Ulrich Holzapfel von der Deutschen Zentralregulierungsbank (DZB) hat eine Information für den Einzelhandel über die Gefahren bei bargeldlosen Zahlungsverfahren veröffentlicht. Die DZB übernimmt die Zentralregulierung für BICO-Mitglieder, seine Ausführungen sind aber für den Handel generell interessant. Wir geben sie nachstehend im Wortlaut wieder.
Girocards, Kreditkarten und nun auch die POS Terminals. Sind wir vor zunehmenden Manipulationsversuchen nicht mehr sicher? Können „die Systeme“ überhaupt noch als sicher eingestuft werden? Was tun bei zunehmendem Betrug und Kundenreklamationen zur Kartensicherheit in ihrem Unternehmen?
Am 05.06.2012 lief die Meldung „Sicherheitslücke bei Kreditkarten entdeckt“ über den Ticker.(*) Dann berichtete die ARD in „Report München“ über die Betrugsmasche bei den neuen und angeblich sicheren Kreditkartenzahlungen per Funktechnologie. Was war passiert? Ganz einfach: In einem Versuchsaufbau und dem späteren Life Test mit Konsumenten waren die Tester in der Lage, Kreditkartendaten (Kartennummer & Verfallsdatum) per Funk auszulesen. Ob das Auslesen von Kartendaten auch im „wahren Leben“ so einfach sein wird, ist allerdings fraglich. Immerhin liegt der maximale Funkbereich der neuen Kreditkarten im Bereich von nur 4 bis 5 Zentimetern. Ein unberechtigter Dritter benötigt zum Auslesen ein Lesegerät/Smartphone (welches mit einer entsprechenden Betrugssoftware bestückt sein muss) und dieses Lesegerät muss dann mehrere Sekunden im obigen Abstand an die auszulesende Kreditkarte gehalten werden.
Hintergrund: Die Kreditkarten der Kreditkartenunternehmen Mastercard und Visa werden künftig mit NFC Funkchips ausgestattet (NFC = Near Field Communication). Somit kann bei den beiden neuen Zahlverfahren “paywave“ und „paypass“ eine Kreditkartenzahlung – so die Werbung – im Vorbeigehen bezahlt werden. Ein lächelnder Kunde, ein lächelnder Kassierer und ein schneller Bezahlvorgang. Wunderbare neue Welt.
Was tun mit geklauten Kreditkartendaten?
Diese Frage darf gestellt werden. Das Auslesen per Funk brachte den Testern die Kreditkartennummer und das Verfallsdatum der Kreditkarte ein. Beim Betrug im Internet ist jedoch zusätzlich meist noch die Eingabe der sogenannten Prüfziffer erforderlich (bei risikovermeidenden Anbietern). Diese steht auf der Rückseite der Kreditkarte und konnte im Test nicht ausgelesen werden. Stationär setzt sich zusätzlich zunehmend die Kreditkartenzahlung mit Pin Eingabe durch.
Richtigerweise beziehen hier Mastercard und Visa auch klar Position und sagen: Wer nicht die neueste (sicherheitsrelevante) Technik einsetzt, darf sich im Missbrauchsfall auch nicht beschweren. Diese Aussage ist legitim. Heute würde auch niemand mehr die Automobilindustrie verklagen, weil sich ein Fahrer wegen Nichtanlegen des Anschnallgurtes schwer verletzt.
Sichere Zahlsysteme vs. Convenience
Mastercard und Visa beurteilen u.a. aufgrund obiger Argumentation die Funktechnologie als fortschrittlich, sicher und innovativ. Der Verbraucherschutz wittert einen neuen Skandal. Wie immer liegt die Wahrheit dazwischen.
Andere Betrugsfelder sind einfacher: Ergänzend zum Fall des Auslesens der Kreditkartendaten per Funk muss auch einmal auf diesen Punkt aufmerksam gemacht werden: Was glauben Sie, wie viele papierhafte Belege einfach weggeworfen werden? Auf diesen Belegen (und Monatsabrechnungen) finden sich alle notwendigen Informationen, um ebenfalls einen Betrug vornehmen zu können. Das Betrugsrisiko ist hier sicherlich deutlich höher – und der Betrug an sich einfacher!
Eine ähnliche Funktechnik wie bei Visa und Mastercard wird aktuell auch von Banken für die girocard (ehemals ec Karte) getestet. Diese Technik nennt sich „girogo“. Aktuell sind noch keine Manipulationsversuche bekannt. Das ist nicht verwunderlich, da mit girogo aktuell nur in der Pilotregion Großraum Hannover, Braunschweig und Wolfsburg gezahlt werden kann. Betrugsversuche mit der ec/girocard sind aber aus der Vergangenheit ausreichend bekannt (siehe DZB Cash Newsletter „Skimming und Phishing“).
Betrugsmasche Terminalmanipulation
Ebenfalls nicht ganz neu sind die physikalischen Betrugsversuche an POS Terminals. Auch hier haben wir bereits in der Vergangenheit darauf hingewiesen, dass bei Einbrüchen und dann, wenn das POS Terminal unbeobachtet war/ist, eine Prüfung des Terminals auf Beschädigungen, insbesondere Beschädigungen des durch den Terminalhersteller angebrachten Siegels, zwingend notwendig ist, um Manipulationen und Missbrauch zu vermeiden.
Neu ist seit dem 12.07.2012, dass das beliebteste POS Terminal in Deutschland, das Artema Hybrid, zusätzliche Sicherheitslücken aufweist. In einem Versuchsaufbau wurden ein Firmennetzwerk und dann auch das dort in Betrieb befindliche Terminal gehackt. Neben allen Zahldaten und Kartennummern, konnten auch die Pin Eingaben ausgelesen werden.
Somit waren die „Betrüger“ in der Lage, Doubletten von den eingesetzten girocards zu erstellen und Geldabhebungen vorzunehmen. Hinweis: In allen Fällen erfolgen die betrügerischen Abhebungen mit Pin immer aus dem Ausland, da an deutschen Geldausgabeautomaten bei jeder Abhebung eine Echtheitsprüfung der ec/girocard erfolgt. Diese Prüfroutine gibt es im Ausland meist nicht, weswegen betrügerische Abhebungen bspw. aus Spanien heraus erfolgen.
Tagespresse, Internet & TV Reportagen
Der Bericht des Magazins „Monitor“ (Donnerstag, 12.07.2012, 21:15 Uhr) auf ARD zeigte deutlich die neue Betrugsmasche und die Sicherheitslücke beim Terminal Artema Hybrid auf. Ja, Betrug und Manipulation sind möglich. Bei 300.000 Artema Hybrid Terminals alleine in Deutschland darf jedoch auch diese Manipulationsmöglichkeit handelsseitig relativiert werden: Sicherlich gibt es an anderen Stellen größere Missbrauchs- und Betrugsrisiken. Verharmlosung wäre jedoch ebenfalls unangebracht. Es muss schnell gehandelt werden und der Hersteller des Terminals – die Firma Verifone – arbeitet bereits mit Hochdruck an einer Lösung.
Zurück zum Bargeld?
Sicher nein. Dafür gibt es handfeste Gründe. Unabhängig von der Art und Weise der Manipulation mussten bisher weder der Handel noch der Karteninhaber haften. Die Ausfälle übernahmen bisher die betroffenen Banken. Natürlich ist es auch nur hier eine Frage der Zeit, wann sich dies ebenfalls ändert.
Einen enormen Vorteil hat in diesem Zusammenhang die DZB Zahlungsgarantie. Skimming und das Auslesen von Kartendaten mit der dazugehörigen Pin machen eben nur da Sinn, wo überwiegend mit Pin gezahlt wird. Im System „DZB Zahlungsgarantie“ kann fast vollständig auf die Pin-Eingabe verzichtet werden, denn hier zahlt der Großteil der Kunden mit Unterschrift. Somit ist bei den mit der DZB Zahlungsgarantie abgewickelten Zahlvorgängen die oben beschriebene Manipulation schlichtweg nutzlos.
Betrugsversuche, wie oben beschrieben, werden viel eher dort stattfinden, wo ein Händler auf „ec cash only“ setzt – also Kartenzahlungen zu 100% mit Abfrage der Pin Nummer abwickelt, denn nur hier kann ein Betrüger kurzfristig möglichst viele Kartendaten und Pin Nummern auslesen und anschließend mit diesen Daten Betrug begehen.
Bitte melden Sie ungewöhnliche Vorgänge rund um Ihr POS Terminal Ihrem Terminal Netzbetreiber. Tragen Sie durch Umsetzung unserer Hinweise Sorge dafür, dass Ihr Terminal nicht manipuliert wird!