Berlin. Kriminelle können über eine Sicherheitslücke bei der Zahlung mit EC-Karten unbegrenzt Geld abschöpfen. Geschädigt werden die Händler.

IT-Sicherheitsforscher haben eine massive Schwachstelle bei der Zahlung mit EC-Karten aufgedeckt. Das berichten die Süddeutsche Zeitung, NDR und WDR. Demnach ist es Kriminellen über die Lücke möglich, im großen Stil Geld abzuschöpfen, indem sie sich selbst Gutschriften ausstellen.

Dazu benötigen die Täter demnach nur ein sogenanntes POS-Terminal, mit dem Kunden beispielsweise an Supermarkt-Kassen mit EC-Karten bezahlen können. Die Geräte können für wenige Euro im Monat gemietet werden.

Der Händler ist der Geschädigte

Den gemieteten POS-Terminals können die Täter vorgaukeln, dass sie Teil des Bezahlsystems der betroffenen Händler sind. Dazu müssen sie unter anderem das Passwort und die IP eines vorhandenen Terminals ermitteln, was den Forschern zufolge relativ einfach möglich ist. In der Folge können sich die Täter Gutschriften ausstellen, die eigentlich für den Fall gedacht sind, dass Kunden Waren zurückgeben möchten. Die Gutschrift landet dann auf dem Konto der Angreifer, wird aber dem Händler in Rechnung gestellt. Dabei soll es theoretisch keine Limits geben.

„Die Schwachstellen in Bezahlprotokollen betreffen fast alle Bezahlterminals in Deutschland und somit alle Einzelhändler, Hotelbetreiber, Tankstellen“, sagt der Berliner Sicherheitsexperte Karsten Nohl, dessen Team die Lücke aufgedeckt hat.

Banken sehen keine Sicherheitslücken

Die Banken, organisiert in der Deutschen Kreditwirtschaft (DK), wiegeln dagegen ab. Die Angriffe seien „unter Laborbedingungen, also nur theoretisch, möglich“. Das Girocard-System der DK sei von diesen Angriffsszenarien nicht betroffen. Zur Begründung verweist die DK darauf, dass das System seit 2012 vollständig auf Chip und PIN basiere, die von den Experten vorgestellten Angriffe sich aber auf die Magnetstreifentechnik bezögen. „Missbrauch oder Schäden im Girocard-System zu Lasten von Karteninhabern sind daher ausgeschlossen.“ (sah/rtr)