Noch nicht mal vor einem Monat präsentierte Karsten Nohl auf dem Chaos Communication Congress Schwachstellen von Bezahl-Terminals. Er konnte Protokolle manipulieren, um Zahlungen auf fremde Konten umzuleiten. Ist diese Schwachstelle mittlerweile behoben?

"Die deutsche Kreditwirtschaft hat ja darauf reagiert, auf diesen Vorfall und hat gesagt, das ist unter Laborbedingungen passiert" und für Alltagskriminelle sei der Angriff wohl zu aufwendig, meint Frank Braatz, Mitherausgeber des Kartenbranchendienstes "Source", denn im Lagebericht des Bundeskriminalamts würde auch nach der Vorführung in Hamburg bis jetzt kein Nachahmer-Fall erwähnt: "Die haben es in Hamburg live ja auch auf der Bühne vorgeführt. Also, man kann es auch nachmachen, wenn man weiß, wie es geht, aber die Frage ist eben, ob es auch wirklich gemacht wird. Von Seiten der Terminalhersteller und auch von Seiten der Netzbetreiber, die ja diese Terminals im Handel installieren, ist zu hören, dass die dabei sind, die vermeintlich bestehenden Lücken auch zu schließen."

Man würde zur Zeit sowieso alte Kartenlesegeräte gegen neue tauschen, die mit Antennen für Nahfeld-Kommunikation ausgestattet seien, NFC: "Dass Apple endlich eine NFC-Schnittstelle ins iPhone einbaut, das war auf das Smartphone-Herstellerseite so eine Art Dammbruch, dass wirklich jetzt alle nachziehen und in absehbarer Zeit sehr viele Smartphone-Modelle eine NFC-Schnittstelle mit drin haben."

Diese neue Bezahlinfrastruktur sei nicht mehr abhör- und angreifbar. Man hält dabei das Smartphone an das Bezahlterminal, sieht auf dem Handy den zu bezahlenden Betrag und innerhalb von 15 bis 20 Sekunden sei alles erledigt. Nicht ganz so sicher seien andere Bezahlmöglichkeiten per Handy. Die "pushTan"-App zum Beispiel, deren Protokoll auf dem C3- Kongress ebenfalls buchstäblich zerlegt werden konnte. Dafür, so Dr. Wolf Müller, IT- Sicherheitsforscher am Institut für Informatik der Humboldt-Universtät, sei aber eine systembedingte Schwachstelle verantwortlich: "Wenn sowohl das eigentliche Anstoßen der Transaktion, als auch die Kontrolle auf dem gleichen Gerät erfolgt, ist das erst mal potenziell gefährlich, weil ein Mobiltelefon in aller Regel keine vertrauenswürdige Anzeige hat und auch keine vertrauenswürdige Eingabemöglichkeit. Aus meiner Sicht ist das eine inhärente Schwäche, wenn man keine Hardware-Unterstützung hat, das wirklich so sauber zu trennen, dass man sagt, man kann wirklich sicherstellen, dass der Nutzer das sieht, was auch am Ende geschieht."

Und das gelänge nur mit zwei getrennten Geräten, zum Beispiel einem TAN- Generator mit eigenem Bildschirm, auf dem man die PIN eintippt, getrennt vom Smartphone. Unseriöse Spieleapplikationen wären nämlich schon fähig, mit Hilfe des in Smartphones eingebauten Bewegungssensors typische Erschütterungen zu lernen, die beim Druck auf Tasten entstehen. Das seien dann dieselben Tasten, die man beim Geldüberweisen benutzt: "Was dann passiert: Wenn eine andere Applikation, die irgendwie Sicherheitseigenschaften haben soll, im Vordergrund läuft, dann achtet im Hintergrund die andere Applikation auf die Signale aus dem Beschleunigungssensor und auch wenn sie nicht direkt in die Tastatureingaben kann, kann sie mit einer sehr guten Wahrscheinlichkeit die PIN-Eingabe raten, anhand der Schwingungsmuster."

Dass viele Kriminelle in diesem Katz und Mausspiel wohl bald aufgeben und wieder umsatteln, in ihre analoge Welt, scheint Kartenspezialist Frank Braatz nicht sonderlich zu beruhigen. Im Gegenteil! "Für mich ist ein sicheres Indiz dafür, dass Kartenzahlungen sicherer geworden sind, die Tatsache, dass in letzter Zeit immer mehr Geldautomaten gesprengt werden. Die haben auch ihren eigenen Business-Case und offensichtlich ist es inzwischen einfacher, einen Geldautomaten zu sprengen, als ein Karten-Terminal oder eine Karte zu manipulieren."