HOME

Betrug mit EC-Karten: So unsicher ist das bargeldlose Bezahlen

EC-Kartenterminals können manipuliert und die Daten samt Geheimzahl ausgelesen werden. Das zeigt ein Bericht des ARD-Magazins "Monitor". Doch es gibt noch weit mehr Sicherheitsprobleme.

Von Christoph Fröhlich

Thomas Roth ist 21 Jahre alt und vom Beruf Hacker. Jedes Mal wenn er durch den Supermarkt ging und sah, wie Menschen mit ihren EC-Karten bezahlten, fragte er sich, wie sicher die Terminals eigentlich seien. Also beschloss er, die Lesegeräte genauer unter die Lupe zu nehmen - und stieß auf gravierende Sicherheitslücken. Dem jungen Berliner ist es gelungen, die eigentlich verschlüsselten Kartendaten und die Geheimzahl auf seinem Laptop aufzuzeichnen. Dazu musste er das Gerät nicht einmal berühren. Via Lan, Funknetz und SD-Karte konnte Roth nach Belieben manipulieren, die Kartendaten aufzeichnen, die PIN auslesen - oder sogar das Videospiel "Pong" installieren. Am Donnerstagabend ist der brisante Versuch im ARD-Magazin "Monitor" (21.45 Uhr) zu sehen. Außerdem präsentierte der Hacker seine Ergebnisse in dem IT-Portal Heise und der Wochenzeitung "Die Zeit".

Für EC-Karten-Terminals gilt in Deutschlands die höchste Sicherheitsstufe. So müssen die Geräte ein zweistufiges Authentikationsverfahren verlangen, außerdem dürfen keine Daten im Klartext gespeichert werden, sie müssen also verschlüsselt sein. Doch Roth umging die Verschlüsselung mit einem Trick: Über einen zweiten Chip im Gerät kontrollierte er das Eingabefeld für die Geheimzahl. Damit kann er die Kunden an der Nase herumführen, indem er ihnen vorgaukelt, dass die Transaktion leider nicht funktioniert hat und die Pin erneut eingegeben werden muss. Tippt das Opfer die Geheimzahl erneut ein, können die Daten im Klartext abgefangen werden.

Der Hersteller wiegelt ab

Massenhafte Beutezüge von Kriminellen sind nun trotz der massiven Sicherheitslücken nicht zu erwarten. Um die Daten auslesen zu können, müssen Kriminelle einen Zugriff auf die Geräte bekommen. In großen Einzelhandelsketten ist das nahezu unmöglich, da die Terminals unter Aufsicht an der Kasse stehen und auch kein Internet verfügbar ist. In kleinen Cafés sieht das aber anders aus: Bieten diese kostenloses Wlan, kommunizieren möglicherweise auch die Lesegeräte über das Funknetz. Dann könnten sich Kriminelle unbemerkt in das Wlan einklinken und die Daten mitschneiden.

"Das ist eine massive Sicherheitslücke", sagt Sebastian Schreiber von der Sicherheitsberatung Syss. "Überall wo ich meine EC-Karte einstecke und meine PIN eintippe, sollte es sich um vertrauenswürdige Hardware handeln. Sobald der Täter in der Lage ist, die Geräte zu manipulieren, haben wir ein Problem."

Pikant: Die Sicherheitslücken sind laut "Monitor" dem Hersteller Verifone bereits seit mehreren Monaten bekannt. Das Unternehmen verspricht nun, die mehr als 300.000 Geräte in deutschen Geschäften per Software-Update nachzurüsten. Auch die Deutsche Kreditwirtschaft spielt den Vorfall herunter: Man nehme diese Angriffsform ernst, "auch wenn sie in der Realität nur eine theoretische Möglichkeit darstellt", sagt Pressereferentin Cornelia Schulz stern.de. Selbst wenn es Betrügern tatsächlich gelänge, die Karten-Daten auszuspähen, verhindere die chipbasierte Abwicklung im Girocard-System den Einsatz einer nachgemachten Karte, so die Sprecherin.

Dass das maßlos untertrieben ist, ist kein Geheimnis: Seit Jahren ist Skimming, das heimliche Ausspähen von Kartendaten, ein Problem. Haben Kriminelle die Informationen erbeutet, können sie die auf Blankokarten überspielen und damit im Ausland Geld abheben. Hierzulande sind die Automaten zwar gegen den Missbrauch von Blankokarten geschützt, in vielen anderen Ländern spielt es aber keine Rolle, ob die eingesteckte Karte echt ist oder nicht. Doch es ist nicht nur die EC-Karte, die unter massiven Sicherheitsmängeln leidet.

Auch andere Bezahlmethoden sind unsicher

Auch die neuen Kreditkarten mit NFC-Funktion ("Near Field Communication") sind alles andere als sicher. Mit ihnen muss der Kunde die Karte nur noch an das Rechnungsterminal halten, der Betrag wird nach wenigen Sekunden automatisch abgebucht. Hunderttausende dieser neuen Karten sollen bis Ende des Jahres ausgegeben werden. Laut einem ARD-Report sind sie aber extrem unsicher: Ein Hacker konnte in weniger als zwei Stunden eine App schreiben, die die Daten fehlerfrei auslesen kann. Dabei musste das Smartphone nur nah genug an die Karte kommen. So reicht es schon, das Handy schnell über das Portemonnaie zu ziehen oder in die Nähe der Hosentasche zu halten. Der Missbrauch wird so zum Kinderspiel.

Prinzipiell ist NFC eine sehr gute Sache, meint Sicherheitsberater Schreiber: "Das bargeldlose Bezahlen mit der neuen Funktechnologie ist sicherer als viele andere Möglichkeiten. Allerdings weisen die Kredit- und Geldkarten teils erhebliche Mängel in der Architektur auf." Die Geldinstitute müssten seiner Meinung nach die bisher ausgegebenen Karten zurückrufen und durch sicherere ersetzen. Auch das Bezahlen per Handy, beispielsweise mit Googles NFC-Dienst Wallet, sieht er kritisch: "Man kann Internetbanking und das Bezahlen mit Handy sehr sicher machen. Aber die Kreditkarten- und Paymentindustrie ist so komplex, dass die Betreiber selbst nicht durchschauen. Das ist die eigentliche Sicherheitslücke."

Skeptisch stehen auch die Geldinstitute dem bargeldlosen Bezahlen via Handy gegenüber: So will beispielsweise die Sparkasse nicht mit Google Wallet zusammenarbeiten. Immer mehr Smartphones werden mit den Chips zum Bezahlen ausgestattet, die Hersteller propagieren seit Jahren das bargeldlose Bezahlen als Geschäft der Zukunft. Auch die Deutsche Telekom will demnächst mitmischen: Anfang Juli verkündete der Telekommunikationsanbieter eine Partnerschaft mit Mastercard. Außerdem will die Telekom bei Kunden und Händlern einen digitalen Geldbeutel auf dem Handy als Plattform für verschiedene Zahlungsmethoden etablieren. Im vierten Quartal 2012 sollen die Karten bereits ausgegeben werden.

Immer schneller soll das Bargeld verdrängt werden, doch die Deutschen bleiben skeptisch: Laut einer Umfrage können sich 61 Prozent der Deutschen nicht vorstellen, mit dem NFC-Verfahren zu bezahlen. 53 Prozent glauben sogar, dass sich diese Form des Bezahlens langfristig nicht durchsetzt. Ein Grund für die Ablehnung ist "das Gefühl mangelnder Sicherheit". Der Hacker Thomas Roth dürfte ihnen Recht geben. Der "Zeit" sagte der talentierte Bastler: "Ich freu' mich schon auf NFC."

Hier können Sie dem Verfasser auch auf Twitter folgen

kann man sich gegen eine maßnahme vom jobcenter wehren?
hallo. ich bin quasi arbeitsunfähig seit meinem 18ten lebensjahr. ich wiege 200 kg und habe eine betreuung weil ich sonst gar nichts schaffen würde. sie bringt mich zu terminen und begleitet mich zu arzt besuchen. das einzige was ich noch alleine kann ist einkaufen und das auch nur weil es nunmal lebensnotwendig ist ,jedoch bin ich danach total erschöpft und fertig.ich kann keine 200 meter mehr laufen.und mal ganz abgesehen von meiner körperlich verfassung leide ich seit meiner kindheit an starken depressionen,borderline,panikattacken,einer traumatischen belastungsstörung und angstzuständen. ich bin demnach körperlich sowie auch psychisch ziemlich fertig. gestern war ich beim amtsarzt zur begutachtung sowie auch einmal vor 2 jahren. und die ärztin sagt mir ernsthaft,das es zumindest köperlich nicht ausreichen würde das ich weiterhin krank geschrieben werden kann und sagte,das eine maßnahme sicherlich gut sein kann.und das obwohl ich bereits sagte,das ich körperlich unfähig bin irgendwas alleine zu schaffen und ,meine betreuerin mich überallhin begleiten muss.(ich habe kein auto)ich bin vollkommen entsesetzt und habe nun angst das sie mich in eine maßnahme stecvken welche ich einfach nicht schaffe und sie mir dann das minum an geld nehmen welches ich bekomme und ich dann verhungernd und auf der starße leben muss,eben weil es ein ding der unmöglichkeit für mich darstellt.kann man sich da irgendwie wehren?sie sagt sie findet ich sei zu jung um berentet zu werden (28).ich habe gerade wirklich angst.kann man einen menschen zwingen etwas für ihn unmögliches zu tun?ich hab das gefühl die wollen irgendeine quote erfüllen und solange man die arme bewegen kann,ist man arbeitsfähig...hilfe :(