Hacker: Bank- und Kreditkarten „total unsicher“

Ein italienischer Hacker hat die Chips von Bank- und Kreditkarten als „total unsicher“ entlarvt. Auf dem Hacker-Kongress des Chaos Computer Clubs hat der Gründer einer Sicherheitsfirma vorgeführt, wie leicht das zehn Jahre alte Sicherheitssystem der Chipkarten zu knacken ist. Mobile Bezahlmöglichkeiten weisen demnach die gleichen Schwachstellen auf.

Ihren XING-Kontakten zeigen
linkedin
abo-pic
Bezahlen mit Chipkarten ist wegen völlig veralteter Standards „total unsicher“.

Bezahlen mit Chipkarten ist wegen völlig veralteter Standards „total unsicher“.

Der Hacker, IT-Sicherheitsexperte und Gründer einer italienischen IT-Sicherheitsfirma hat die Chips von Bank- und Kreditkarten als „total unsicher“ entlarvt. Auf dem jährlichen Hacker-Kongress des Chaos Computer Clubs in Hamburg hat Barisani vorgeführt, wie leicht das zehn Jahre alte Sicherheitssystem der Chipkarten, der EMV-Standard, zu knacken ist.

Dazu hat Barisani verschiedene bekannte Sicherheitslücken ausgenutzt und kombiniert, die teilweise seit Jahren bekannt sind. Dazu sei nicht einmal mehr ein entsprechend präpariertes Lesegerät notwendig, mit dem die Kommunikationsdaten inklusive PIN beim Bezahlen leicht abgehört und kopiert werden (Scimming). Barisani zeigte in seinem Vortrag per Video, wie leicht es sei, dem System die richtige Pin vorzugauckeln – und sogar die Quittung zu fälschen.

Schwachstellen seien dabei die fehlende Verschlüsselung bei der Authentifizierung, die leichte Aushebelung der Online-Verifizierung und das manipulationsanfällige Lesegerät, dessen einfache Software selbst eine mangelnde Authentifizierung auf Befehl einfach „ignoriert“.

Heise berichtet, die Sicherheitslücken seien in Barisanis Heimatland Italien zwar häufiger als in Deutschland, könnten aber auch leicht mit deutschen Karten im Ausland oder ausländischen Karten in Deutschland funktionieren. Genaueres zu den Fällen in Deutschland könne Barisani jedoch wegen einer Schweigeklausel nicht veröffentlichen, die in seinem Vertrag mit den Banken stehe, die ihn mit dem Sicherheitstest beauftragt hatten. Die Sicherheits-Lücken betreffen jedoch vor allem die Kartenzahlung an allen gängigen Terminals außer den Bankautomaten selbst. Diese hätten nach zahlreichen Scimming-Angriffen die Sicherheitslücke geschlossen, indem sie meist eine Online-Verifizierung verlangen.

Mobile Bezahlmöglichkeiten per Smartphone wie etwa  Apple Pay wiesen dem Sicherheitsexperten zufolge jedoch ähnliche Schwachstellen auf wie die Chipkarten, da sie quasi nur eine drahtlose Version des EMV-Standards darstellten.

Barisani kritisierte die EMV-Betreiber wie Mastercard und Visa, da diese zu wenig tun um die bekannten Lücken zu schließen. Er kritisierte, dass die EMV-Betreiber bei vielen der rund 1000 ihm bekannten Betrugsfälle oftmals versuchten, die Schuld auf die Bank oder die Nutzer abzuschieben, die angeblich nicht gut genug auf ihre PIN aufpassten.

 

*** Für PR, Gefälligkeitsartikel oder politische Hofberichterstattung stehen die DWN nicht zur Verfügung: Unsere Prinzipien: Kritische Distanz zu allen und klare Worte. Das gefällt natürlich vielen nicht: Der Bundesregierung, den EU-Behörden, den Netzwerken der Parteien, den Lobbyisten, Medien unter staatlicher Aufsicht, verschiedenen Agitatoren aus dem In- und Ausland. Diese Player behindern uns nach Kräften und attackieren unser Geschäftsmodell.

Daher bitten wir Sie, liebe Leserin und Leser, um Ihre Unterstützung: Sichern Sie die Existenz der DWN!

Hier können Sie sich für einen kostenlosen Gratismonat registrieren. Wenn dieser abgelaufen ist, erhalten Sie automatisch eine Nachricht und können dann das Abo auswählen, das am besten Ihren Bedürfnissen entspricht. Einen Überblick über die verfügbaren Abonnements bekommen Sie hier. ***


media-fastclick media-fastclick