https://www.faz.net/-hbv-8bsfz

Hackerkongress : Massive Sicherheitslücken bei Giro- und Prepaid-Karten

  • Aktualisiert am

Das Konto wird häufig teurer, dafür gibt es beim Zahlen mit der Girokarte manchmal Rabatt. Bild: Robert Kneschke

IT-Experten haben auf dem Hacker-Kongress 32C3 des Chaos Computer Clubs gezeigt, wie bei Kartenzahlungen PINs gestohlen und Konten angezapft werden können.

          1 Min.

          Zwei IT-Experten haben am Sonntag bei dem Hackerkongress 32C3 in Hamburg, der vom Chaos Computer Club veranstaltet wird, massive Sicherheitslücken beim Bezahlen mit Giro-Karten und Prepaid-Karten demonstriert. Vor mehreren tausend Zuschauern zeigten die Berliner Karsten Nohl und Fabian Bräunlein von der Firma Security Research Labs (SRLabs), wie die PIN-Ziffernfolge nach der Eingabe ausgelesen werden kann. Außerdem überwiesen sie live auf der Bühne des Hamburger Kongresszentrums 15 Euro auf die Prepaid-Karte eines Mobilfunkanbieters und leiteten einen Zahlungsbetrag auf ein anderes Konto um.

          Große Teile der Zahlungsinfrastruktur beruhten auf Protokollen aus den Neunziger Jahren, die große Sicherheitsmängel aufwiesen. Das in Deutschland für die Kommunikation zwischen Zahlungsterminal und Kasse verwendete Protokoll ZVT erlaube es, Kartendaten aus dem lokalen Netzwerk auszulesen. Zudem erlaube es ZVT auch, PINs aus der Ferne auszulesen. Diese seien zwar durch eine Signatur geschützt, diese werde jedoch bisweilen in Hardware-Modulen gespeichert, von den einige anfällig für einfache Timing-Attacken seien. Damit aber ließen sich weitere, sicherere Modelle angreifen, da die Signatur in vielen Terminals dieselbe sei. Das verstoße gegen Grundprinzipien des Sicherheitsdesigns.

          Darüber hinaus könne auch anonym von Geschäftskonten Geld abgehoben werden. Die Zahlungsterminals kommunizierten über eine Schnittstelle mittels eines standardisierten Protokolls namens Poseidon mit den Banken. Doch der Schlüssel sei wie bei ZVT in vielen Terminals derselbe. Man müsse daher nur die Terminal-ID eines beliebigen Terminals ändern um Zugriff auf das Konto zu erhalten, das mit dieser ID verknüpft sei. Und diese ID stehe auf jedem Zahlungsbeleg.

          Auf diese Weise ließe sich Geld zurücküberweisen oder Aufladegutscheine für Prepaid-Handys erstellen. Nohl rief Einzelhandel und Kreditwirtschaft dazu auf, schnell Konsequenzen aus dem Missstand zu ziehen. Verbraucher sollten bei Kartenmissbrauch gegen ihre Bank vorgehen, riet Nohl. Erste Ergebnisse der Untersuchung hatte SRLabs bereits kurz vor Weihnachten öffentlich gemacht. Der Bankenverband „Deutsche Kreditwirtschaft“ hatte in einer Stellungnahme geäußert, die betroffene Funktion sei nicht Bestandteil des Girocard-Systems, sondern eine Zusatzfunktion in vielen Kartenterminals.

          Weitere Themen

          Topmeldungen

          Cem Özdemir auf dem Online-Parteitag der Grünen im Mai 2021

          Cem Özdemir und die Partei : Grüne Kämpfe, grüne Ziele

          Bei den Grünen ist der Aufstand der Parteilinken gegen den Ultrarealo Cem Özdemir verpufft. Glück gehabt. Denn wenn die Partei in der Ampel fürs Klima kämpfen will, muss sie geschlossen sein.
          Bundespräsident Frank-Walter Steinmeier spricht bei der Verleihung des Silbernen Lorbeerblattes im November 2021.

          Corona-Liveblog : Steinmeier ruft zu Kontaktbeschränkungen auf

          +++ Omikron-Verdachtsfall in Österreich +++ Israel schließt wegen Omikron Grenzen für Ausländer +++ Zehntausende demonstrieren in Österreich +++ Zwei Omikron-Fälle in München bestätigt +++ Entwicklungen zur Pandemie im Corona-Liveblog.

          Kliniken bereiten Triage vor : An den Grenzen der Medizin

          Die Infektionszahlen schießen in die Höhe. Immer mehr Krankenhäuser müssen auf die Triage zurückgreifen. Etwas, das Ärzte eigentlich nur aus Kriegseinsätzen und der Katastrophenmedizin kennen. Aber was bedeutet das genau?

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.