Kreditkartendaten in Gefahr
Passwort »Kasse 3«
Seit Monaten kopiert ein Trojaner an den Kassen tausender amerikanischer Einzelhändler und Retail-Ketten Kreditkartendaten und gibt sie an Cyberkriminelle weiter. In Deutschland sind wir angeblich sicher - zumindest so sicher wie die Rente.
Cybercrime-Experten der amerikanischen Sicherheitsbehörde Homeland Security haben einen weitläufigen Kreditkartenbetrug über vernetzte Kassensysteme aufgedeckt. Laut einer Warnung des US-Heimatschutzes haben bislang unbekannte Täter per Brute Force-Angriff Passwörter geknackt und sich damit über die Remoteverbindung internen Zugang zu den Steuerungssystemen der Kassen verschafft. Anschließend haben sie deren Software so manipuliert, dass sie die Daten von Bank- und Kreditkarten direkt beim Einlesen kopieren und an die Angreifer weiterleiten. Bislang haben sieben Hersteller den US-Behörden bestätigt, dass ihre Kassensysteme mit der Methode manipuliert werden können. Dies ist allerdings nur möglich, wenn die Kassen durch zu schwache Passwörter geschützt werden.
Den Antivirensystemen und Sicherheitsverantwortlichen der Händler war der »Backoff« genannte Angriff bisher nicht aufgefallen. Daher ist auch nicht genau bekannt, wie lange die Malware auf diese Weise schon unbemerkt Daten kopiert und inwieweit auch in anderen Ländern Kassen mittels Backoff manipuliert wurden. Nachdem man im Juli noch davon ausgegangen war, nur wenige Händler seien betroffen, ist inzwischen klar, dass die Kassensysteme mehrerer tausend Läden und Anbieter in den USA manipuliert wurden. Unter ihnen sind mehrere große Handelsketten sowie das Logistikunternehmen UPS. Somit ist davon auszugehen, dass mit Backoff schon mehrere Millionen Kreditkarten- und Bankingdaten gestohlen wurden und weiterhin werden.
Ebensowenig ist bisher bekannt, ob auch deutsche Kassensysteme mit Backoff manipuliert wurden. Auf Nachfrage bei Herstellern und Security-Anbietern erhält man dazu unterschiedlichste Antworten. So erklärt etwa der Sicherheitsanbieter Trend Micro auf Anfrage der CRN: »Grundsätzlich sind Kassen- bzw. POS-Systeme in Deutschland (Europa) auf die gleiche Art kompromittierbar wie in den USA«. Da heutige Kassensysteme in der Regel, abgesehen von Kartenlesern oder Barcodescannern, Standard-Soft- und Hardware einsetzen, lasse sich »die zugrundeliegende Software inklusive des Betriebssystems mit Schadsoftware „von der Stange“ infizieren«. Ähnlich wie die Kassenhersteller weisen allerdings auch die Sicherheitsexperten gleichzeitig darauf hin, dass in Deutschland andere Regeln für das bargeldlose Bezahlen gelten, welche die Systeme wesentlich sicherer machen als in den USA. Zum einen ist die Authentifizierung durch einen zweiten Faktor wie die Unterschrift oder PIN strenger geregelt, zum anderen sind die Eingabesysteme von den Kassen getrennt.
- Passwort »Kasse 3«
- Mehr Sicherheit mit Chip
Lesen Sie mehr zum Thema
