https://www.faz.net/-hbv-8bsfz

Hackerkongress : Massive Sicherheitslücken bei Giro- und Prepaid-Karten

  • Aktualisiert am

Das Konto wird häufig teurer, dafür gibt es beim Zahlen mit der Girokarte manchmal Rabatt. Bild: Robert Kneschke

IT-Experten haben auf dem Hacker-Kongress 32C3 des Chaos Computer Clubs gezeigt, wie bei Kartenzahlungen PINs gestohlen und Konten angezapft werden können.

          1 Min.

          Zwei IT-Experten haben am Sonntag bei dem Hackerkongress 32C3 in Hamburg, der vom Chaos Computer Club veranstaltet wird, massive Sicherheitslücken beim Bezahlen mit Giro-Karten und Prepaid-Karten demonstriert. Vor mehreren tausend Zuschauern zeigten die Berliner Karsten Nohl und Fabian Bräunlein von der Firma Security Research Labs (SRLabs), wie die PIN-Ziffernfolge nach der Eingabe ausgelesen werden kann. Außerdem überwiesen sie live auf der Bühne des Hamburger Kongresszentrums 15 Euro auf die Prepaid-Karte eines Mobilfunkanbieters und leiteten einen Zahlungsbetrag auf ein anderes Konto um.

          Große Teile der Zahlungsinfrastruktur beruhten auf Protokollen aus den Neunziger Jahren, die große Sicherheitsmängel aufwiesen. Das in Deutschland für die Kommunikation zwischen Zahlungsterminal und Kasse verwendete Protokoll ZVT erlaube es, Kartendaten aus dem lokalen Netzwerk auszulesen. Zudem erlaube es ZVT auch, PINs aus der Ferne auszulesen. Diese seien zwar durch eine Signatur geschützt, diese werde jedoch bisweilen in Hardware-Modulen gespeichert, von den einige anfällig für einfache Timing-Attacken seien. Damit aber ließen sich weitere, sicherere Modelle angreifen, da die Signatur in vielen Terminals dieselbe sei. Das verstoße gegen Grundprinzipien des Sicherheitsdesigns.

          Darüber hinaus könne auch anonym von Geschäftskonten Geld abgehoben werden. Die Zahlungsterminals kommunizierten über eine Schnittstelle mittels eines standardisierten Protokolls namens Poseidon mit den Banken. Doch der Schlüssel sei wie bei ZVT in vielen Terminals derselbe. Man müsse daher nur die Terminal-ID eines beliebigen Terminals ändern um Zugriff auf das Konto zu erhalten, das mit dieser ID verknüpft sei. Und diese ID stehe auf jedem Zahlungsbeleg.

          Auf diese Weise ließe sich Geld zurücküberweisen oder Aufladegutscheine für Prepaid-Handys erstellen. Nohl rief Einzelhandel und Kreditwirtschaft dazu auf, schnell Konsequenzen aus dem Missstand zu ziehen. Verbraucher sollten bei Kartenmissbrauch gegen ihre Bank vorgehen, riet Nohl. Erste Ergebnisse der Untersuchung hatte SRLabs bereits kurz vor Weihnachten öffentlich gemacht. Der Bankenverband „Deutsche Kreditwirtschaft“ hatte in einer Stellungnahme geäußert, die betroffene Funktion sei nicht Bestandteil des Girocard-Systems, sondern eine Zusatzfunktion in vielen Kartenterminals.

          Weitere Themen

          Topmeldungen

           Nadia gehört zur Gattung des Malaysia-Tigers

          In New Yorker Zoo : Tiger am Coronavirus erkrankt

          Die vierjährige Tigerdame Nadia im Zoo der Bronx hat sich vermutlich bei einem Pfleger mit dem Coronavirus angesteckt. Auch weitere Tiere könnten erkrankt sein.

          Streit in der Corona-Krise : „Das ist ein absoluter Witz“

          Englands Fußball-Profis sollen in der Corona-Krise helfen und teils auf ihre üppigen Gehälter verzichten. Doch sie wehren sich – und haben Gründe für ihr Verhalten. Stattdessen arbeiten die Spieler an einem anderen Vorschlag.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.