Retail-Systeme verraten Kreditkarteninformationen

Martin Schindler,

Obwohl in modernen Kassensystemen vertrauliche Kundendaten gespeichert werden, reichen die Sicherheitsvorkehrungen offenbar nicht aus.

Zu diesem Schluss kommt der Computerexperte Neal Krawetz von Hacker Factor in einer Untersuchung. Krawetz hat versucht, die Ursache von großen Datenverlusten bei Einzelhändlern zu ermitteln. Zwar kann er in den gängigen POS-Systemen (Point of Sales) keine neuen Lecks ausmachen, doch scheinbar liegen die Fehler in der gängigen Praxis der Einzelhändler und verschiedenen Herstellern.

“Ich glaube, dass die Lecks, die den Einbruch vom Januar 2006 in einen nationalen Filialserver des Fujitsu Transaction Solution ermöglichten, nicht auf OfficMax beschränkt waren”, so Krawetz in einer E-Mail. Diese Einbrüche hätten auch auf Systemen jedes anderen Herstellers wie IBM, NCR oder Wincor Nixdorf sowie jedes anderen Einzelhändlers passieren können, kritisiert Krawetz.

POS-Syteme bestehen in der Regel aus einem Kartenleser, einem Modul, das für die Übermittlung der Daten verantwortlich ist, sowie einem Filialserver. Die Übermittlung zwischen Einzelhändler und der Kreditanstalt sei sicher und werde meist im Beisein des Kunden durchgeführt, schließt Krawetz.

Lecks existieren jedoch offenbar im Passwort-System der einzelnen Transaktionsmodule. Diese Lecks seien aber bereits seit 1992 bekannt. Um das Leck jedoch ausnutzen zu können, ist physischer Zugriff auf das System Voraussetzung.

Nun rücken aber die Fililalserver bei den Einzelhändlern ins Visier der Hacker. Hier spähen die Kriminellen den Datenverkehr zwischen Kasse und lokalem Server aus, wo regionale oder auch nationale Daten gesammelt und gespeichert werden. In Einzelfällen werden diese Daten auch unverschlüsselt, kabellos oder über ungesicherte Netze übertragen.

Da die meisten Händler 90 Tage Rückgaberecht gewähren, müssen Kunden- und somit Kreditkarteninformationen auf einer großen nationalen Datenbank gespeichert werden, folgert Krawetz. Und auch in dieser Datenbank seien die Daten offenbar nicht sicher, wie die Zahl der von TJX gestohlenen 45 Millionen Kartendaten belegen.

Krawetz kritisiert nun, dass die POS-Systeme nicht mit der technischen Entwicklung Schritt halten konnten und in diesem Bereich noch auf dem Stand des vergangenen Jahrzehnts liegen. So sei etwa die Regelung, keine Voreingestellten Passwörter verwenden zu dürfen, bei POS-Systemen erst seit 2004 Standard. Bei der Systemadministration werde das schon seit 1994 praktiziert.