Wie sicher ist Zahlung per Kreditkarte?

Moderator GM&P · . Anmeldungsdatum: 21.01.2006 Beiträge: 6271

Der elektronische Zahlungsverkehr birgt nach Recherchen von report MÜNCHEN erhebliche Risiken für die Besitzer von Kredit- und EC-Karten. Die Daten passieren bei der Übermittlung an die Hausbank Knotenpunkte, wo die Verschlüsselung der sensiblen Informationen aufgehoben wird. Genau darauf warten Kriminelle.

Kriminelle, so die brisanten Erkenntnisse der beiden israelischen Wissenschaftler Odelia Moshe Ostrovsky und Omer Berkman, verschaffen sich unbemerkt Zugriff auf die Personal Identification Number (Pin) und Kartendaten ahnungsloser EC- und Kreditkartenbesitzer. Mit den gestohlenen Daten werde dann auf Kosten der Opfer eingekauft oder Konten an Geldautomaten geplündert.

Entdeckt haben Ostrovsky und Berkman diese Sicherheitslücke bei einer Untersuchung der Datenübertragungswege elektronischer Zahlungsvorgänge. Danach werden die am Geldautomaten oder an der Kasse verschlüsselten Daten auf dem Weg in die Hausbank des Opfers an verschiedenen, weltweit installierten Knotenpunkten, den sogenannten HSM-Modulen, entschlüsselt und dann wieder verschlüsselt auf die Reise geschickt. Diese HSM-Module seien der Angriffspunkt von kriminellen Hackern.

Beispielsweise genüge es, eine Person in einer Putzkolonne unterzubringen, so Ostrovsky und Berkman gegenüber report MÜNCHEN. Diese Person könne schnell und unbemerkt ein Computerprogramm installieren, das in einer Sekunde 5.000 Datensätze inklusive Geheimnummer von dem betroffenen HSM-Modul kopiere.

Auf Anfrage stellte eine der weltweit größten Kreditkartenunternehmen, die Firma Mastercard fest, dass auf Grund der hohen Zugangskontrollen zu HSM-Modulen derartige Angriffe "extrem schwierig, wenn nicht sogar unmöglich" seien. Ergänzend erklärte am Telefon eine Sprecherin des Zentralen Kreditausschusses gegenüber report MÜNCHEN, man habe ausländische Partnerbanken wiederholt auf die Wichtigkeit rigider Sicherheitsmaßnahmen bei HSM-Modulen hingewiesen. Tatsache ist: Durchqueren die sensiblen Kundendaten nur ein einziges Mal ein schlecht geschütztes HSM-Modul, dann ist der potenzielle Zugriff auf die Klardaten und damit ein Missbrauch möglich.

Sicherheitsexperten wie Matthias Rosche von der Firma Integralis bei München vertreten die Ansicht, "die Banken hätten bisher noch nicht alles getan, um eine wirklich sichere Umgebung aufzusetzen". In Deutschland sieht Rosche "öfters Sicherheitsmängel im organisatorischen Umfeld". In anderen Ländern sieht er Lücken beim Zugang zu den sensiblen HSM-Modulen. Schon heute bieten laut Recherchen von report MÜNCHEN Kriminelle, so genannte Carder, aus "hsm-attacks" geklaute Kartendaten und Geheimnummern im Internet zum Kauf an.

Die Weigerung der Kreditwirtschaft Opfer unerklärlicher Fälle von Barabhebungen nicht zu entschädigen, hält Hartmut Strube von der Verbraucherzentrale Nordrhein-Westfalen für skandalös. 1.500 solcher mysteriöser Fälle von EC- und Kreditkartenbetrugs hat Strube bereits in Form einer Sammelklage vor Gericht gebracht. Notfalls will Strube bis zum Bundesgerichtshof gehen.

Besonders pikant: Strube vertritt Geschädigte, die mit ihrer Kreditkarte niemals Geld abgehoben haben und nach wie vor über den ungeöffneten Brief mit der darin befindlichen Pin verfügen. Ein sorgloser Umgang der Geschädigten mit der Pin ist deshalb ausgeschlossen. Auch in einem Gutachten des Bundesamtes für Sicherheit für Informationstechnik im Auftrag des Landgerichts Bonn wird sinngemäß darauf hingewiesen, dass durchaus Fälle vorliegen, wonach es zu Missbrauch kam, obwohl verschlossene Briefe von Pins vorlagen. Odelia Moshe Ostrovsky und Omer Berkman haben auch für diese bislang unerklärlichen Fälle eine Erklärung: Sitzt der Angreifer bei der Firma, die die Karten ausgibt, könne direkt auf die Pin zugegriffen werden.
Quelle: Sabina Wolf, report MÜNCHEN