Froschs Blog

Computer und was das Leben sonst noch so zu bieten hat

Zur Website | Impressum

Unsichere EC-Karten-Terminals bei Rewe? (2)

17. Juli 2012 um 17:35 Uhr von Atari-Frosch

Mit der Antwort von Rewe zu den Kartenterminals war ich ja nicht so richtig zufrieden gewesen. Daher hatte ich nochmal nachgehakt:

Sehr geehrte Frau [...],

On 16.07.2012 10:40, [...] wrote:

>> die Kassensysteme der REWE Märkte sind sicher und von dem Hackerangriff
>> nicht betroffen.

Das ist schön. Es wäre noch schöner gewesen, wenn die Kunden zeitnah darüber informiert worden wären. 🙂

>> die Kassensysteme sicher sind. Dies hat der Dienstleister Verifone
>> schriftlich versichert und plausibel begründet.

Diese Begründung würde mich dann doch mal brennend interessieren. Ihre Behauptung, dem sei so, genügt mir nicht. Denn Verifone hat sich gegenüber Heise dahingehend auf die Behauptung zurückgezogen, „dass man keine Lücke nachvollziehen könne, bei der 'im Rahmen eines Bezahlvorgangs' die PIN ausspioniert wird.“ – http://www.heise.de/newsticker/meldung/EC-Karten-PIN-Klau-am-Kartenterminal-moeglich-1636550.html

Der Heise-Autor führt aus: „Das ist zwar korrekt, weil die über das HSM ablaufenden Transaktionen nicht attackiert werden. Es ignoriert aber die Tatsache, dass der Kunde den vorgespielten Bezahlvorgang nicht von einem echten unterscheiden kann.“

Außerdem gibt es eine zweite Sicherheitslücke, wie Heise berichtet: „Die Debug-Schnittstelle des Prozessors, das JTAG-Interface ist so ungünstig platziert, dass ein Angreifer sie von außen kontaktieren könnte, ohne das Gehäuse zu zerstören oder Siegel zu brechen. Auch dieses JTAG-Problem ist dem Hersteller bekannt; die versprochenen Antworten auf diesbezügliche Fragen stehen jedoch seit nunmehr fast einer Woche immer noch aus.“

Ich muß aufgrund des Zeitpunktes, zu dem sich Verifone Ihnen gegenüber geäußert hat, davon ausgehen, daß Sie mit den gleichen unzureichenden Informationen versorgt wurden.

>> sämtlicher Kundendaten. Aus diesem Grund ist unser Unternehmen nur Kunde
>> renommierter Dienstleister. In diesem Fall dem Weltmarktführer, dessen

Hm, ja ... so wie bis etwa 2010 bei den Kassenbons, wenn man mit Karte und Pin bezahlt hat?
http://blog.atari-frosch.de/2009/04/04/rewe-hat-ein-datenleck/

Oder so wie bei Easycash, die auch für Rewe arbeiten?
http://www.heise.de/newsticker/meldung/Datenschuetzer-verhaengt-Bussgeld-gegen-Easycash-1341408.html

Oder meinen Sie die die Zusammenarbeit mit Payback, die bereits im Jahr 2000 den Big-Brother-Award bekommen haben?
http://www.bigbrotherawards.de/2000/.com

Sorry, das konnte ich mir nun doch nicht verkneifen …

>> Dienstleiter hat uns die Sicherheit seiner Systemlösungen umfassend
>> belegt und garantiert. So erfüllt die uns als Kunden vom Dienstleister

Im Hinblick auf die von Heise zusammengetragenen Sicherheitslücken glaube ich kaum, daß Verifone die Sicherheit garantieren kann. Und hinterher, wenn Daten an einer Stelle auftauchen, wo sie nichts zu suchen haben, will es dann wieder keiner gewesen sein.

Mit freundlichen Grüßen

Heute kam die Antwort:

Sehr geehrte Frau Becker,

wir haben großes Verständnis für Ihre Sorgen und die damit einhergehenden Rückfragen. Wir können Sie aber insoweit beruhigen, dass etwaige Schäden, die bei Skimming-Angriffen auf POS-Terminals entstehen, ausnahmslos von der deutschen Kreditwirtschaft zügig und reibungslos erstattet werden. Zuständig für die Erstattung der durch Skimming entstandenen Schäden ist grundsätzlich die kartenausgebende Bank oder Sparkasse - und nicht der Händler. Weitere Informationen finden Sie unter www.kartensicherheit.de sowie unter www.die-deutsche-kreditwirtschaft.de beziehungsweise dem angehängten Dokument.

Mit freundlichen Grüßen

(Hervorhebung im Original)

Das ist jetzt nicht wahr, oder?

In anderen Worten: Es ist uns eigentlich scheißegal, ob die Dinger jetzt sicher sind oder nicht, denn wenn was passiert, springt dann schon die Kreditwirtschaft ein. Klar, und das geht dann völlig ohne Bürokratie, Ärger, Rückbuchungen regulärer Zahlungsverpflichtungen, Streß mit der Bank usw. ab. Ganz bestimmt. Glaub ich sofort.

Nicht.

Und weil das alles eigentlich völlig egal ist, müssen wir unsere Kunden und das Personal in den Filialen auch nicht informieren. Die könnten ja Panik kriegen und dann massenweise die Terminals nicht mehr verwenden.

Beinahe hätte ich übersehen, daß die Mail ja noch weitergeht. Und damit meine ich nicht das PDF im Anhang, sondern da war noch der Weiterleitungstext von der ersten zur zweiten Mitarbeiterin in der Rewe-Zentrale. Der wurde bei der Antwort nämlich versehentlich mitgeschickt:

folgender Vorgang ist bei uns eingegangen, bitte klären und Rückmeldung an den Kunden.

Ich werde der Kundin keine antwort mehr geben.

Da hat wohl jemand keine Lust auf die Kritik gehabt. Es wäre vermutlich zu viel Arbeit gewesen, den Sachverhalt mal wirklich zu überprüfen. Soviel dann zu dem Thema, Rewe sorge sich ja so um die Kundendaten.

Das PDF im Anhang enthält übrigens diese Pressemitteilung, in der es unter anderem heißt:

Selbst wenn es Betrügern tatsächlich gelingen sollte, Karten-Daten auszuspähen, verhindert im girocard-System jedoch die chipbasierte Abwicklung den Einsatz einer nachgemachten Karte. Denn neben der PIN ist immer die Originalkarte notwendig, um eine erfolgreiche Transaktion durchzuführen.

Heise hatte bereits darauf aufmerksam gemacht, daß die kopierten Karten dann eben im Ausland benutzt werden, um Konten abzuräumen. Aber das muß bei Rewe offenbar auch niemanden interessieren.

Es heißt zwar in derselben Pressemitteilung:

Grundsätzlich haften Kunden nicht für Schäden aus einem Angriff, bei dem ihre Kartendaten ausgespäht und diese außerhalb des girocard-Systems auf Magnetstreifenbasis (beispielsweise im außereuropäischen Ausland) missbräuchlich verwendet wurden. Die Deutsche Kreditwirtschaft hat zudem Vorkehrungen getroffen, um Angriffe auf Terminals frühzeitig zu erkennen und nachzuvollziehen. Die betroffenen Karten werden so schnell identifiziert und die weitere Nutzung von Dubletten sofort verhindert.

Das entspricht im Prinzip der sorglosen Aussage der zweiten Rewe-Mitarbeiterin, es sei ja nicht so schlimm, wenn was wegkommt. Daraus schließe ich ebenfalls: Es ist gilt als nicht so schlimm, wenn die Terminals undicht sind. Statt die Ursache zu beseitigen, räumen wir dann hinterher die Schäden weg. Wenn sie es denn tun und sich nicht erstmal gegen den Kunden stellen, um die Zahlungen zu vermeiden.

Ich kann also nur dringend dazu raten, die EC-Karten-Terminals bei Rewe (dazu gehört auch Penny, Pro, MiniMal) nicht mehr zu benutzen, bis Hypercom bzw. Verifone das Problem wirklich behoben haben und das auch von externen wie SRLabs nachgeprüft wurde. Ich werde den Streß mit gestohlenen Daten und gestohlenem Geld jedenfalls nicht riskieren.

Daß ich das jetzt speziell zu Rewe schreibe, heißt übrigens nicht, daß die Kartenterminals in anderen Supermärkten, in Tankstellen etc. sicherer sind. Der Rewe war nur grade vor meiner Haustüre. Ich kann ja in den nächsten Tagen mal noch ganz unverbindlich bei Netto nachgucken, was die für Terminals haben, und dann dort ggf. auch mal nachfragen. (Ihr dürft aber auch ;-))

[Update 2012-07-20 21:20] Beim Rewe am Fürstenplatz hängt immer noch kein Hinweis zu den Terminals. Das Kassenpersonal ist immer noch völlig unwissend. Fazit: Rewe ist der Kunden-Datenschutz einfach mal scheißegal. [/Update]

3 Kommentare zu “Unsichere EC-Karten-Terminals bei Rewe? (2)”

  1. Fozzie quakte:

    Ein psychisch gesunder Mensch würde sich nicht mit solchem Unsinn aufhalten, sondern das ignorieren. Denn die geringe Wahrscheinlichkeit Opfer solcher Möglichkeiten zu werden wiegt nicht den Stress auf den die Beschäftigung mit dem Thema mit sich bringt. Bei dir ist das anders denn Du bist ziemlich paranoid.


  2. Tobias quakte:

    Hallo,
    ein sehr schöner Artikel. Als Nachtrag / Zusatinformation kann ich noch folgende zwei Links empfehlen, auf denen ausführlich über EC-Karten Sicherheit aufgeklärt wird:

    http://www.schnatterente.net/technik/ec-karten-bequem-unsicher-zahlen
    http://www.schnatterente.net/technik/zahlen-mit-ec-karte-manipulierte-kartenterminals

    Beste Grüße
    Tobi


  3. Markus Kohler quakte:

    Über die Sicherheit an POS Terminals wird oft diskutiert und manchmal bin ich selber ein wenig unsicher, was ich davon halten soll. Ich für meinen TEil bezahle noch weiterhin mit der Karte, denn ich habe ungern sehr viel Bargeld bei mir.

    Anmerkung Frosch: Genau, und deshalb willst Du auch auf eine Seite verlinken, die für genau solche Dinge wirbt. Hier ist keine Werbeplattform, nächstes Mal schicke ich eine Rechnung. URL entfernt.


Kommentieren

Bitte beachte die Kommentarregeln!

XHTML: Du kannst diese Tags verwenden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>