Ein zu Testzwecken fingierter Hackerangriff im Einzelhandel könnte das Vertrauen der Kunden in elektronische Bezahlsysteme erschüttern: Beim Umgang mit EC-Karten an der Kasse ist es demnach auch Unbefugten theoretisch möglich, private Daten inklusive Geheimnummer auszulesen. Der Marktführer verspricht schnelle Besserung.

Ratgeber 15.07.12 01:27 min

Massive Sicherheitslücken bei EC-Terminals Pin ist leicht zu knacken

Beim Bezahlen mit EC-Karten gibt es einem Magazin-Bericht zufolge erhebliche Sicherheitslücken. Bei einem Test sei es IT-Experten gelungen, EC-Kartendaten samt Geheimnummern von außen an den Kassen im Einzelhandel auszulesen, berichtete das ARD-Magazins "Monitor". Es bestehe eine grundsätzliche erhebliche Sicherheitslücke im System, hieß es.

Der Bundesverband der Deutschen Volksbanken und Raiffeisenbanken (BVR) wies die Vorwürfe umgehend zurück. Das Bezahlen mit EC-Karten im Handel ist nach Einschätzung der Deutsche Kreditwirtschaft sicher. Der Verband spricht für die gesamte Branche, also auch für Sparkassen und Privatbanken.

Selbst wenn es Betrügern tatsächlich gelingen sollte, Kartendaten auszuspähen, verhindere die chipbasierte Abwicklung im Girocard-System den Einsatz einer nachgemachten Karte, erklärte der Bundesverband. Denn neben der PIN sei immer die Originalkarte notwendig, um eine erfolgreiche Transaktion durchzuführen.

Nach Angaben des Magazins war es IT-Experten gelungen, im Einzelhandel EC-Kartendaten samt Geheimnummern an den Terminals eines Anbieters auszulesen. Eine unmittelbare Gefahr für Kunden bestand dabei nicht: Der Hackerangriff habe keinen kriminellen Hintergrund gehabt und sei im Auftrag der Reporter an Originalgeräten unter Aufsicht von Gutachtern versuchsweise durchgeführt worden, hieß es. Wie genau die Spezialisten dabei vorgingen, blieb zunächst unklar. Offenbar konnten sich die Tester von außen in die LAN-Verbindung der Lesegeräte einwählen und dann Daten abgreifen.

Zusätzliche Sicherung

Mit den Kartendaten und Geheimnummern könnten Kriminelle dem Bericht zufolge neue EC-Karten herstellen, um dann im Ausland Geld abzuheben. Die Kreditwirtschaft hält dagegen: Der Versuch sei unter Laborbedingungen entstanden. Es gebe keinen Beweis, dass dieses Vorgehen auch unter realen Bedingungen funktioniere.

Die Deutsche Kreditwirtschaft nehme diese neue Angriffsform trotzdem ernst, auch wenn sie in der Realität nur eine theoretische Möglichkeit darstellt. Der verantwortliche Terminalhersteller habe zudem zugesagt, sämtliche betroffenen Terminals schnellstmöglich mit einem Software-Update auszustatten, teilte der Bundesverband mit.

Das beim Test der ARD-Reporter ausgelesene Gerät stammt vom Branchenführer Verifone. Rund 300.000 dieser Geräte stünden in deutschen Geschäften für den bargeldlosen Zahlungsverkehr mit der EC-Karte bereit. Die Sicherheitslücke sei dem Hersteller und den Banken seit Monaten bekannt, hieß es. Verifone habe die Sicherheitslücke mittlerweile bestätigt. Man sei dabei, für die Kartengeräte ein Softwareupdate zu erstellen, um die "Verwundbarkeit" zu beheben, so der Bericht. Laut Magazin werden jedes 110 Mrd. Euro mit EC-Karten im Handel umgesetzt.

Experten erwägen Geräte-Austausch

Der gesicherte Umgang mit persönlichen Kontodaten ist dabei nicht nur für Verbraucher von besonderer Bedeutung: Sollten in der Praxis tatsächlich gravierende Sicherheitsmängel auftreten, könnte das die Akzeptanz des elektronischen Zahlungsverkehrs in weiten Teilen der Bevölkerung gefährden. Ein solcher Stimmungswandel hätte erhebliche Folgen für den Einzelhandel.

Ulrike Meyer, Professorin für IT-Sicherheit an der RWTH Aachen forderte umfassende Maßnahmen. Zunächst müsse der Hersteller der EC-Terminals versuchen, die Sicherheitslücke zu schließen. "Wenn das nicht möglich ist, müssen natürlich neue Geräte verteilt werden", sagte Meyer im WDR. "Langfristig muss geschaut werden, was in dem Zertifizierungsprozess fehlgeschlagen ist."

"Effiziente und sichere Zahlungssysteme sind Grundlage eines stabilen Finanzsystems", heißt es bei der Bundesbank zur Bedeutung des "unbaren Zahlungsverkehrs". Die Bundesbank ist in Deutschland für die Versorgung mit Bargeld zuständig. Im Fall einer Vertrauenskrise müsste sie auch ihre Planungen auf einen womöglich ansteigenden Bargeldbedarf anpassen.