23C3: Fahrlässiger Umgang mit Kreditkartendaten beanstandet

Eine im Auftrag der Kreditkartenfirmen MasterCard und Visa arbeitende Auditing-Firma hat bei zwei Dritteln der geprüften Online-Shops schwere Verstöße gegen geltende Sicherheitsregeln ausgemacht.

In Pocket speichern vorlesen Druckansicht 58 Kommentare lesen
Lesezeit: 4 Min.

Die Security Research & Consulting GmbH hat im Auftrag der Kreditkartenfirmen MasterCard und Visa bei 3000 Verkäufern und über 35 Service-Providern den Umgang mit Kartendaten geprüft und ist dabei auf erschreckende Sicherheitsmängel gestoßen: Zwei Drittel der unter die Lupe genommenen Firmen begingen schwere Verstöße gegen geltende Sicherheitsregeln und bestanden daher den Check beim ersten Anlauf nicht. Ein Drittel davon rasselte auch bei einem zweiten Anlauf noch durch. Dies berichtete Manuel Atug, Mitarbeiter der Bonner Auditing-Firma, die in Ländern wie Deutschland, Österreich, der Schweiz, Frankreich, Russland und Israel für die beiden Kreditkartenfirmen Sicherheitstests durchführt, am gestrigen Freitag auf dem 23. Chaos Communication Congress (23C3) in Berlin. Insgesamt seien die Systeme bei vielen Online-Händlern mit Kreditkartenakzeptanz schlecht administriert, beklagte der Sicherheitsberater. Dies sei unabhängig von der Größe der untersuchten Organisationen.

MasterCard und Visa haben im September Version 1.1 ihrer gemeinsamen Sicherheitsanforderungen PCI (Payment Card Industry) herausgegeben. Dabei geht es um Vorschriften wie zur Installation einer Firewall, zur Änderung standardmäßig eingestellter Passwörter, zum verschlüsselten Speichern und Übertragen von Daten, zum Überwachen des physikalischen und übers Netzwerk erfolgenden Zugangs zu den Informationen über Kartenbesitzer oder zur Festschreibung einer Sicherheitspolitik auf Management-Ebene. Es gehe schließlich selbst bei kleineren Händlern, die nur 250 bis 300 Transaktionen pro Monat durchführen, keineswegs um Peanuts: Wenn diese ihre Aufzeichnungen drei Jahre lang vorhalten, könnten theoretisch bei einem Versagen der Schutzvorkehrungen 10.000 Karten kompromittiert werden. Bei einem durchschnittlichen Schaden in Höhe von 2000 Euro pro gecrackter Karte seien so Gesamtausfälle in Höhe von rund 20 Millionen Euro anzusetzen.

Konkret stießen die Prüfer trotz der Verpflichtung der Verkäufer auf den PCI-Standard immer wieder auf grob fahrlässiges Verhalten. So würden etwa häufig die Prüfzahlen (CVC2 beziehungsweise CVV2) auch nach der erfolgten Autorisierung von Zahlungen entgegen jeglicher Bestimmungen aufbewahrt, führte Atug aus. Bei einer Firma seien 500.000 dieser sensiblen Ziffern gefunden worden. Gern vorgehalten würden auch die Daten von den Magnetstreifen der Kreditkarten, obwohl dies etwa der US-Firma Card Systems nach einem Zwischenfall bereits das Genick gebrochen habe. So manches Unternehmen habe zudem auf dem Rechner für die Kartenhandhabe auch Filesharing- oder Chatsoftware am Laufen gehabt.

Viele Probleme gibt es laut Atug ferner mit dem Bereich Verschlüsselung. Die einen würden dort noch mit dem Sicherheitsprotokoll SSLv2 arbeiten, obwohl Version 3 vorgeschrieben sei. Andere würden SSL mit schwacher Krypto-Unterstützung von weniger als 128 Bit betreiben. Auch das Schlüsselmanagement sei oft nicht sachgerecht. Ferner würden für Authentifizierungsformulare oder Mailserver auch immer wieder Klartextübertragungen genutzt. Aufgrund von Implementierungsfehlern seien viele Webserver zudem anfällig für das Einfrieren oder "Entführen" von Sitzungen oder für das sogenannte Cross-Site-Scripting. Digitale Daten würden zudem häufig nur in den Papierkorb auf dem Desktop gezogen und nicht sicher gelöscht. Bei Papieraufzeichnungen kämen nur einfache Shredder zum Einsatz, deren ausgespuckte Streifen sich aus Mülltonnen fischen und wieder zusammensetzen ließen.

Bei einem untersuchten Unternehmen mit über 600 Angestellten sei man zudem auf ein Intranet ohne jegliche Abtrennungen gestoßen, sodass jeder eingeloggte Nutzer auf sämtliche Server und Workstations zugreifen konnte, gab der Sicherheitsberater Einblicke in weitere entdeckte Regelverstöße. Hin und wieder gebe es auf dem Computer mit den Kreditkartendaten zudem nur eine einzige Nutzer-ID zum Einloggen. Da die Firmen wohl kaum ohne einen Ersatzadministrator auskommen, deute dies auf die illegitime Verwendung eines Accounts durch mehrere Personen hin.

Eine Firma habe ferner stolz auf ihr teures Hochsicherheitsdatenzentrum verwiesen. Gleichzeitig seien Informationen zu Rückbuchungen jedoch auf einer Workstation mit Microsoft Access gespeichert worden, sodass gut eine Million Transaktionsdaten unverschlüsselt zugänglich waren, monierte Atug. Gestoßen sei man auch auf Firewalls, die sämtliche Datenpakete standardmäßig durchließen, sowie auf Testumgebungen, die direkt mit echten Daten von Karteninhabern am Start waren. Insgesamt sei es so kaum verwunderlich, dass auch Konzerne wie AT&T oder selbst das Pentagon bereits jeweils mehrere zehntausend kompromittierte Kartendatensätze melden mussten und bei der University of California in Los Angeles (UCLA) eine Datenbank mit persönlichen Informationen von 800.000 Studenten und Beschäftigten gecrackt wurde. (Stefan Krempl) / (hos)