Freitag, 29. März 2024

Archiv


Gefährliche Sicherheitslücke

Technologie. - Rund ein Fünftel des Umsatzes im deutschen Einzelhandel läuft bargeldlos per EC- oder Kreditkarte. Jetzt scheint es, als ob ein Schlüsselelement dieses elektronischen Bezahlvorgangs unsicher ist. Im Auftrag eines Berliner Unternehmens für IT-Sicherheit hat ein junger Computerexperte gravierende Sicherheitslücken der Kartenterminals aufgedeckt. Der Wissenschaftsjournalist Jan Rähm erläutert im Gespräch mit Ralf Krauter, welche das sind.

Jan Rähm im Gespräch mit Ralf Krauter | 12.07.2012
    Krauter: Herr Rähm, wie viele Geschädigte gibt es denn schon?

    Rähm: Nach aktuellem Stand gibt es noch gar keine Geschädigten, denn die Schwachstellen wurden von Thomas Roth, das ist der Forscher von den Security Research Labs, erst nur im Labor gefunden. Aber allein in Deutschland stehen von diesen betroffenen Terminals mehr als 300.000, und im Ausland noch einige 1000 mehr. Diese Schwachstelle, die ist auch nicht nur theoretischer Natur, sondern Thomas Roth ist auch in die Praxis gegangen und hat bei einem befreundeten Ladenbesitzer das ganze ausprobiert, und ja, er konnte diese Terminals hacken.

    Krauter: Was sind das für Schwachstellen, also, welche konkreten Sicherheitslücken hat der Mann aufgespürt?

    Rähm: Ja, also, das sind eine ganze Menge, und die befinden sich alle in diesen digitalen Terminals für EC- und Kreditkarten und die können über verschiedene Wege ausgenutzt werden. Der interessanteste Weg, der jetzt offen ist, ist das Netzwerk, weil: Es ist nahezu unsichtbar für den Betreiber und Kunden und soll auch über das Internet funktionieren. Und die interessanteste Art des Angriffs ist die Manipulation der Software auf dem Terminal über einen so genannten Puffer-Überlauf. Dabei werden so viele Daten in einen Software-Puffer geschrieben, bis der im wahrsten Sinne des Wortes überläuft und dann den Weg direkt zum Betriebssystem des Terminals freimacht. Wenn die Angreifer da angekommen sind, dann haben sie mehrere Möglichkeiten: Sie können zum Beispiel Transfers manipulieren. Der Kunde steckt also seine Karte in das Terminal, weil er etwas bezahlen will, und der Angreifer stoppt zum Beispiel die Transaktion, zeigt aber eine erfolgreiche Transaktion an. Der Kunde hat also nicht bezahlen müssen. Ein anderes Beispiel: Der Angreifer ändert den Betrag der Transaktion. Statt 1000 Euro zahlt der Kunde nur 0,01 Euro. Und was auch möglich sein kann: der Angreifer legt für die Karte mit diesen Kartendaten, solange die Karte im Internet steckt, Transaktionen für die Zukunft an. Dann ist es wiederum möglich, dass Transaktion gesteuert werden, wenn die Karte gar nicht mehr da ist, also auch gar nicht mehr auf die Karte direkt zurückzuführen ist. Das wird möglich durch eine Lücke im Transferprotokoll zwischen Lesegerät und Bank. Was schlussendlich auch noch möglich ist: die gesamten Daten des Magnetstreifens der Karte auslesen, und so kann der Angreifer die Karte klonen.

    Krauter: Aber jetzt wissen wir alle, dass eine geklonte Karte allein Kriminellen herzlich wenig weiterhilft, denn man braucht ja letztlich um Geld abzuheben oder um elektronisch zu bezahlen, auch die PIN-Nummer dazu!

    Rähm: Ja, das stimmt. Aber auch diese PIN konnte ausgelesen werden. Und dazu muss man wissen: Diese Terminals sind in zwei Bereiche geteilt. Jeder hat sein eigenes System und einen eigenen Prozessor, und der eine Teil, der ist ein bisschen weniger geschützt, das ist der "mittelsichere Teil", so nennen die Forscher den, und den haben sie komplett auseinandergenommen, der hat die Sicherheitslücken alle da. Der zweite Teil ist der so genannte Hochsicherheitstrakt, unter anderem eben wegen dieser PIN, weil dort mit der PIN agiert wird. Aber dort gibt es einen Fehler in der Software, und dadurch konnte die PIN aus diesem zweiten Teil ausgelesen werden, und damit hat der Angreifer alles, was er braucht um Geld abzuheben.

    Krauter: Das klingt ja ziemlich frappierend, man kann Karten klonen, im Ausland damit Geld abheben, damit Transaktion manipulieren. Ein ziemlicher Schlag für bargeldlose Bezahlsysteme, oder?

    Rähm: Ja, ich habe heute mit dem Chef der SR Labs, Karsten Nohl, gesprochen, der eben auch diesen Thomas Roth beschäftigt. Und er sagt, es ist wirklich katastrophal, denn nicht nur diese Terminals sind unsicher, sondern auch die ganzen Protokolle, oder auch ein Teil der Protokolle zur Übertragung sind damit, ja, mehr oder weniger obsolet. Und es gab bei der Entwicklung des jetzigen Zustands des bargeldlosen Zahlverkehrs die Grundannahme, dass Terminals an sich nicht hackbar seien, und das ist, das hat sich jetzt herausgestellt, schlicht falsch. Und damit sind auch die eigentlich als sicher geltenden Chips auf der Karte auch unsicher, sobald die Dinger am Terminal stecken, können sie ausgelesen werden. Eigentlich müsste es jetzt eine komplette Neuentwicklung geben. Updates für die Terminals sind erst einmal nur eine Notlösung. Das grundlegende Problem bleibt bestehen.

    Krauter: Und wie reagieren die betroffenen Unternehmen? Sind die schon dran das Problem zu beheben?

    Rähm: Ja, die sind dran. Das Update soll in den nächsten Wochen kommen, und die SR Labs hoffen, dass es bis dahin keinen Missbrauch gibt. Interessant ist: Die Banken waren bereits Ende letzten Jahres informiert. Seit Anfang diesen Jahres waren die Banken und die Zertifizierungsstelle informiert. Aber die haben nicht gehandelt und haben den Hersteller nicht informiert. Denn dieser weiß erst seit März davon. Aber warum bis heute keine Lösung da ist, dass noch ein bisschen unklar. Ob es da einfach ein bisschen zu langsam war, oder ob es zu schwierig war. Aber wenn das Update da ist, dann wird es hoffentlich ein bisschen besser.