Inhalt.
Hauptnavigation.
Suche.
Bild vergrößern bzw. verkleinern
Bildunterschrift:
EC-Karte
]
Tatort Ladenkasse oder Geldautomat. Eine neue Angriffswelle auf Bezahlsysteme droht den Verbrauchern. In den Internet-Foren der EC- und Kreditkartenmafia finden wir Spuren eines Handels mit gefährlicher Schadsoftware: Trojaner für Geldautomaten und Kassenterminals!
Bisher liefen die Angriffe so: Kriminelle manipulieren Automaten-Hardware. Sie bringen einen Magnetstreifenleser am Karteneinzug an und eine Kamera, die die PIN Eingabe filmt.
Doch Geldautomaten mit Aufsätzen von außen anzugreifen dürfte bald Schnee von gestern sein. Diesmal kommt der Angriff auf die EC- und Kreditkarten von innen: Mit Schadsoftware, kleine Spionageprogramme! Und betroffen sind nicht nur Automaten, auch die Bezahlgeräte an der Ladenkasse haben die Täter im Visier.
Günter Seibold vom bayerischen Landeskriminalamt in München bestätigt das: "Man muss hier von der organisierten Kriminalität ausgehen, die neueste Technik wird gekauft, zu gekauft, studiert."
Kriminelle würden gezielt Terminals von Ladenkassen stehlen um sie dann aufzumachen und sich das Interne anschauen, befürchten die Ermittler.
Unterdessen kommt es immer wieder zu unerklärlichen Missbrauchsfällen bei den angeblich sicheren EC- und Kreditkarten mit Chip - so wie bei der von Hannelore Seibt. Im 40-Sekunden-Takt heben Täter nach dem Diebstahl ihrer EC-Karte ab, insgesamt 500 Euro an einem Geldautomaten in Lissabon. Hannelore Seibt schwört Stein und Bein, ihre PIN sei weder auf der EC-Karte noch im Geldbeutel notiert gewesen. "Ich habe das immer wiederholt, ich wiederhole es auch jetzt, die befand sich da nicht drauf, aber das genau ist mir unterstellt worden, immer wieder." Den Schaden zu erstatten, das lehnt die Sparkasse ab.
Wir wollen dem nachgehen und besuchen das Computerlabor an der englischen Universität Cambridge. Denn dort hat man eine Entdeckung gemacht. Weil die Banken die Dokumente von Transaktionen geschädigter Bankkunden selten rausrücken, präpariert Computerexperte Sergei Skorobogatov eine Chipkarte: Neben dem Chip baut er einen winzig kleinen Computer ein: "Ich schließe hier einen Mikrocontroller an den Chip an, so dass ich mitscheiden kann, was im Geldautomaten passiert." Mit der so präparierten Karte hebt Sergei Geld ab, und immer lauscht sein kleiner Computer mit, sammelt Daten darüber, was sich im inneren des Automaten abspielt.
Dort werden die ganzen Kartendaten noch einmal verschlüsselt und als Datenpaket verschnürt. Wichtig: Der Automat muss zum Verschlüsseln sogenannte "unpredictable numbers" verwenden, das sind unvorhersagbare Verschlüsselungszahlen, in der Fachsprache heißen sie kurz UN. Nur wenn der Automat tatsächlich mit UN operiert, dann darf die Bank die Geldausgabe freigeben. Nur dann ist die Transaktion sicher.
Zurück im Computerlabor. Der Kryptologe Steven Murdoch wertet die Daten seines Kollegen aus und macht eine unglaubliche Entdeckung: Die unvorhersagbaren, zufälligen Zahlen sind gar nicht zufällig! Da weist zum Beispiel eine Spalte immer Null auf, beobachtet Steven Murdoch: "Wenn die Kriminellen ahnen, wie die unvorhersagbare Zahl künftig heißt, und kommen sie an Kartendaten, dann können sie auch eine Kartenkopie herstellen und die dann an einem Geldautomaten einsetzen. Das aber ist genau das, was man mit dem Chip und PIN System verhindern wollte."
Chipkarten zu kopieren, in der Fachsprache Skimming genannt, ist also möglich, zum Beispiel durch Computerviren, aber auch dann, wenn der Automat oder der Kartenleser an der Kasse einfach nur schlecht programmiert sind. Chip and Skim nennen die Wissenschaftler die neue Untersuchung.
Banken und Sparkassen wiegeln ab - die Kreditkartenfirma Visa räumt auf Anfrage von Plusminus allerdings ein: Würden Täter über "tiefgehende technische Kenntnisse" verfügen, sei der Angriff möglich.
Frank-Christian Pauli vom Verbraucherzentrale Bundesverband hält das quasi für ein Eingeständnis, "dass es möglich ist, wenn man über diese Kenntnisse verfügt. Man darf nicht davon ausgehen, dass Täter nicht über tiefgehende technische Kenntnisse verfügen können. Wir Verbraucher müssen nicht mehr diejenigen sein, die da Mist gebaut haben, es können auch die Anbieter selber sein, weil irgendwelche Lücken in ihren Sicherheitssystemen zum Tragen gekommen sind und für die Justiz heißt das, dass sie nicht zu viel Vertrauen auf Aussagen setzen darf, dass die Verfahren völlig sicher seien, und dass die Verbraucher den Fehler gemacht haben müssen, genau das legt die Studie aus Cambridge jetzt offen."
Übrigens: Am 23. September schickt Plusminus der Sparkasse eine Anfrage zum Fall von Hannelore Seibt. Tags drauf bekommt die Kundin Post. Plötzlich kriegt sie ihr Geld erstattet. Was sich am Automaten in Portugal wirklich abgespielt hat, diese Antwort bleibt die Sparkasse schuldig.
Bericht: Sabina Wolf
Stand: Anfang Oktober 2012
Dieser Text informiert über den Fernsehbeitrag vom 10.10.2012. Eventuelle spätere Veränderungen des Sachverhaltes sind nicht berücksichtigt.
