Berlin (dpa) - Die Terminals, die in Geschäften für Kartenzahlungen eingesetzt werden, können laut Berliner IT-Experten mit etwas technischem Sachverstand kopiert und dann zum Plündern von Händler-Konten verwendet werden.
Auf diese Weise könnten sich Kriminelle Geld über die Funktion zum Aufladen von Telefon-SIM-Karten sowie als vermeintliche Rückzahlung bei Retouren holen, erklärte die IT-Sicherheitsfirma SRLabs am Dienstag. Die Vereinigung Deutsche Kreditwirtschaft bezeichnete den von SRLabs durchgeführten Angriff auf das Girocard-Bezahlsystem als "nicht realistisch".
Bei den von SRLabs beschriebenen Szenarien wären die Händler betroffen, aber nicht die Karten-Inhaber. Die Forscher prangern an, dass die Kommunikation zwischen Kassengerät, Karten-Terminal und Zahlungsabwickler an mehreren Stellen unzureichend geschützt sei.
Unter anderem würden in den Systemen identische Passwörter verwendet werden. Deswegen könne man ein Terminal für Kartenzahlungen klonen. Dafür braucht man ein ähnliches Terminal, das zum Beispiel im Internet gekauft werden kann. Dort könne mit etwas Fachwissen die ID eines bei einem Händler aktiven Terminals eingespeist werden. Diese ID steht auf jedem Kassenbon. Mit einem solchen geklonten Terminal bekomme man Zugang zum Konto des Händlers bei einem Zahlungsabwickler und könne auf dessen Geld zugreifen, erklärte SRLabs.
Ausführliche Details will SRLabs am 27. Dezember beim Kongress des Chaos Computer Clubs (CCC) in Hamburg vorstellen. Die Deutsche Kreditwirtschaft nahm am Dienstag nicht zu den technischen Einzelheiten des von SRLabs beschriebenen Angriffsszenarios Stellung.
Die Forscher stellten ihre Erkenntnisse vorab dem Rechercheverbund von "Süddeutscher Zeitung", WDR und NDR sowie "Zeit online" und der US-Website "Motherboard" vor.