Selbstbedienungsladen mit WLAN
Die Filialen der Supermarktkette Combi vernetzen einen Teil ihrer Systeme via Funk -- und vergaßen in einigen Fällen die Verschlüsselung zu aktivieren.
Die Filialen der Supermarktkette Combi vernetzen einen Teil ihrer Systeme via Funk -- und vergaßen in einigen Fällen die Verschlüsselung zu aktivieren. Quasi zufällig entdeckten zwei c't-Leser ein völlig ungeschütztes Funknetz einer Combi-Filiale. In den aufgefangenen Klartextdaten befanden sich unter anderem Zugangsdaten zum Warenwirtschaftssystem des Supermarktes.
Auf Nachfragen von heise Security reagierte die für den IT-Bereich der Combi-Märkte zuständige Bünting Informations-Technologie GmbH prompt. Mittlerweile wurden alle Filialen untersucht und als erste Schutzmaßnahme die WEP-Verschlüsselung aktiviert. In einer Stellungnahme heißt es, dass bei etwa fünf Prozent der 60 Combi-Filialen versehentlich die Verschlüsselung abgeschaltet war. Dabei seien jedoch keine kritischen Daten einsehbar gewesen: "In unserem Hause kommt die Funknetz-Technologie nur in Anwendungsgebieten zum Einsatz, in denen Daten mit niedrigem Schutzanspruch verarbeitet werden. Zum Beispiel können Anwender in den Märkten keine Preise unserer Sortimentsartikel oder gar Parametereinstellungen verändern".
Das sehen die Entdecker der offenen Netze, zwei Schüler aus Aurich, anders. Nach ihrer Einschätzung wäre es durchaus möglich gewesen, Preise indirekt zum Beispiel über Batch-Jobs zum Preisabgleich oder durch Manipulationen an Waagen der Fleisch- und Käsetheken zu manipulieren. Des Weiteren fanden sich im Datenstrom auch Informationen über Kunden, die mit EC- oder Kreditkarten bezahlt hätten. Allerdings seien keine kritischen Daten wie Kreditkarten-Nummern oder gar PINs einsehbar gewesen, versichert Arnold Bathmann, Leiter des Rechenzentrums bei Bünting. "Unsere Cash-Terminals entsprechen den von der ZKA vorgegeben Sicherheitsrichtlinien. Die Daten werden über einen propritären seriellen Bus übertragen und sind zusätzlich verschlüsselt", erklärte Bathmann.
Unsichere Funknetze sorgten in der Vergangenheit immer wieder für Schlagzeilen. Vor rund zwei Monaten ist es Hackern gelungen, in das Infoscreen-System der Hamburger U-Bahnen einzudringen. Auch hier war das Funknetz nicht einmal durch WEP-Verschlüsselung abgesichert. WEP-Verschlüsselung gewährleistet einen gewissen Schutz vor zufälligen Mithörern, ist jedoch bereits seit Jahren geknackt. Diverse Probleme mit weiteren Sicherheitslücken und Inkompatibilitäten haben aber bislang die Etablierung eines neuen Standards verzögert. Die Bünting GmbH will jetzt auch evaluieren, welche weiteren Sicherungsmaßnahmen sie ergreifen könnte, um ihre Funknetze zusätzlich abzusichern. (pab)
