Die Sendung Monitor präsentierte ihren Zuschauern am 12. Juli 2012 live einen Cyber-Angriff auf ein POS-Kartenterminal. Ausgeführt wurde er von zwei Hackern, die als selbstständige Unternehmer die Firma Security Research Labs (SRLabs) führen, in dem sie ihre Dienste legal Unternehmen anbieten, um potenzielle IT-Schwachstellen präventiv ausfindig zu machen. In diesem im Studio aufgebauten Laborversuch gelang es den in einem Nebenraum sitzenden Hackern, bei allen vier an einem Kassenplatz mit Kartenterminal ausgeführten EC-Kartenzahlungen die PIN abzufischen. Die Versuchsanordnung war von Mitgliedern der RWTH Aachen aufgebaut und kontrolliert worden.
Die Hacker hatten sich für ihr Projekt das im Handel am weitesten verbreitete Kartenterminal „Artema Hybrid“ ausgesucht. Diese Terminals gehören heute der Firma Verifone, die dadurch im Scheinwerferlicht stand, diese Terminals aber nicht selbst entwickelt hat. Die „Artema Hybrid“-Terminals stammen ursprünglich von der Firma Thales, die später zu Hypercom wurde. Hypercom wurde dann 2011 von Verifone übernommen. Im Gegensatz zu irrtümlich verbreiteten Meldungen sind „Verifone“-Terminals nicht von dem theoretischen Szenario der Monitor-Sendung betroffen. An dieser Stelle muss erwähnt werden, dass es sich bei dem Monitor-Versuch um eine Demonstration handelt, es ist bislang kein realer Fall eines solchen Terminal-Betruges bekannt.
Das Besondere der Monitor-Demonstration ist, dass das Szenario über das bislang bekannte Skimming hinausgeht. Beim Skimming kommt es zu physischen Manipulationen an einzelnen Geldautomaten oder POS-Terminals. Laut EHI-Payment-Experte Horst Rüter „stellt das Monitor-Szenario technisch eine andere Dimension dar“. Darüber informierte auch der Handelsverband Deutschland HDE anlässlich der Sendung seine Mitglieder: „Es handelt sich um eine neue Form, die ohne einen physischen Eingriff in das Gerät auskommt. Der Zugriff kann über das Netzwerk des Händlers erfolgen.“
Verifone hat zu den technischen Einzelheiten Informationen veröffentlicht, welche das in Monitor gezeigte Bedrohungs-Szenario relativieren. Man geht davon aus, dass die Hacker eine Fremdsoftware auf die Anwendungs-Software des Terminals aufspielen und diese Software eine PIN-Abfrage simuliert. Laut Verifone und der Deutschen Kreditwirtschaft ist das Sicherheitsmodul des Terminals von dem Angriff nicht betroffen. Dies bedeutet, dass ein Ausspähen der PIN während einer wirklichen, realen Kartenzahlung nicht möglich ist. Die Fremdsoftware muss demnach eine Zahlungstransaktion vortäuschen, um an die Kartendaten zu kommen. Das bedeutet in der Konsequenz, so der HDE: „Daher fällt spätestens beim nächsten Kassenschnitt auf, dass das Terminal manipuliert wurde, da entsprechende Umsätze fehlen.“ Dieser Kassenschnitt findet in der Regel abends nach Kassenschluss statt.
Andere Dimension
Der zweite Punkt ist, so Verifone, dass der Angriff über die LAN-Schnittstelle nicht aus der Ferne ausgeführt werden kann. „Der Angreifer muss also direkt bei dem Terminal vor Ort sein, um die Manipulation vornehmen zu können.“ Der HDE informierte seine Mitglieder: „Ein Angriff kann nur von einem Ort innerhalb des Händlernetzwerks erfolgen. Der Angreifer kann nicht über Router eindringen, sondern muss sich physisch Zugang zum Händlernetzwerk verschaffen.“
Diese Aussagen sind offenbar von dem Sicherheitsunternehmen SRLabs bislang nicht kommentiert worden. Markus Hövekamp, Vorsitzender der Geschäftsführung von Verifone, Bad Hersfeld, teilte rt mit: „Die Firma SRLabs hat sich auch nach der Kontaktierung durch Medien und auf weitere Nachfragen von Verifone weiterhin nicht in der Lage gesehen, uns die vollständigen Unterlagen dieses theoretischen Angriffs-Szenarios zur Verfügung zu stellen und dadurch an einer zügigen Behebung mitzuarbeiten.“
Verifone hatte anlässlich der Monitor-Sendung sofort angekündigt, „schnellstmöglich ein Software-Update zur Verfügung zu stellen, das es unmöglich machen wird, eine PIN-Abfrage vorzutäuschen, selbst wenn der Angreifer die vollständige Kontrolle über den Applikationsprozessor hat.“
Auf Anfrage von rt, wie der Stand der Umsetzung für dieses Update sei, erklärte Markus Hövekamp: „Wir stimmen uns eng mit unseren Partnern und Kunden zu den Details und zur Umsetzung des Software-Updates ab. Wir haben detaillierte Umsetzungsvorschläge erarbeitet, diese werden derzeit von der Deutschen Kreditwirtschaft (DK) geprüft. Geplant ist, nach der Abstimmung mit der DK den Software-Patch kurzfristig den Netzbetreibern zur Verfügung zu stellen. Jedoch sind, wie bei allen Software-Releases, Integrationstests bei den Netzbetreibern notwendig, die ebenfalls einige Zeit in Anspruch nehmen werden. Anschließend werden die Netzbetreiber dann selbst ihre Kunden über die Einspielung des Software-Updates informieren.“
Der HDE bewertet das Risiko eines derartigen Angriffs als nicht sehr hoch: „In der Praxis ist durch die Einschränkungen (physischer Netzwerkzugriff und maximal eintägiger Betrieb) eine Nutzung für Betrugsfälle unattraktiv und erscheint unwahrscheinlich.“ Aus Sicht des Endkunden im Einzelhandel bleibt festzuhalten, dass die Deutsche Kreditwirtschaft bislang soweit bekannt jeden Schaden aus Kartenbetrug durch Skimming entschädigt hat.
Foto: Fotolia/Ivan Kmit
Sinkende Fallzahlen
Margit Schneider, Leiterin des Bereichs Sicherheitsmanagement für Zahlungskarten bei Euro Kartensysteme, einem Gemeinschaftsunternehmen der Deutschen Kreditwirtschaft, nennt Zahlen zum Thema Kartenbetrug durch Geräte-Manipulation.
Die Anzahl der Skimming-Angriffe an Geldautomaten sank im ersten Halbjahr 2012 im Vergleich mit dem Vorjahreszeitraum von 532 auf 253 Fälle. Im gesamten Jahr 2011 wurden noch insgesamt 768 Angriffe gezählt. Bei den POS-Terminals zählen wir im bisherigen Jahresverlauf 2012 43 Manipulationsversuche, von denen allerdings fast die Hälfte nicht „erfolgreich“ war, bei denen also Schaden verhindert werden konnte. Viele Händler und ihre Netzbetreiber haben inzwischen gemeinsam zusätzliche Präventionsmaßnahmen etabliert, die die POS-Terminals sicherer machen. Positiv wirkt sich auch die EMV-Umstellung in den SEPA-Ländern aus.