Manipulierte oder Zweit-Lesegeräte erlauben das Ausspionieren von Kartendaten
Datendiebe bevorzugen die Scheckkarte
Nach der jüngsten Diskussion um das einfache Klonen von RFID-Zugangskarten melden sich jetzt auch immer mehr Sicherheitsexperten zu Wort, um auf eine wesentlich gefährlichere Sicherheitslücke hinzuweisen: "Das Klonen von Scheck- und Kreditkarten steigt derzeit rasant an und hat bereits unvorstellbare Ausmaße angenommen", sagt Margot Mohsberg, Sprecherin der American Bankers Association (ABA).
Besonders beliebt sind dabei Barabhebungen am Geldautomaten mit geklonten Scheckkarten. So betrug nach Angaben der ABA der Schaden mit solchen Karten in den USA im Jahr 2004 fast 600 Millionen Dollar. Doch diese Werte seien inzwischen weit überholt. "Allen von 2005 auf 2006 gab es mindestens eine Verdoppelung", glaubt Robert McCullen, Chef von Ambiron Trust Wave, einer auf die Sicherheit im Einzelhandel spezialisierten Agentur.
Nach Meinung der ABA lassen sich gegenwärtig alle weltweiten Kartenfälschungen auf zwei Prinzipien zurück führen. Im einen Fall hat ein betrügerischer Mitarbeiter ein zweites Lesegerät, durch das er die Karte vom Inhaber unbemerkt durchzieht und dann später mit den gespeicherten Daten eine geklonte Karte herstellt. Dieses Verfahren gebe es schon seit geraumer Zeit und sei vor allem in Restaurants häufig anzutreffen, wo der Gast die Karte für eine längere Zeit unbeaufsichtigt aus der Hand gibt.
Damit der Kunde seine Karte nicht mehr aus der Hand geben muss, hat der Einzelhandel vor einiger Zeit damit begonnen, kleine Kartenleser an der Kasse zu installieren, bei denen der Kunde die Karte selbst durchzieht. Doch nach Ansicht der ABA sei hier die zweite Art des Kartendatendiebstahls anzutreffen: "Diese neuen POS-Geräte (Point of Sale) lassen sich in den betriebsschwachen Zeiten von einer geübten Personen in nur wenigen Sekunden austauschen", so Margot Mohsberg. Der ausgetauschte Leser speichert dann bei jeder Transaktion die Kartendaten in einen Chip und nach einer gewissen Zeit kommen die Betrüger zurück, um die Geräte zurückzutauschen. Aus dem Chip lesen sie die Kartendaten aus und erstellen damit geklonte Karten. Laut Gartner sind bereits 80 Prozent von Kredit- und Scheckkartendiebstahl auf solche POS-Systeme zurückzuführen.
Dass hierbei die Scheckkarten so beliebt sind, hat einen ganz einfachen Grund: "Schon seit Jahren haben die Kreditkartengesellschaften viele Schwellen eingebaut, um vor allem den Bargeldbetrug auszuschalten, doch bei den Scheckkarten gibt es praktisch nur die PIN – und die wird von den gefälschen Lesegeräten frei Haus mitgeliefert", so Mohsberg.
Während es sich bei den Datendieben meistens um jugendliche Hackertypen handelt, sind diejenigen, die dann die Konten abräumen, häufig Angehörige einer großen kriminellen Vereinigung. "In der Regel sind die Datendiebe nicht dieselben Personen, die auch das Bargeld abheben, sondern sie verkaufen die gestohlenen Daten sehr weit weg", sagt Bob Bucceri, Sprecher der amerikanischen Electronic Funds Transfer Association (EFTA).
So nahmen Spezialermittler jetzt in Massachusetts eine vierköpfige Bande fest, die sich darauf spezialisiert hatte, in kleinen Geschäften ihre Leser zu installieren. Die Daten verkauften sie dann nach Kalifornien und Mexiko, wo die Abhebungen erfolgten. Auch die Konten der Autofahrer, die an einer bestimmten Tankstelle im kalifornischen Costa Mesa getankt hatten, wurden jüngst abgeräumt. Die Tankstelle war mit Zapfsäulen ausgestattet, die einen direkten Kartenleser aufweisen. Während der Betriebspause in den späten Nachtstunden hatten die Betrüger die Lesegeräte ausgetauscht und die Daten später verkauft.
Einer der Gründe, warum das Sicherheitsloch mit diesen Karten so groß ist, ist die veraltete Magnetkartentechnik. Auf diesem Streifen lassen sich nur wenige Daten einspeichern, und die zugehörigen Lesegeräte sind billig und überall zu haben. IBM hat diese Technik schon vor über 40 Jahren als Zugangsregelung für den CIA entwickelt. In den 70er-Jahren übernahmen die Banken diese Technik für die Kredit- und Scheckkarten, und seitdem hat sich an diesem Verfahren kaum etwas geändert. "Es würde mich nicht wundern, wenn die alten CIA-Zugangskarten noch heute problemlos von jedem Leser ausgelesen werden können", sagt Gartner-Analyst Avivah Litan.
Harald Weiss/wg
Lesen Sie mehr zum Thema
