Einem jugendlichen Hacker gelang es, EC-Kartengeräte zu manipulieren, ohne sie zu berühren. Kartennummern und PIN Codes konnten ausgelesen und mißbraucht werden. Nun bemüht sich die Kreditwirtschaft um Schadensbegrenzung: Angeblich sei alles sicher.
EC-Karten unsicher?
Stellungnahme des Bankenverbandes über die Sicherheit von EC-Kartenterminals. Mit den kleinen Geräten bezahlen Millionen Kunden tagtäglich. Angeblich sind bundesweit 300000 dieser EC-Kartenleser im Einsatz, welche offenbar mit einem simplen Trick von Fremden ausgelesen und mißbraucht werden können:
Die Deutsche Kreditwirtschaft nutzt für ihre Bezahlsysteme höchste Sicherheitsstandards. Sie hat sich, wie alle Kreditinstitute innerhalb des europäischen Zahlungsverkehrsraums SEPA (Single Euro Payments Area), auf den flächendeckenden Einsatz von Kundenkarten geeinigt, die Transaktionen im Regelfall nur noch auf Basis des fälschungssicheren EMV-Chip zulassen. Die Zahl der Betrugsfälle mit Kartendubletten ist seitdem deutlich zurückgegangen.
Artema Hybrid ec-Kartenzahlungsterminal von Verifone unsicher?
Die ARD-Sendung "Monitor" wird heute nun über einen Manipulationsversuch an einem POS-Bezahlterminal (Point-of-Sale-Terminal) berichten. Dabei sei es gelungen, so das Magazin, das Artema Hybrid ec-Kartenzahlungsterminal des Terminalherstellers Verifone in Teilen unter Laborbedingungen zu manipulieren und die PIN-Eingabe auszuspähen. Ziel des Manipulationsversuches ist die Anwendungs-Software des Terminals gewesen. Das Sicherheitsmodul des Terminals, das die wichtigen kryptografischen Schlüssel enthält, konnte jedoch nicht kompromittiert werden.
Selbst wenn es Betrügern tatsächlich gelingen sollte, Karten-Daten auszuspähen, verhindert im girocard-System jedoch die chipbasierte Abwicklung den Einsatz einer nachgemachten Karte. Denn neben der PIN ist immer die Originalkarte notwendig, um eine erfolgreiche Transaktion durchzuführen. Die Deutsche Kreditwirtschaft nimmt diese neue Angriffsform trotzdem ernst, auch wenn sie in der Realität nur eine theoretische Möglichkeit darstellt. Der Terminalhersteller Verifone hat der Deutschen Kreditwirtschaft bestätigt, sämtliche betroffenen Terminals schnellstmöglich mit einer entsprechend verbesserten Software auszustatten.
Grundsätzlich haften Kunden nicht für Schäden aus einem Angriff, bei dem ihre Kartendaten ausgespäht und diese außerhalb des girocard-Systems auf Magnetstreifenbasis (beispielsweise im außereuropäischen Ausland) missbräuchlich verwendet wurden. Die Deutsche Kreditwirtschaft hat zudem Vorkehrungen getroffen, um Angriffe auf Terminals frühzeitig zu erkennen und nachzuvollziehen. Die betroffenen Karten werden so schnell identifiziert und die weitere Nutzung von Dubletten sofort verhindert.