Unsichere Protokolle bei Kartenzahlung

So unsicher sind POS-Terminals

28. Dezember 2015, 11:35 Uhr | Lars Bube
© Peter Atkins - fotolia

Wie leicht sich viele POS-Terminals zur Kartenzahlung kompromittieren lassen, haben jetzt zwei IT-Experten auf dem Hackerkongress 32C3 in Hamburg vorgeführt. Sie konnten an einem von ihnen gehackten Gerät unter anderem PINs auslesen und Geldströme umleiten.

Schon seit Jahren weisen Sicherheitsexperten immer wieder auf die Gefahr durch grobe Sicherheitslücken in Geldautomaten und Zahlungsterminals am POS hin, doch getan hat sich auch im vergangenen Jahr wieder wenig. Im Rahmen des Hackerkongresses 32C3 haben nun zwei Sicherheitsexperten erneut demonstriert, wie leicht sich viele Kartenzahlungsterminals und Kassensysteme kompromittieren lassen. Die White Hat Hacker Fabian Bräunlein und Karsten Nohl vom Sicherheitsanbieter Security Research Labs (SRLabs) knackten auf der Bühne vor dem Publikum live innerhalb weniger Sekunden ein POS-Terminal, wie es auch aktuell in vielen deutschen Ladengeschäften und Restaurants eingesetzt wird. Anschließend konnten sie beispielsweise PINs von EC-Karten nach der Eingabe wieder aus der Software auslesen, ohne dafür die Hardware des Ziffernblocks manipulieren zu müssen, wie es Kriminelle in der Vergangenheit beim so genannten »Skimming« an Geldautomaten immer wieder getan hatten. Anschließend zeigten die beiden Sicherheitsexperten dem Fachpublikum, dass sich am Terminal getätigte Zahlungen über einen entsprechenden Angriff sogar direkt auf ein anderes Zielkonto umleiten lassen. Darüber hinaus konnten sie über das von ihnen geknackte Gerät eine Prepaid-Mobilfunkkarte mit 15 Euro von einem fremden Konto aufladen.

Bräunlein und Nohl erklärten den Kongressteilnehmern, dass ihren Erfahrungen zufolge vor allem unsichere Übertragungsprotokolle die Terminals angreifbar machen. Besonders gefährdet sind ihrer Ansicht nach mit »Poseidon« und »ZVT« auch zwei der am häufigsten genutzten Protokolle zur Datenübertragungen zwischen den Kartenterminals und Kassensystemen im Handel sowie zu den Finanzdienstleistern. Nach ihrer eindrücklichen Demonstration forderten die Hacker die Bankenwirtschaft dazu auf, endlich etwas gegen die gefährlichen Lücken bei der Kartenzahlung zu unternehmen und die Missstände zu beseitigen. Betroffenen Kunden rieten sie dazu, ihre Zahlungen stets genau zu überprüfen, bei Unregelmäßigkeiten sofort die Bank zu informieren und den Schaden zurück zu fordern. Für die Banken und ihre Softwarehersteller scheinen all diese Warnungen jedoch wenig Bedeutung zu haben. Zahlreiche Sicherheitslücken in den Terminals sind schon länger bekannt und trotzdem noch immer offen. Oft ist es für die Geldhäuser, Hersteller und Geschäftsbetreiber schlichtweg billiger, die Schäden zu begleichen, als in eine bessere Absicherung der Geräte zu investieren. Diese Vermeidungstaktik könnte allerdings schnell zu einem teuren Bumerang werden. Denn die Sicherheitsanbieter erwarten, dass sich die Angreifer in den nächsten Jahren weiter professionalisieren und zudem mit dem organisierten Verbrechen zusammenarbeiten. Dann könnten die Schäden durch Kartenbetrug schnell in beträchtliche Höhen wachsen.


Jetzt kostenfreie Newsletter bestellen!

Matchmaker+