Zahlung mit EC-Karte birgt Risiko für Händler

IT-Experten des Berliner SRLabs haben eine Sicherheitslücke bei der Zahlung mit der EC-Karte entdeckt: Offenbar ist es für kriminelle Hacker ohne größeren Aufwand möglich, sich in das Bezahlterminal eines Händlers einzuklinken und sich selbst Gutschriften auszustellen. Das kann per Überweisung, über Gutscheine oder auch durch den Transfer auf ein Prepaid-Guthaben auf dem Handy erfolgen. Laut den Sicherheitsexperten sind potenziell alle Einzelhändler, Hotels oder Tankstellen betroffen, die ihren Kunden eine Zahlung per EC-Karte an einem sogenannten POS-Terminal ermöglichen – das sind fast alle Anbieter in Deutschland.

So funktioniert die Sicherheitslücke

Die Experten nutzten für ihren Versuch ein geliehenes Bezahlterminal, das sie mit dem Gerät des ausgewählten Ladens verbanden. Dafür benötigten sie die Nummer des dortigen Terminals, die auf jedem Kassenbon zu finden ist, und ein Service-Passwort. Diese Passwörter sind leicht zu knacken – bei einem der großen Netzbetreiber haben sogar alle Geräte dasselbe. In wenigen Schritten konnten die Fachleute sich zahlreiche Gutscheine für den gewählten Shop erstellen und ausdrucken. Die Beträge wurden direkt vom Konto des Händlers an sie transferiert. Diese Funktion der Bezahlterminals dient eigentlich dazu, bei einer Warenrückgabe dem Kunden den Kaufpreis zu erstatten. Die Mitarbeiter des SRLabs halten es für möglich, dass ein solcher Betrug auch im großen Stil und automatisiert erfolgen könnte. Nach Angaben der Sicherheitsforscher ist es über die IP-Adresse möglich, ein zweites Gerät zu entdecken, das sich in das eigene System einwählt.

Reaktionen der Verbände

Die Deutsche Kreditwirtschaft, die Dachorganisation der Bankenverbände, bezeichnet das Girocard-System als sicher und erklärt, solche Angriffe seien nur theoretisch möglich. Der Bundesverband der "electronic cash"-Netzbetreiber nimmt die Sicherheitslücke ernst und verweist darauf, dass die Terminalhersteller bald Softwareupdates präsentieren wollen, damit  die Zahlung per EC-Karte für die Händler kein Risiko mehr darstellt.

Weiterführende Links: