Visa: Regelmäßiges Wiegen der Kartenterminals schützt vor Manipulationen

Visa hat die Sicherheitszulassung für zwei Kartenterminals (3070MP01 und i3070EP01) des Herstellers Ingenico zurückgezogen (PDF). Auslöser war offenbar eine erfolgreiche Manipulation durch Skimmer, die durch zusätzliche Elektronik die Kreditkartendaten sowie die eingebenen PIN mitlesen, speichern und später auslesen konnten. Bei den kompromittierten Terminals (engl. PIN Entry Device, PED) soll es sich um Geräte älterer Bauart handeln, die vornehmlich in den USA zum Einsatz kommen. Visa hat eine Liste weiterer, aber nicht PCI-konformer Geräte veröffentlicht, die häufiger bei Skimming-Attacken eine Rolle spielen sollen.

Derartige Angriffe sind zwar nicht neu, überraschend ist nach Branchenkennern aber die Art, wie Visa nun reagiert. Erstmals wird laut Bericht ein konkreter Hersteller genannt, und erstmals gibt Visa zu, dass ein PCI-konformer Händler Opfer eines Angriffs wurde. Der Payment Card Industry Data Security Standard (PCI DSS) formuliert mehrere Sicherheitsanforderungen, die vor erfolgreichen Angriffen auf Rechner und Kreditkartensysteme schützen sollen.

Zwar steigen derzeit offenbar die Zahlen kompromittierter PEDs, Visa will die Zulassungen laut eines internen Memos jedoch nur als Vorsichtsmaßnahme zurückgezogen haben. Daneben rät Visa Händlern, grundsätzlich die Identität von Wartungstechnikern zu verifizieren und deren Arbeit zu überwachen. Daneben soll man seine Terminals periodisch wiegen, um Abweichungen durch zusätzlich eingebaute Elemente zu erkennen.

Schutz soll auch ein Authentifizierungssystem für PEDs bieten, bei dem ein Host kontinuierlich die interne Seriennummer, die Verfügbarkeit und dessen Integrität prüft. Dann soll zum Beispiel auch kein heimlicher Austausch mehr möglich sein.

Manipulationen von Terminals müssen aber nicht erst im Geschäft stattfinden, Ende 2008 kamen US-Ermittler und MasterCard Kriminellen auf die Schliche, die Kartenterminals schon ab Werk manipulierten. Trotzdem durchliefen die Geräte die Sicherheitsprüfungen und wurden in Europa laut einem Bericht des Telegraph zu hunderten ausgeliefert. Die gesammelten Daten wurde per Mobilfunk an einen Kriminellen in Pakistan geschickt. MasterCard schickte daraufhin mehrere Teams auf Europareise, die mit einer Waage bewaffnet die Plagiate identifizieren sollte. (dab)