Zweifelhafte Zertifizierungspraxis bei Ladestationen
c't entdeckt
manipulierbare Geldkarten-Terminals
Hannover (ots)
Tausende EC-Geldkartenladestationen in McDonalds-Filialen wiesen über Jahre gravierende Sicherheitslücken auf. Durch einfache Manipulationen hätten sich Hacker in die Systeme via ISDN einwählen und sie vollständig kontrollieren können. Auch die PIN-Nummern von EC-Karten wären dann nicht mehr sicher vor Spionage gewesen, berichtet das Computermagazin c't in der aktuellen Ausgabe 16/02.
Hätte sich ein Hacker erst einmal mit Hilfe eines so genannten Trojanischen Pferdes eine PIN-Nummer beschafft, müsste er nur noch die EC-Karte selbst in seinen Besitz bringen, um beliebig viel Geld vom Konto seiner Opfer abzuheben. Inzwischen hat der Betreiber, die Sparkassentochter sCard Service, die Sicherheitslücke aufgrund der Hinweise aus der c't-Redaktion geschlossen.
"Der gesamte Vorgang wirft jedoch die grundsätzliche Frage auf, ob die gängige Zertifizierungspraxis tatsächlich ausreicht, die Sicherheit elektronischer Bezahlsysteme zu gewährleisten", so c't-Redakteur Jürgen Schmidt. Der Zentrale Kreditausschuss (ZKA) hatte das System als sicher eingestuft. Es stellte sich aber heraus, dass zwar die PIN-Eingabe an sich verschlüsselt abläuft, die Systemumgebung derweil aus einem ungesicherten Windows 95 besteht, in das sich ein Trojaner einschleichen könnte, um über einen Trick an die PIN-Nummern zu kommen. Um die Windows-Umgebung hinter der Bedieneroberläche zu Gesicht zu bekommen, reichte es, eine ungültige Karte einige Minuten in das Terminal zu stecken, woraufhin das System einen Neustart durchführte.
Bei den Sicherheitstests im Auftrag des ZKA wurde nur das eigentliche PIN-Eingabegerät unter die Lupe genommen, das Komplettsystem samt Windows-95-Umgebung hatten die Tester aber nie gesehen. Dem Benutzer präsentiert sich ein solches Terminal als geschlossene Einheit. Folglich müsse auch das Gesamtsystem einer Sicherheitsprüfung unterzogen werden, so c't-Experte Jürgen Schmidt. "Schließlich ist es eine Binsenweisheit, dass jedes Sicherheitskonzept nur so gut ist wie sein schwächstes Glied." (ju)
Titelbild c't 16/2002: www.heise.de/presseinfo/bilder/ct/02/ct162002.jpg
Aktuelle Meldungen aus der Heise Medien Gruppe finden Sie unter http://www.heise.de/presseinfo
Unter http://www.heise.de/presseinfo/mail.shtml können Sie sich für den Mail-Service anmelden. Dann erhalten Sie automatisch jede neue Pressemitteilung aus der Heise Medien Gruppe per E-Mail.
Pressekontakt:
Ihre Ansprechpartnerin für Rückfragen:
Anja Reupke
Presse- und Öffentlichkeitsarbeit
Telefon: 05 11/53 52-561
Fax: 05 11/53 52-563
E-Mail: ar@presse.heise.de
Original-Content von: c't, übermittelt durch news aktuell