US-Kette Staples fürchtet Verlust von über 1,16 Millionen Kreditkartendaten

Der US-Büroausrüster Staples hat eingestanden, dass Kassensysteme in 115 Filialen Opfer eines Cyberangriffs wurden und die Gauner mehrere Wochen lang umfangreiche Bestände an Kundendaten gestohlen haben.

In Pocket speichern vorlesen Druckansicht 64 Kommentare lesen
Kreditkarten

(Bild: Sean MacEntee, CC BY 2.0)

Lesezeit: 3 Min.

Staples hat sich in die wachsende Zahl an US-Händlern eingereiht, die dieses Jahr massive Datendiebstähle melden mussten. Informationen über bis zu 1,16 Millionen Kreditkarten könnten bei einer mehrwöchigen Cyberattacke in die Hände von Kriminellen gefallen sein, räumte der Büroausrüster ein. Auf Kassensystemen in 115 von 1400 US-Filialen sei Schadsoftware gefunden worden. Betroffen seien Kunden in 35 US-Bundesstaaten. Von Franchise-Nehmern in Deutschland ist nicht die Rede.

Mit der auf Kassensystemen (Point of Sale) installierten Malware haben sich die Übeltäter Staples zufolge in den meisten betroffenen Niederlassungen zwischen dem 10. August und dem 16. September Zugang zu Kundendaten verschafft. In zwei Läden sei die Schadsoftware sogar bereits seit dem 20. Juli aktiv gewesen. Gestohlen worden seien vermutlich Namen von Käufern sowie Nummern von Zahlungskarten mit Ablaufdaten und CVC-Sicherheitsnummern.

Wie genau die Angriffe technisch abgelaufen sind, ist nach wie vor nicht geklärt. In der Vergangenheit haben Ganoven in der Regel die Bezahlterminals selbst manipuliert. Prinzipiell ist es aber auch denkbar, dass die Geräte durch Sicherheitslücken in der Software über das Netz kompromittiert wurden. In beiden Fällen hat der Kunde keine Chance, die Manipulation zu erkennen. Offen bleibt auch die Frage, wie die Gauner an die CVC-Nummern gekommen sind. Diese ist lediglich auf der Karte aufgedruckt, aber nicht auf ihr gespeichert und wird bei Zahlvorgängen im Einzelhandel auch nicht abgefragt.

Die Führung des Ausrüstungshauses entschuldigte sich für die durch den Vorfall ausgelösten "Unbequemlichkeiten" und versicherte, dass man den Datenschutz prinzipiell ernst nehme. Staples habe Schritte unternommen, um die Sicherheit der Kassensysteme zu erhöhen, auch unter Einführung neuer Verschlüsselungssysteme. Die Kette bietet Kunden der betroffenen Filialen kostenlose Dienste zum Identitätsschutz einschließlich der Überwachung von Kreditkartenbewegungen an. Sie betont, dass Käufer in der Regel nicht für Umsätze aufkommen müssten, die auf das Konto gestohlener Kreditkartendaten gingen.

Mit dem Rückgang von Skimming an Bankautomaten scheinen Point-of-Sale-Systeme das neue Lieblingsziel von Kartenbetrügern zu werden. Voriges Jahr hatten sich Cybergangster über eine Hintertür in den Kassensystemen der US-Kaufhauskette Target Datensätze von bis zu 40 Millionen Kredit- und Debitkarten und 70 Millionen Kundenkonten verschafft. Im Oktober teilten der Warenhauskonzern Kmart und die Schnellrestaurant-Kette Dairy Queen mit, dass Angreifer über ihre Zahlungsabwicklungssysteme über längere Zeit wertvolle Kundendaten abgegriffen hätten. Bei der Bank JPMorgan Chase entwendeten Unbekannte dieses Jahr von Servern sensible Informationen über 76 Millionen Haushalte und sieben Millionen Unternehmen. Auch in Deutschland warnen Behörden seit Jahren vor der Gefahr solcher Angriffe. (fab)