Im Mai war Girogo an der Reihe, jetzt die Girocard. In der Sendung Monitor hat die ARD am 12. Juli einen Bericht mit dem Titel "Wie Hacker die bargeldlosen Kassensysteme im Einzelhandel knacken" ausgestrahlt. Darin ging es darum, wie PoS-Terminals unter Umgehung der Sicherheitssiegel, also ohne Aufbohren des Geräts, manipuliert werden könnten. Gezeigt wurde, wie ein Terminal an eine Handelskasse angeschlossen und eine Fremdsoftware in den Applikationsprozessor des Terminals aufgespielt wurde. Durch diese Fremdsoftware, also gewissermaßen einen Virus, würde dann eine PIN-Abfrage simuliert.
Da sind sie also wieder, die alten Ängste, die dem Bargeld zu seinem immer noch hohen Anteil im Zahlungsverkehrsmix verhelfen. Kein Wunder also, dass der Terminalhersteller Verifone, an dessen "Artema Hybrid" der Manipulationsversuch demonstriert wurde, und die Deutsche Kreditwirtschaft alarmiert reagierten.
Wie so oft, wurde in dem Bericht wieder einmal nur die halbe Wahrheit dargestellt. Die gezeigte Art des Manipulationsversuchs über die LAN-Schnittstelle kann nämlich nach Angaben von Verifone nicht aus der Ferne ausgeführt werden, weil er auf sogenannten ARP-Paketen beruht, die nicht über DSL-Router oder einen Switch übertragen werden können. Der Täter müsste also direkt beim Terminal vor Ort sein, um die Manipulation vornehmen zu können. Dieses Risiko steht zudem nur in einem ungünstigen Verhältnis zum Nutzen: Denn die Manipulation gelingt maximal für einen Tag. Spätestens bei Durchführung des täglichen Kassenabschlusses würde auffallen, dass das Terminal nicht spezifikationsgerecht arbeitet.
Zudem erfolgt bei dem Manipulationsversuch kein Zugriff auf den abgeschirmten Prozessor im Sicherheitsmodul des Terminals, das die kryptografischen Schlüssel enthält. Selbst mittels einer manipulierten Applikation ist somit ein Ausspähen der PIN während einer erfolgreichen Kartenzahlung nicht möglich, so der Terminalhersteller und die Deutsche Kreditwirtschaft.
In Summe heißt das: Die neue Angriffsform stellt tatsächlich eine eher theoretische Möglichkeit dar - es sei denn, der Händler beziehungsweise Mitarbeiter würden aktiv bei der Tat mitwirken - mit vergleichsweise hohem Risiko, entdeckt zu werden. Der vom BKA so gerne apostrophierte "Igor Popow" in Russland kommt mit dieser Methode also nicht zum Zug. Nichtsdestotrotz hat Verifone angekündigt, schnellstmöglich ein Software-Update bereitzustellen, das es einem Angreifer selbst dann unmöglich machen wird, Karteninhabern eine PIN-Abfrage vorzutäuschen, wenn er die vollständige Kontrolle über den Applikationsprozessor hätte. Ein weiteres Software-Update behob ganz schnell die Verwundbarkeit der LAN-Schnittstelle.
Der Imageschaden ist gleichwohl wieder einmal angerichtet. Natürlich hatten Kreditwirtschaft und Terminalhersteller vorab die Möglichkeit, zu dem Beitrag Stellung zu nehmen und entsprechende Gegendarstellungen zu verbreiten. Ob der Kateninhaber dem aber glauben wird (sofern er überhaupt davon erfährt), darf aber bezweifelt werden. Vermutlich würde man sowohl der Bankenseite als auch dem Terminalhersteller unterstellen, die Gefahr kleinreden zu wollen, um die Nutzung des eigenen Systems nicht zu gefährden.
Erklären kann man der breiten Masse die Details, warum ein Angriff auf diese Art höchst unwahrscheinlich ist, sicher nicht. Und so bleibt das altbekannte Kommunikationsproblem der Branche zum Thema Kartensicherheit weiter bestehen. Letztlich bleibt nur, dem Kunden immer wieder zu versichern, dass er im Fall des Falles nicht auf dem Schaden wird sitzen bleiben. Weil aber auch diejenigen Fälle, in denen ein fahrlässiger Karteninhaber seinen Schaden nicht ersetzt bekommt, in den Medien genüsslich breitgetreten wer den, ist auch der Glaube an dieses Sicherheitsnetz begrenzt. sb