Malware auf den Filialservern schickte die Kreditkartendaten auch nach Übersee
Hannaford-Datendiebe waren vermutlich Mitarbeiter
So langsam kommt Licht in den Diebstahl von 4,2 Millionen Kredit- und Bankkarten bei den US-Handelsketten Hannaford und Sweetbay. Nach den gegenwärtigen Erkenntnissen ist in diesem Fall die Schwachstelle intern zu suchen und nicht extern wie im Fall TJX, wo Hacker sich über ein geknacktes WLAN-Protokoll den Zugang verschafft haben.
Dass WLAN-Verbindungen eine gefährlich Schwachstelle im Einzelhandel sind, ist spätestens seit
dem
Millionendatendiebstahl bei TJX bekannt. Doch die Supermärkte von Hannaford und
Sweetbay setzen für ihre Verbindungen Glasfaserkabel ein, die nicht einmal eine magnetische
Strahlung abgeben. Trotzdem wurden die darüber laufenden Kreditkarten-Autorisierungen von
http://llschnuerer.cmpdm.de//sites/cz/article.html?thes=&art=/articles/2008013/31455983_ha_CZ.html">Datendieben
abgefangen.
Dieses war möglich, weil in den 300 Filialen der beiden Ketten Malware auf den Filialservern
installiert war, die alle Kartendaten beim Weiterleiten an das Autorisierungssystem in Denver auch
an einen ausländischen Server verschickt hat. "Rund 30 Forensik- und Netzwerkexperten haben zehn
Tage lang rund um die Uhr nach der Ursache für die Datenspionage gesucht", sagt
Hannaford-Sprecherin Carol Eleazer.
–
http://llschnuerer.cmpdm.de//sites/microsites/awareness-ll/index.html" target="true">LANline Zone
Security Awareness
–
http://llschnuerer.cmpdm.de//sites/microsites/awarness-cz/index.html" target="true">CZ Zone Security
Awareness
–
PCI-Compliance: Händler verbessern den Schutz für Kreditkartendaten
Diese Ursachenforschung erwies sich deshalb als so schwierig, da im Gegensatz zum Fall TJX die
Diebe bei Hannaford die Daten nicht lokal gespeichert haben, sondern diese direkt bei der
Transaktion nach außen weiter geleitet haben. Diese Datenübertragung erfolgt derzeit bei fast allen
Einzelhändler unverschlüsselt, und auch die Visa-Richtlinien für die Behandlung von
Kreditkartendaten schreibt keine Verschlüsselung vor. "Eine solche Richtlinie würde viele kleine
Händler hoffnungslos überfordern, da ihre System einer solchen Rechenbelastung bei weitem nicht
gewachsen sind", meint Gartner-Analystin Avivah Litan.
Die bei Hannaford entdeckte Malware wurde nach einem Reverse-Engineering eingehend analysiert. "
Das war eine verdammt professionelle Arbeit", sagt Andrew Storms, Direktor bei Ncircle Network
Security, das an der Ursachenforschung mit beteiligt ist. "Nach allem, was wir bislang wissen,
gehen wir davon aus, dass es Insider waren, die die Malware auf die Filialrechner eingeschleust
haben", lautet seine Einschätzung über den infrage kommenden Täterkreis.
Dafür spricht auch, dass die Malware ausschließlich nur auf den Filialsystemen anzutreffen war. "
Bei einem Angriff von außen hätte es einen Rundumschlag gegeben, bei dem der Code auch auf anderen
Systemen gelandet wäre", erläutert er weiter. Außerdem meint er, dass der oder die Täter das System
zunächst testen mussten, bevor sie es überall installieren konnten. Hierzu aber müssten sie
mindestens eines der installierten Kassenterminals zeitlich begrenzt im exklusiven Zugriff gehabt
haben. Für Storms ist dieser Fall eine erneute dringende Mahnung an die CIOs, dass die
gefährlichsten Angriffe von innen, und nicht von außen kommen.
Harald Weiss/pk/dp
Lesen Sie mehr zum Thema
