24C3: Haushaltshacker testen das Pfandsystem
Die Sicherheitskriterien für die Rückgabe von Pfandbeträgen bei leeren Getränkedosen oder Einwegflaschen sind laut "Voruntersuchungen" von Hackern nicht sonderlich schwer zu überwinden, doch der große Reibach lässt sich so kaum machen.
Die Sicherheitskriterien für die Rückgabe von Pfandbeträgen bei leeren Getränkedosen oder Einwegflaschen sind laut "Voruntersuchungen" von Hackern nicht sonderlich schwer zu überwinden. Die meisten Geräte zur Pfandrückgabe seien "sehr liberal", erläuterte Nils Magnus auf dem 24. Chaos Communication Congress (24C3) in Berlin am gestrigen Donnerstag. Die Automaten "nehmen eine ganze Menge an". So habe er bei eigenhändigen Tests etwa mit dem Abkleben der Logos der Deutschen Pfandsystem GmbH (DPG) oder der Barcodes experimentiert. In vielen Fällen hätten die Geräte trotz dieser einfachen Methoden zur Aushebelung des Sicherheitssystems das Leergut geschluckt und einen Bon für die Pfandrückzahlung ausgespuckt.
Die DPG rüstete das Sicherheitssystem im vergangenen Jahr nach. Als prinzipiell eines der wichtigsten Prüfbestandteile nannte Magnus das blaue Logo, das sich über die Webseite der Pfandfirma interessanterweise in einer hohen Auflösung mit bis zu fünf Megabyte umfassenden Dateien runterladen lasse. Angeblich dürften die Signets aber nur von einer europaweit überschaubaren Zahl von Herstellern in einer Spezialfarbe produziert werden. Im Zweifelsfall würden einzelne Automaten aber auch Flaschen ohne erkennbares Logo durchgehen lassen. Nicht wirklich relevant sei zudem das Gewicht von Flaschen, da etwa auch halbleere oder mit sonstigen Restmengen an Flüssigkeiten gefüllte akzeptiert würden.
Bleibt der Barcode als zentrales Ausschlusskriterium. Die DPG setzt hier auf die Artikelnummerkategorie EAN-8 oder -13, spezifiziert von der GS1-Gruppe. Benutzte Zahlenkombinationen können dabei laut Magnus sogar über eine spezielle Webplattform in einer zentralen Datenbank hinterlegt werden. Eigene Barcodes seien ferner mit der Skriptsprache PHP über gesonderte Programme zu erzeugen. Generell solle mit der Identifikationsnummer eigentlich gewährleistet werden, dass jede Flasche nur einmal abgerechnet werde. Dies funktioniere aber nicht immer. Hier könne man etwa mit einem an einer Schnur befestigten Leergutstück, das aus dem Automaten vor dem Schreddern rasch wieder herausgezogen werde, noch weitere Experimente anstellen.
In den Tipps für "Desperate House-Hackers", wie Magnus seinen Vortrag überschrieben hatte, zeigte der Sicherheitstester erste Ansätze für den "Pfandbetrug Marke Eigenbau" auf. So könne der verzweifelte Heimtüftler zum Beispiel Barcode und DPG-Logo fotografieren, ausdrucken und auf eine Flasche ohne Pfand aufkleben. Dies haue häufig hin. "25 Cent kriegt man relativ einfach ausgezahlt." Notfalls könne man immer noch das Personal rausklingeln und diesem sorgenvoll mitteilen, dass der Automat anscheinend spinne. Natürlich seien die eingenommenen Kleinbeträge nach den entsprechenden Versuchen für einen guten Zweck gespendet worden. Insgesamt sei das Schadenspotenzial in diesen Einzelfällen aber überschaubar. Den einigen 100 Millionen nicht eingelöster Pfandflaschen, die von der regierungsnahen Beratungsgesellschaft Roland Berger angeblich in das System einberechnet worden seien, und den damit verknüpften Gewinnen für den Handel dürfte der Privatmissbrauch vermutlich wenig anhaben können.
Lukrativer könnte sich laut Magnus theoretisch ein Herumspielen mit den Barcodes erweisen, welche die Pfandautomaten als Gutscheine ausspucken. Ursprünglich sei vorgesehen gewesen, dass diese nur am Tag der Leergutabgabe einlösbar sein sollten. Diese geplante Restriktion sei aber nicht durchsetzbar gewesen. Anscheinend nutze der Handel beziehungsweise die DPG hier aber ein einmaliges System, in dem Barcodes nicht mehrfach zu verwenden seien. Zudem müsste man die Nummern auch zumindest auf Thermopapier ausdrucken, um nicht von vornherein aufzufliegen.
Gedanken machte sich der Hacker auch über einen denkbaren "Enterprise"-Ansatz zur Aushebelung der Sicherheitsfunktionen für Großbetrüger. Die Medienberichte über 150.000 "Pfandflaschen" mit gefälschten Etiketten und Barcode aus litauischer Produktion, die angeblich in Itzehoe in das Pfandsystem eingeschleust werden sollten, hält Magnus zwar für überzogen. "Da bräuchte man rund 20 Stunden und 50 Minuten", um diesen Vorrat im Akkord an Automaten zu verfüttern, rechnete er vor. Bei einem Pfandwert von rund 38.000 Euro läge der Stundenlohn andererseits bei gut 1.800 Euro abzüglich der Herstellungskosten. Dies sei zwar immer noch viel Arbeit, könne das Verfahren aber doch lukrativ erscheinen lassen.
Gerüchten, dass Einzelhändler oder Discounter selbst an derartigen Betrugsversuchen beteiligt sein könnten, schenkte Magnus wenig Glauben. Dafür sei das Abrechnungssystem im Hintergrund zu kompliziert: "Jede abgegebene Flasche erzeugt einen einzelnen Datensatz, der digital signiert und über mehrstufige Verfahren zusammengefasst wird." Da müsse man schon sehr ausgeklügelte Wege finden, um die kryptographischen Daten zu hacken. (Stefan Krempl) /
Zum diesjährigen Chaos Communication Congress siehe auch:
- Kampf gegen Schäubles Computerwanze
- Hacker gegen 24-Stunden-Rundum-Überwachung
- Das Hackerchaos dräut erneut in Berlin
(pmz)
