IT-Experten warnen vor Sicherheitslücke bei der EC-Karte

Berlin (dpa) - Beim Bezahlen mit EC-Karten im Handel ist eine Sicherheitslücke aufgetaucht. Es sei in einem Test gelungen, EC-Kartendaten samt Geheimnummern an den Kassen-Terminals eines Anbieters auszulesen, erklärten IT-Experten, die im Auftrag des ARD-Magazins „Monitor“ vorgingen.

Die deutsche Kreditwirtschaft sprach am Donnerstag dagegen von einer nur theoretischen Möglichkeit der Manipulation. Die Kartenterminals im Handel seien sicher. Mit den gehackten Kartendaten und Geheimnummern könnten Kriminelle neue EC-Karten herstellen, um dann im Ausland Geld abzuheben, warnten die IT-Experten.

Die Betrüger könnten aus der Ferne einen Virus auf dem Gerät installieren und so die Nummern mitlesen oder Transaktionen verfolgen, erklärte Karsten Nohl von der Berliner Firma Security Research Labs der Nachrichtenagentur dpa das Prinzip. Der Test war für das Fernsehmagazin an Originalgeräten unter Aufsicht von Gutachtern versuchsweise durchgeführt worden.

Die deutschen Verbraucher haben laut dem Handelsforschungsinstitut EHI im vergangenen Jahr Einkäufe im Wert von 128 Milliarden Euro per EC-Karte bezahlt. Seit Jahresbeginn werden die EC-Karten flächendeckend über einen eingebauten Chip geprüft. Da dies auch im europäischen Ausland so ist, müssten Kriminelle nach Russland oder Übersee ausweichen, um Kartendubletten einzusetzen.

Der Betrüger müsste die Terminals zudem im Detail sehr gut verstehen, um sie zu manipulieren, meinte Nohl. Das setze eine Erforschung von mehreren Monaten voraus. Der IT-Experte warnte deshalb trotz der entdeckten Sicherheitslücke vor Panikmache der Verbraucher. Der Hersteller müsse aber die Softwarelücke schnellstmöglich schließen.

Im Namen der deutschen Kreditwirtschaft erklärte der Bundesverband der Deutschen Volksbanken und Raiffeisenbanken, die neue Angriffsform werde ernst genommen. Der Versuch sei aber unter Laborbedingungen entstanden. Es gebe keinen Beweis, dass dieses Vorgehen auch unter realen Bedingungen funktioniere, betonte ein Sprecher. Der Verband spricht für die gesamte Branche, also auch für Sparkassen und Privatbanken.

Selbst wenn es Betrügern tatsächlich gelingen sollte, Kartendaten auszuspähen, verhindere im Girocard-System die chipbasierte Abwicklung den Einsatz einer nachgemachten Karte, erklärte der Bundesverband in Berlin. Denn neben der PIN sei immer die Originalkarte notwendig, um eine erfolgreiche Transaktion durchzuführen.

Der verantwortliche Terminalhersteller VeriFone aus Bad Hersfeld sagte am Donnerstag zu, sämtliche betroffenen Terminals schnellstmöglich mit einem Software-Update auszustatten. Das Unternehmen habe sofort nach den Meldungen über Sicherheitslücken damit begonnen, eigene Tests durchzuführen und verschiedene Sicherheitslabore damit beauftragt, es dabei zu unterstützen.

Rund 300 000 der Geräte stehen in deutschen Geschäften für den bargeldlosen Zahlungsverkehr mit der EC-Karte bereit, bestätigte der Terminalhersteller. VeriFone ist nach eigenen Angaben Weltmarktführer im Bereich elektronischer Zahlungssysteme.