CardSystems räumt Fehlverhalten bei Kreditkarten-Datenspeicherung ein
Mitarbeiter des Kreditkarten-Dienstleisters hatten Transaktionsdaten im eigenen Firmennetz abgespeichert, obwohl dies ausdrücklich verboten ist. Über ein Spionageprogramm wurden mindestens 200.000 vertrauliche Datensätze aus dem Firmennetz abgezogen.
Der US-amerikanische Kreditkarten-Dienstleister CardSystems Solutions hat inzwischen eingeräumt, dass eigenes Fehlverhalten mit zum Diebstahl von mindestens 200.000 vertraulichen Datensätzen von Visa-Card- und MasterCard-Kunden geführt hat. CEO John Perry erklärte gegenüber US-Medien, Mitarbeiter von CardSystems hätten Transaktionsdaten im eigenen Firmennetz abgespeichert, obwohl dies ausdrücklich verboten gewesen sei. Die unverschlüsselten Kreditkarten-Daten, die nicht nur Kreditkarten-Nummern und Namen der Karteninhaber, sondern auch die persönliche Geheimzahl beinhalteten, habe CardSystems für Nachforschungszwecke nutzen wollen, etwa um herauszufinden, warum bestimmte Transaktionen nicht abgewickelt wurden.
Insgesamt seien in dem fraglichen Ordner Daten von rund 40 Millionen Kreditkartenkonten gespeichert gewesen, erläuterte Perry weiter. Hacker hätten über eine Sicherheitslücke im Netzwerk ein Spionageprogramm eingeschleust und darüber dann Daten abziehen können. MasterCard geht davon aus, dass mindestens 68.000 eigene Kunden besonders gefährdet sind, weil ihre Kreditkarten-Informationen in einer Datei waren, die nachweislich aus dem CardSystems-LAN gestohlen wurde. Die Zahl der betroffenen VISA-Kunden wird auf 100.000 geschätzt, hinzu kommen etwa 30.000 Kunden anderer Kreditkarten-Aussteller.
CardSystems ist eines von zahlreichen Unternehmen in den USA, über das Transaktionen zwischen Einzelhandel, Kunden und Kreditkarten-Unternehmen abgewickelt werden. Die in Atlanta (Georgia) beheimatete Firma bietet Händlern dazu Hardware-Terminals sowie E-Payment-Lösungen an und kommt eigenen Angaben zufolge auf eine jährliches Transaktionsvolumen von 15 Milliarden US-Dollar. Der Datendiebstahl wurde bekannt, als die Sicherheitsabteilung von MasterCard im April zahlreichen Betrugsfällen nachging, die auf Zahlungsabwicklungen bei CardSystems zurückzuführen waren. Im Mai konnten Computer-Spezialisten schließlich das Spionageprogramm im LAN von CardSystems ausfindig machen.
Sprecher von MasterCard und Visa warfen dem Unternehmen unterdessen vor, sich auch schon vor dem jetzt öffentlich gewordenen Datendiebstahl nicht an die strengen Sicherheitsbestimmungen gehalten zu haben, mit denen die Kreditkartenkonzerne versuchen, solche Fälle zu verhindern. Dazu gehört unter anderem, dass unabhängige Gutachter in regelmäßigen Abständen Sicherheits-Audits in den Unternehmen durchführen und die Firmennetze auf Verwundbarkeit prüfen. CardSystems gibt an, zuletzt im Dezember 2003 einen Gutachter mit Sicherheitsprüfungen beauftragt zu haben. (pmz)
