Es ist eine willkürliche Zahlenfolge, für den Laien nicht als Risiko zu erkennen. Aber für die IT-Sicherheitsforscher des SR Labs aus Berlin sind die Zahlen ein Weg, um das Bezahlsystem mit EC-Karten auszutricksen. Die Forscher um Karsten Nohl haben einem Team aus NDR, WDR und Süddeutscher Zeitung demonstriert, wie Kriminelle Geld im großen Stil abschöpfen könnten, indem sie sich selbst Gutschriften ausstellen.
"Die Schwachstellen betreffen fast alle Bezahlterminals in Deutschland und somit Einzelhändler, Hotelbetreiber und Tankstellen", sagt Nohl.
Die Mitarbeiter von SR Labs werden den Angriff während des Hacker-Kongresses 32C3 auf der Bühne präsentieren, der Ende des Monats in Hamburg stattfindet. Alles, was die Kriminellen ihnen zufolge brauchen, ist ein sogenanntes POS-Terminal. Das sind jene Geräte an Supermarkt-Kassen, an denen Kunden mit ihrer EC-Karte bezahlen. Für wenige Euro im Monat lassen sich solche Geräte mieten. Der Händler, dessen Terminal gehackt wird, ist der Geschädigte.
Angriff in drei Stufen
Der Angriff läuft in drei Stufen ab, die Eingabe der Zahlenfolge ist das Finale. Zuerst müssen die Hacker das Passwort herausfinden: "Das sollten eigentlich nur die Techniker haben", sagt Fabian Bräunlein, einer der IT-Sicherheitsforscher, "aber netterweise ist das auf allen Geräten eines Netzbetreibers gleich, die wir getestet haben. In unserem Fall stand es sogar im Internet." Ein Netzbetreiber ist in diesem Fall eine Art Mittelsmann zwischen Bank und Händler, über ihn werden die Zahlungen abgewickelt.
Doch auch für den Fall, dass das Passwort nicht so leicht zu finden ist, ist es leicht zu knacken: Es besteht aus sechs Ziffern, und das System hat keine Blockier-Funktion bei Fehlversuchen, wie sie zum Beispiel iPhones haben. Wenn sich deren Nutzer fünfmal vertippt, muss er warten, und mit jedem weiterem Fehlversuch steigt die Wartezeit. Schnell sind es Stunden, das schreckt Angreifer ab. An einem POS-Terminal passiert das nicht. Es gibt fertige Computerprogramme, die automatisiert alle möglichen Kombinationen durchprobieren. Noch bevor ein Mensch "Passwort" sagen kann, ist es geknackt.
Detaillierte Informationen behalten die Forscher für sich
Die Hacker müssen anschließend herausfinden, welche Identifikationsnummer das jeweilige Terminal besitzt. Sie steht auf jedem Kundenbeleg. Wer also einmal regulär einkaufen geht, kennt die Nummer. In der Demonstration wurde den Hackern der Beleg eines Terminals gezeigt, der im Maus-Shop des WDR in Köln steht.
In einem letzten Schritt müssen die Angreifer herausfinden, wie das Terminal seine Verbindung aufbaut. "Jeder Netzbetreiber hat eine IP-Adresse, mit der die Terminals kommunizieren", sagt Philipp Maier. Eine Zahlenfolge verrät das Gerät. Maier geht noch ein wenig ins Detail, wirklich tiefgehende Informationen wollen die Forscher aber nicht veröffentlichen. Sonst stünden die Türen sofort offen. Der Angriff soll nicht problemlos nachzuahmen sein.
Die Forscher des SR Labs nennen ihren Angriff "Shopshifting". Ein Begriff, der eigentlich aus der digitalen Umwälzung des Einzelhandels stammt: Wer in einen Laden geht, sich beim Buchkauf beraten lässt, das Buch anschließend aber über Amazon bestellt, betreibt Shopshifting. Ähnlich funktioniert die Attacke auf die EC-Karten: Nur dass die Angreifer nicht den Laden wechseln, sondern das POS-Terminal. Die Gutschrift landet auf dem Konto der Angreifer, wird aber dem Händler in Rechnung gestellt.
Keine Limits
"Wir sind bisher an keine Limits gestoßen", sagt Bräunlein. Die Angreifer hätten sich Gutschriften von bis zu 100 Euro ausgestellt. "Wir haben uns viele, viele Prepaid-Guthaben ausgedruckt", sagt er. Grundsätzlich sei es denkbar, sich mit dieser Masche von Terminal zu Terminal zu arbeiten - idealerweise automatisiert. Das würde den Schaden in die Höhe treiben. Unklar ist, ob die Angreifer wissen müssen, welches Terminal-Modell ein Händler benutzt. Der Maus-Shop des WDR hat die Gutschriften-Funktion deaktiviert, für viele Händler besteht diese Option aber nicht.
Mit den Recherchen der Forscher konfrontiert, wiegelt die Deutsche Kreditwirtschaft (DK) ab. In einem Statement der Dachorganisation der Bankenverbände heißt es, dass man die Ergebnisse geprüft und festgestellt habe, dass das "Girocard-System" sicher sei: Die Angriffe seien nur "unter Laborbedingungen, d. h. theoretisch, möglich". Konkreter geht die Deutsche Kreditwirtschaft nicht auf den Angriff ein, den die Hacker gezeigt haben.
Es sei grundsätzlich möglich, sich gegen die Angriffe zu wehren, sagen die Berliner Sicherheitsforscher. Ein Weg könnte sein, die IP-Adresse zu prüfen. Wenn sie den ganzen Tag über gleich bleibe, sich dann aber plötzlich ändere, könne man diesen Zugriff blockieren. Angreifer würden erkannt und verbannt.
Auch per Mail bestens informiert: Diese und weitere relevante Nachrichten finden Sie - von SZ-Autoren kompakt zusammengefasst - morgens und abends im SZ Espresso-Newsletter. Hier bestellen.