HOME

Betrug mit EC-Karten: So unsicher ist das bargeldlose Bezahlen

EC-Kartenterminals können manipuliert und die Daten samt Geheimzahl ausgelesen werden. Das zeigt ein Bericht des ARD-Magazins "Monitor". Doch es gibt noch weit mehr Sicherheitsprobleme.

Von Christoph Fröhlich

Thomas Roth ist 21 Jahre alt und vom Beruf Hacker. Jedes Mal wenn er durch den Supermarkt ging und sah, wie Menschen mit ihren EC-Karten bezahlten, fragte er sich, wie sicher die Terminals eigentlich seien. Also beschloss er, die Lesegeräte genauer unter die Lupe zu nehmen - und stieß auf gravierende Sicherheitslücken. Dem jungen Berliner ist es gelungen, die eigentlich verschlüsselten Kartendaten und die Geheimzahl auf seinem Laptop aufzuzeichnen. Dazu musste er das Gerät nicht einmal berühren. Via Lan, Funknetz und SD-Karte konnte Roth nach Belieben manipulieren, die Kartendaten aufzeichnen, die PIN auslesen - oder sogar das Videospiel "Pong" installieren. Am Donnerstagabend ist der brisante Versuch im ARD-Magazin "Monitor" (21.45 Uhr) zu sehen. Außerdem präsentierte der Hacker seine Ergebnisse in dem IT-Portal Heise und der Wochenzeitung "Die Zeit".

Für EC-Karten-Terminals gilt in Deutschlands die höchste Sicherheitsstufe. So müssen die Geräte ein zweistufiges Authentikationsverfahren verlangen, außerdem dürfen keine Daten im Klartext gespeichert werden, sie müssen also verschlüsselt sein. Doch Roth umging die Verschlüsselung mit einem Trick: Über einen zweiten Chip im Gerät kontrollierte er das Eingabefeld für die Geheimzahl. Damit kann er die Kunden an der Nase herumführen, indem er ihnen vorgaukelt, dass die Transaktion leider nicht funktioniert hat und die Pin erneut eingegeben werden muss. Tippt das Opfer die Geheimzahl erneut ein, können die Daten im Klartext abgefangen werden.

Der Hersteller wiegelt ab

Massenhafte Beutezüge von Kriminellen sind nun trotz der massiven Sicherheitslücken nicht zu erwarten. Um die Daten auslesen zu können, müssen Kriminelle einen Zugriff auf die Geräte bekommen. In großen Einzelhandelsketten ist das nahezu unmöglich, da die Terminals unter Aufsicht an der Kasse stehen und auch kein Internet verfügbar ist. In kleinen Cafés sieht das aber anders aus: Bieten diese kostenloses Wlan, kommunizieren möglicherweise auch die Lesegeräte über das Funknetz. Dann könnten sich Kriminelle unbemerkt in das Wlan einklinken und die Daten mitschneiden.

"Das ist eine massive Sicherheitslücke", sagt Sebastian Schreiber von der Sicherheitsberatung Syss. "Überall wo ich meine EC-Karte einstecke und meine PIN eintippe, sollte es sich um vertrauenswürdige Hardware handeln. Sobald der Täter in der Lage ist, die Geräte zu manipulieren, haben wir ein Problem."

Pikant: Die Sicherheitslücken sind laut "Monitor" dem Hersteller Verifone bereits seit mehreren Monaten bekannt. Das Unternehmen verspricht nun, die mehr als 300.000 Geräte in deutschen Geschäften per Software-Update nachzurüsten. Auch die Deutsche Kreditwirtschaft spielt den Vorfall herunter: Man nehme diese Angriffsform ernst, "auch wenn sie in der Realität nur eine theoretische Möglichkeit darstellt", sagt Pressereferentin Cornelia Schulz stern.de. Selbst wenn es Betrügern tatsächlich gelänge, die Karten-Daten auszuspähen, verhindere die chipbasierte Abwicklung im Girocard-System den Einsatz einer nachgemachten Karte, so die Sprecherin.

Dass das maßlos untertrieben ist, ist kein Geheimnis: Seit Jahren ist Skimming, das heimliche Ausspähen von Kartendaten, ein Problem. Haben Kriminelle die Informationen erbeutet, können sie die auf Blankokarten überspielen und damit im Ausland Geld abheben. Hierzulande sind die Automaten zwar gegen den Missbrauch von Blankokarten geschützt, in vielen anderen Ländern spielt es aber keine Rolle, ob die eingesteckte Karte echt ist oder nicht. Doch es ist nicht nur die EC-Karte, die unter massiven Sicherheitsmängeln leidet.

Auch andere Bezahlmethoden sind unsicher

Auch die neuen Kreditkarten mit NFC-Funktion ("Near Field Communication") sind alles andere als sicher. Mit ihnen muss der Kunde die Karte nur noch an das Rechnungsterminal halten, der Betrag wird nach wenigen Sekunden automatisch abgebucht. Hunderttausende dieser neuen Karten sollen bis Ende des Jahres ausgegeben werden. Laut einem ARD-Report sind sie aber extrem unsicher: Ein Hacker konnte in weniger als zwei Stunden eine App schreiben, die die Daten fehlerfrei auslesen kann. Dabei musste das Smartphone nur nah genug an die Karte kommen. So reicht es schon, das Handy schnell über das Portemonnaie zu ziehen oder in die Nähe der Hosentasche zu halten. Der Missbrauch wird so zum Kinderspiel.

Prinzipiell ist NFC eine sehr gute Sache, meint Sicherheitsberater Schreiber: "Das bargeldlose Bezahlen mit der neuen Funktechnologie ist sicherer als viele andere Möglichkeiten. Allerdings weisen die Kredit- und Geldkarten teils erhebliche Mängel in der Architektur auf." Die Geldinstitute müssten seiner Meinung nach die bisher ausgegebenen Karten zurückrufen und durch sicherere ersetzen. Auch das Bezahlen per Handy, beispielsweise mit Googles NFC-Dienst Wallet, sieht er kritisch: "Man kann Internetbanking und das Bezahlen mit Handy sehr sicher machen. Aber die Kreditkarten- und Paymentindustrie ist so komplex, dass die Betreiber selbst nicht durchschauen. Das ist die eigentliche Sicherheitslücke."

Skeptisch stehen auch die Geldinstitute dem bargeldlosen Bezahlen via Handy gegenüber: So will beispielsweise die Sparkasse nicht mit Google Wallet zusammenarbeiten. Immer mehr Smartphones werden mit den Chips zum Bezahlen ausgestattet, die Hersteller propagieren seit Jahren das bargeldlose Bezahlen als Geschäft der Zukunft. Auch die Deutsche Telekom will demnächst mitmischen: Anfang Juli verkündete der Telekommunikationsanbieter eine Partnerschaft mit Mastercard. Außerdem will die Telekom bei Kunden und Händlern einen digitalen Geldbeutel auf dem Handy als Plattform für verschiedene Zahlungsmethoden etablieren. Im vierten Quartal 2012 sollen die Karten bereits ausgegeben werden.

Immer schneller soll das Bargeld verdrängt werden, doch die Deutschen bleiben skeptisch: Laut einer Umfrage können sich 61 Prozent der Deutschen nicht vorstellen, mit dem NFC-Verfahren zu bezahlen. 53 Prozent glauben sogar, dass sich diese Form des Bezahlens langfristig nicht durchsetzt. Ein Grund für die Ablehnung ist "das Gefühl mangelnder Sicherheit". Der Hacker Thomas Roth dürfte ihnen Recht geben. Der "Zeit" sagte der talentierte Bastler: "Ich freu' mich schon auf NFC."

Hier können Sie dem Verfasser auch auf Twitter folgen

Kann ich mich auf Geschwindigkeitsanzeige FritzBox verlassen?
Hallo zusammen, erstmal herzlichen Dank für die Leute, die sich Zeit nehmen Fragen zu beantworten oder ihre Erfahrungen mit anderen teilen. Das ist oft hlifreich, wenn man sich nicht so auskennt. Ich hoffe, dass mir jemand weiterhelfen kann. Die Telekom hat hier nach langer und ersehnter Zeit schnelle Leitungen verlegt. Mitarbeiter waren auch zu Besuch da und auch nett:-) Sie wollten ja auch, dass ich von 1und1 wieder zurück wechsel. Das ist für mich in Ordnung und gehört zum Wettbewerb. Da jedoch die Mitarbeiter mir sagten, dass die Telekom für paar Jahre das Vorrecht hätte, könnte ich schnelles Internet nur über Telekom beziehen. Sprich entweder Telekom und schnelles Internet oder langsames Internet. Da habe ich im Internet recherchiert und rausgefunden, dass das so nicht mehr stimmt. Das war der Grund, warum ich dann bei 1und1 DSL100 abgeschlossen habe, da man mir am Telefon gesagt, dass es ohne Probleme möglich wäre. Nun ist es jedoch so, dass wir gar nicht so merken, dass unser Internet schneller ist. Gerade in der oberen Etage kann man nicht ohne Router surfen oder Sky über Internet Fernsehen. Nun meine Frage: Bei der Fritzbox wird es jedoch angezeigt. Kann ich mich drauf verlassen? Oder wie macht ihr eure Messungen? Ich weiss, dass es Software gibt, aber der feste Rechner ist bereits alt und hat einen alten Internet Explorer drauf. Wenn ich mit einem Laptop im Wlan mich reinhänge, wird sicher die Geschwindigkeit sowieso niedriger und nicht verwertbar sein, oder? Vielen Dank für die Antworten.