Wie immer bei handfesten Skandalen kommt die ganze Wahrheit nur scheibchenweise ans Licht. So geschehen bei einer massiven Hacker-Attacke auf die US-Supermarktkette Target. 40 Millionen Karten waren gehackt worden.
Nun räumt der Konzern ein, dass das eigentlich Undenkbare geschehen ist: In einem Statement teilte Target mit, dass die Hacker auch die PIN-Nummern der Kunden gestohlen haben. Damit wären die Diebe in der Lage, die Plastik-Karten der Kunden beliebig zu verwenden – und auch Geld mit ihnen am Bankomat abzuheben, berichtet die FT.
Zunächst hatte Target nur zugegeben, dass der CVC-Code der Kunden gestohlen wurde. Auch das ist sehr unangenehm: In Kombination mit der Kartennummer können Diebe mit dem CVC-Code im Internet beliebig einkaufen gehen.
Target sagt nun in einer Mitteilung an die Kunden, dass die „Untersuchung ergeben hat, streng verschlüsselte PIN-Daten von unserem System im Zuge des Einbruchs entfernt wurden“. Target versucht seine Kunden zu beruhigen, indem das Unternehmen behauptet, die Verschlüsselung sei dreifach, entspreche den US-Standards und werde von Target niemals verwendet.
In der Pressemeldung zeigte sich Target schon deutlich weicher: „Wir bleiben zuversichtlich, dass die PIN-Nummern sicher und geschützt sind.“
„Zuversichtlich“? Das klingt nach sehr viel Unsicherheit auf Seiten des Unternehmens, das offenbar bemüht ist, den Skandal so lange wie möglich unter der Decke zu halten.
Doch diese Aussage wirft gravierende Fragen auf, die sich vermutlich kaum ein Supermarkt-Kunde jemals gestellt hat: Offenkundig hat Target die PIN-Daten gespeichert. Wozu? Ist es gängige Praxis bei Supermärkten und anderen Einzelhändlern, die Daten zu speichern? Wie ist das bei Online-Händlern? Warum werden die PIN-Daten nicht sofort gelöscht?
Wie sieht es konkret in Deutschland aus? Speichern auch hier die Supermärkte alle Daten, CVC und PIN, von Bank- und Kredit-Karten? Warum – und mit welchen Sicherheitsvorkehrungen?
John Kindervag von Forrester Research sagte der FT, dass die Verschlüsselung einem Hacking eigentlich standhalten solle. Doch auch er frage sich, warum Target diese Daten gespeichert hat. Und ganz so sicher scheint sich der Experte auch nicht zu sein. Kindervag: „Wenn Sie Ihre Bankkarte bei Target verwendet haben, ist es vermutlich eine gute Idee, die PIN-Nummer zu ändern.“
Das klingt nach hohem Risiko. Die FT beruft sich auf einen Banker, der die Darstellung des Unternehmens bezweifelt. Es bestehe ein Risiko, dassdie Verschlüsselung geknackt und Geld von den Konten der Karteninhaber abgehoben wurde.
Die amerikanischen Banken hatten, nachdem das Hacking aufgeflogen war, die Limits der Karten heruntergesetzt.
Für Kunden sollte der Vorfall eine Frühwarnung sein: Selbstverständlich werden alle nicht betroffenen Unternehmen sagen, dass solch ein Vorfall bei ihnen absolut unmöglich sei.
Doch wer Pressemitteilungen von Unternehmen und Banken skeptisch gegenübersteht und auf Nummer Sicher gehen will, der sollte auf Bargeld beim Einkauf umsteigen.
Das ist immer noch die sicherste Methode, um sich vor bösen Überraschungen zu schützen.
