Eine gravierende Sicherheitslücke beim Bezahlsystem mit EC-Karten meinen IT-Experten entdeckt zu haben. Mit wenig Aufwand könnten demnach Kriminelle Händler um ihr Geld bringen. Die Betreiber des Bezahlsystems wollen davon allerdings nichts wissen.

Beim Bezahlen mit EC-Karte gibt es einem Bericht zufolge eine "massive" Schwachstelle, die Kriminelle problemlos ausnutzen können, um sich selbst Gutschriften auszustellen. Geschädigte seien in solchen Fällen Händler, berichtete der Rechercheverbund aus "Süddeutscher Zeitung", NDR und WDR. Aufgedeckt hatte die Schwachstelle die IT-Sicherheitsforscher des SR Labs aus Berlin. Demnach beträfe die Problematik fast alle Bezahlterminals in Deutschland und somit Einzelhändler, Hotelbetreiber und Tankstellen, sagte IT-Sicherheitsforscher Karsten Nohl dem Rechercheverbund.

Die Banken und Sparkassen wiegelten ab: Die Angriffe seien nur unter Laborbedingungen möglich, teilte der Verband Deutsche Kreditwirtschaft mit. Das Girocard-System sei sicher. Ernster nimmt da schon der Bundesverband der "electronic cash"-Netzbetreiber (BECN) eine mögliche Bedrohung. Und begrüßt, dass der betreffende Terminalhersteller im Rahmen der regelmäßigen Softwareupdates geeignete Maßnahmen gegen die aufgezeigten Szenarien ergreifen möchte.

Die Kriminellen nutzen dem Bericht zufolge ein sogenanntes POS-Terminal, also das Gerät an der Supermarkt-Kasse, an dem Kunden mit der EC-Karte bezahlen. POS-Terminals lassen sich demnach für wenige Euro im Monat mieten. Die Angreifer könnten das Passwort des Terminals, die Identifikationsnummer und den Verbindungsaufbau analysieren.

Mit diesen Informationen lasse sich ein Verbindungsaufbau herstellen, bei dem die Angreifer ein fremdes POS-Terminal übernehmen, hieß es. So seien sie in der Lage, sich Gutschriften auszustellen. Dabei wird das Geld dem Betreiber des "echten" Terminals abgebucht. Grundsätzlich sei es denkbar, sich mit dieser Masche von Terminal zu Terminal zu arbeiten - idealerweise automatisiert - und so in großem Stil Geld abzuschöpfen.

Grundsätzlich sei es jedoch möglich, sich gegen die Angriffe zu wehren, so die Sicherheitsforscher. Zum Beispiel, indem die IP-Adresse geprüft werden würde. Wenn sich diese plötzlich verändere, könne man den Zugriff blockieren.