Alle Storys
Folgen
Keine Story von c't mehr verpassen.

c't

Zweifelhafte Zertifizierungspraxis bei Ladestationen
c't entdeckt manipulierbare Geldkarten-Terminals

Hannover (ots)

Tausende EC-Geldkartenladestationen in
McDonalds-Filialen wiesen über Jahre gravierende Sicherheitslücken
auf. Durch einfache Manipulationen hätten sich Hacker in die Systeme
via ISDN einwählen und sie vollständig kontrollieren können. Auch die
PIN-Nummern von EC-Karten wären dann nicht mehr sicher vor Spionage
gewesen, berichtet das Computermagazin c't in der aktuellen Ausgabe
16/02.
Hätte sich ein Hacker erst einmal mit Hilfe eines so genannten
Trojanischen Pferdes eine PIN-Nummer beschafft, müsste er nur noch
die EC-Karte selbst in seinen Besitz bringen, um beliebig viel Geld
vom Konto seiner Opfer abzuheben. Inzwischen hat der Betreiber, die
Sparkassentochter sCard Service, die Sicherheitslücke aufgrund der
Hinweise aus der c't-Redaktion geschlossen.
"Der gesamte Vorgang wirft jedoch die grundsätzliche Frage auf, ob
die gängige Zertifizierungspraxis tatsächlich ausreicht, die
Sicherheit elektronischer Bezahlsysteme zu gewährleisten", so
c't-Redakteur Jürgen Schmidt. Der Zentrale Kreditausschuss (ZKA)
hatte das System als sicher eingestuft. Es stellte sich aber heraus,
dass zwar die PIN-Eingabe an sich verschlüsselt abläuft, die
Systemumgebung derweil aus einem ungesicherten Windows 95 besteht, in
das sich ein Trojaner einschleichen könnte, um über einen Trick an
die PIN-Nummern zu kommen. Um die Windows-Umgebung hinter der
Bedieneroberläche zu Gesicht zu bekommen, reichte es, eine ungültige
Karte einige Minuten in das Terminal zu stecken, woraufhin das System
einen Neustart durchführte.
Bei den Sicherheitstests im Auftrag des ZKA wurde nur das
eigentliche PIN-Eingabegerät unter die Lupe genommen, das
Komplettsystem samt Windows-95-Umgebung hatten die Tester aber nie
gesehen. Dem Benutzer präsentiert sich ein solches Terminal als
geschlossene Einheit. Folglich müsse auch das Gesamtsystem einer
Sicherheitsprüfung unterzogen werden, so c't-Experte Jürgen Schmidt.
"Schließlich ist es eine Binsenweisheit, dass jedes
Sicherheitskonzept nur so gut ist wie sein schwächstes Glied." (ju)
Titelbild c't 16/2002: 
www.heise.de/presseinfo/bilder/ct/02/ct162002.jpg
Aktuelle Meldungen aus der Heise Medien Gruppe finden Sie unter 
   http://www.heise.de/presseinfo
Unter http://www.heise.de/presseinfo/mail.shtml können Sie sich
für den Mail-Service anmelden. Dann erhalten Sie automatisch jede
neue Pressemitteilung aus der Heise Medien Gruppe per E-Mail.

Pressekontakt:

Ihre Ansprechpartnerin für Rückfragen:
Anja Reupke
Presse- und Öffentlichkeitsarbeit
Telefon: 05 11/53 52-561
Fax: 05 11/53 52-563
E-Mail: ar@presse.heise.de

Original-Content von: c't, übermittelt durch news aktuell

Weitere Storys: c't
Weitere Storys: c't
  • 14.07.2002 – 10:00

    PC-Spionage am Arbeitsplatz und zu Hause / Spyware macht PCs zu Verrätern

    Hannover (ots) - "Diese Software können Sie kostenlos benutzen, wenn Sie sich im Gegenzug mit Werbung aus dem Internet beliefern lassen." Klingt gut, wird aber bedrohlich, wenn das Programm, das angeblich nur die die Reklame liefert, nebenbei akribisch Ihr Tun am PC protokolliert - womöglich Passwörter mitschreibt - und die Daten ins Web sendet, warnt das ...

  • 11.07.2002 – 15:45

    Stichtag 31. Juli: Microsofts neue Lizenzpolitik / Unmut über "Software Assurance"

    Hannover (ots) - Für viele Unternehmen und Verwaltungen wird es nach dem 31. Juli mit Microsofts neuer Lizenzpolitik das große Erwachen geben, warnt das Computermagazin c't. Bis dahin müssen sie sich entschieden haben, ob sie mit der "Software Assurance" tatsächlich jedes neue Update für ihre Software per Abo oder Miete beziehen wollen. Ansonsten will Microsoft ...