Wie sicher ist die Zahlung per Karte?
Der elektronische Zahlungsverkehr birgt nach Recherchen von Report München erhebliche Risiken für die Besitzer von Kredit- und EC-Karten. Die Daten passieren bei der Übermittlung an die Hausbank Knotenpunkte, wo die Verschlüsselung der sensiblen Informationen aufgehoben wird. Genau darauf warten Kriminelle.
Von Sabina Wolf, Redaktion Report München
Kriminelle, so die brisanten Erkenntnisse der beiden israelischen Wissenschaftler Odelia Moshe Ostrovsky und Omer Berkman, verschaffen sich unbemerkt Zugriff auf die Personal Identification Number (Pin) und Kartendaten ahnungsloser EC- und Kreditkartenbesitzer. Mit den gestohlenen Daten werde dann auf Kosten der Opfer eingekauft oder Konten an Geldautomaten geplündert.
Entdeckt haben Ostrovsky und Berkman diese Sicherheitslücke bei einer Untersuchung der Datenübertragungswege elektronischer Zahlungsvorgänge. Danach werden die am Geldautomaten oder an der Kasse verschlüsselten Daten auf dem Weg in die Hausbank des Opfers an verschiedenen, weltweit installierten Knotenpunkten, den so genannten HSM-Modulen, entschlüsselt und dann wieder verschlüsselt auf die Reise geschickt. Diese HSM-Module seien der Angriffspunkt von kriminellen Hackern.
Bis zu 5000 Datensätze in der Sekunde
Beispielsweise genüge es, eine Person in einer Putzkolonne unterzubringen, so Ostrovsky und Berkman gegenüber Report München. Diese Person könne schnell und unbemerkt ein Computerprogramm installieren, das in einer Sekunde 5000 Datensätze inklusive Geheimnummer von dem betroffenen HSM-Modul kopiere.
Auf Anfrage stellte eine der weltweit größten Kreditkartenunternehmen, die Firma Mastercard fest, dass auf Grund der hohen Zugangskontrollen zu HSM-Modulen derartige Angriffe zwar extrem schwierig, "wenn auch nicht unmöglich” seien. Ergänzend erklärte am Telefon eine Sprecherin des Zentralen Kreditausschusses gegenüber Report München, man habe ausländische Partnerbanken wiederholt auf die Wichtigkeit rigider Sicherheitsmaßnahmen bei HSM-Modulen hingewiesen.
Tatsache ist: Durchqueren die sensiblen Kundendaten nur ein einziges Mal ein schlecht geschütztes HSM-Modul, dann ist der potenzielle Zugriff auf die Klardaten und damit ein Missbrauch möglich.
Experte sieht Sicherheitsmängel bei Banken
Sicherheitsexperten wie Matthias Rosche von der Firma Integralis bei München vertreten die Ansicht, "die Banken hätten bisher noch nicht alles getan, um eine wirklich sichere Umgebung aufzusetzen". In Deutschland sieht Rosche "öfters Sicherheitsmängel im organisatorischen Umfeld". In anderen Ländern sieht er Lücken beim Zugang zu den sensiblen HSM-Modulen. Schon heute bieten laut Recherchen von Report München Kriminelle, so genannte Carder, aus "hsm-attacks" geklaute Kartendaten und Geheimnummern im Internet zum Kauf an.
1500 Fälle von EC- und Kreditkartenbetrug
Die Weigerung der Kreditwirtschaft Opfer unerklärlicher Fälle von Barabhebungen nicht zu entschädigen, hält Hartmut Strube von der Verbraucherzentrale Nordrhein-Westfalen für skandalös. 1500 solcher mysteriöser Fälle von EC- und Kreditkartenbetrugs hat Strube bereits in Form einer Sammelklage vor Gericht gebracht. Notfalls will Strube bis zum Bundesgerichtshof gehen.
In einigen Fällen wurden Pins nie benutzt
Besonders pikant: Strube vertritt Geschädigte, die mit ihrer Kreditkarte niemals Geld abgehoben haben und nach wie vor über den ungeöffneten Brief mit der darin befindlichen Pin verfügen. Ein sorgloser Umgang der Geschädigten mit der Pin ist deshalb ausgeschlossen. Auch in einem Gutachten des Bundesamtes für Sicherheit für Informationstechnik im Auftrag des Landgerichts Bonn wird sinngemäß darauf hingewiesen, dass durchaus Fälle vorliegen, wonach es zu Missbrauch kam, obwohl verschlossene Briefe von Pins vorlagen.
Odelia Moshe Ostrovsky und Omer Berkman haben auch für diese bislang unerklärlichen Fälle eine Erklärung: Sitzt der Angreifer bei der Firma, die die Karten ausgibt, könne direkt auf die Pin zugegriffen werden.
Stand: 02.04.2007 12:30 Uhr
Quelle: [URL=http://www.tagesschau.de/aktuell/meldungen/0,1185,OID6577666_TYP6_THE_NAV_REF1_BAB,00.html]tagesschau.de[/URL]
