasten von Karteninhabern sind daher ausgeschlossen." (red, 22.12. 2015)