DAS ENTSCHEIDENDE DETAIL
: Keine Nummer sicher

SCHUTZ Jeder zahlt im Geschäft mit EC-Karte. Sicher ist das nicht: Ein Hacker manipulierte Kartenleser so, dass sie die PIN preisgaben

Thomas Roth hat das Gerät unter seine Kontrolle gebracht. Es gehackt. So gründlich, dass er den Computerspielklassiker „Pong“ darauf installieren konnte. Klingt wie eine kleine Hacker-Spielerei. Fast lustig. Wenn das Gerät nicht ein EC-Bezahlterminal wäre – eines dieser kleinen Kästchen für die bargeldlose Bezahlung, wie man sie aus jedem Supermarkt kennt, und zwar ein weit verbreitetes Modell namens Hypercom Artema Hybrid.

Roth schaffte es, über die Netzwerkschnittstelle des Geräts den Steuerungscode seines Chips zu manipulieren. Zum Beispiel so, dass das Gerät meldet, er habe ein Produkt regulär bezahlt – obwohl er nur die Hälfte des Preises von der EC-Karte abbuchen ließ. Vor allem aber demonstrierte Roth mehreren Medien, wie er sich mithilfe des manipulierten Geräts die PIN abgreifen konnte. Also die Geheimzahl, die besonders gut geschützt ist und aus Sicherheitsgründen absichtlich nicht auf Zahlungsgeräten gespeichert wird.

Schon im März wollen Roth und seine Kollegen von der Berliner Sicherheitstechnikfirma SRLabs den Gerätehersteller Verifone über das Problem informiert haben. Behoben wurde es nicht. Man könne keine Lücken feststellen, sagte Verifone dem Internet-Fachdienst heise.de. MLA