Gutscheinfunktion von EC-Terminals abschalten

Die Kollegen der Berliner Sicherheitsfirma SRLabs haben herausgefunden, wie man Händler mit Hilfe von EC-Terminals bestehlen kann. Kern des Angriffs ist die Gutschriften-Funktion der Terminals. Wird diese nicht unbedingt gebraucht, ist es ratsam, sie abzuschalten. Die Angreifer mieten ein eigenes POS-Terminal und fälschen dessen Identität, so dass sie es einem anderen Händler unterschieben können.

Dieser bezahlt letztendlich die Gutschrift, die die Hacker sich auf dem Gerät ergaunern. Die Deutsche Kreditwirtschaft wiegelt ab: Das EC-Kartensystem sei sicher, der Angriff unrealistisch. Das Szenario funktioniere nur mit Magnetstreifen, die Kartenzahlung sei aber längst auf Chips umgestellt, heißt es. Das ließen die Experten nicht auf sich sitzen und führten den Hack live vor. Ein Händler, der sich probeweise bestehlen lässt, war schnell gefunden: Der WDR hat einen eigenen Shop im Haus und war aus journalistischem Interesse gerne bereit, den Schaden zu riskieren. Der Hack wurde in der Tagesschau gezeigt, das Video ist im Netz verfügbar.

Bei ihren Forschungen stießen die Kollegen auf haarsträubende Sicherheitslücken. So war auf einer Baureihe ein Standardpasswort vergeben – auf jedem Exemplar das gleiche Passwort, das zudem noch im Internet zu finden war. Zudem besteht das Passwort aus nur sechs Ziffern und man darf beliebig oft versuchen, es einzugeben. Die Identifikationsnummer des Terminals ist ebenfalls leicht zu finden: Sie steht auf jedem Kundenbeleg.

Weitere Details ihres Hacks wollen die Kollegen auf dem diesjährigen Kongress des Chaos Computer Clubs vorstellen. Die Gerätehersteller arbeiten an Updates, um die Sicherheitslücken zu schließen. Sind Sie von dieser Lücke betroffen? Wie können Sie sich schätzen? Wir beraten Sie gerne zu diesem Thema.