37C3: Kartensperrsystem KUNO lud IT-Kundige zum Entsperren ein
Kommt eine Girokarte abhanden, könnte jemand damit Geld abheben oder einkaufen gehen. Zwei Sperrsysteme wollen das verhindern – haben aber eigene Probleme.
(Bild: Tatiana_Kuzmina/Shutterstock.com)
- Falk Steiner
Für Betroffene ein unangenehmes Szenario: Der Geldbeutel ist weg – oder die immer noch häufig so genannte EC-Karte irgendwo liegen geblieben. Schnellstmöglich wollen jene dann ihre Karten sperren lassen, doch das ist gar nicht so einfach. Relativ bekannt ist der sogenannte Sperrnotruf: erreichbar unter der Telefonnummer 116 116 oder mittels Sperr-App. Doch mit der Sperrung beim Sperr-Notruf-Verein werden nicht alle Arten von Kartennutzungen unterbunden. Sondern nur jene Verfahren, die mit Hilfe von Banken und Sparkassen stattfinden – vor allem Onlinezahlungen, Geldabhebungen und PIN-Zahlungen an Terminals. Gegen die Sperrdatei des Vereins autorisieren aber längst nicht alle Nutzungsarten.
Das elektronische Lastschriftverfahren mit Unterschrift etwa, beim Einzelhandel nach wie vor aufgrund niedriger Kosten beliebt, wird damit nicht mitgesperrt – nur die für den Einzelhandel teurere Variante der PIN-basierten Zahlung. Damit auch das Lastschriftverfahren nicht möglich ist, benötigt es daher eine Sperre bei einem zweiten System: KUNO. Das steht für "Kriminalitätsbekämpfung im unbaren Zahlungsverkehr unter Nutzung nichtpolizeilicher Organisationsstrukturen". Hierin können von deutschen Kreditinstituten ausgegebene Girokarten auch für den Lastschriftverkehr in den allermeisten Verkaufsstellen des Einzelhandels gesperrt werden. Die KUNO-Sperrung nimmt die Polizei vor, der Gang zur Wache ist für Girocard-Inhaber im Verlustfall also in jedem Fall sinnvoll.
Doch was ist, wenn das Sperrsystem selbst nicht sicher ist? Der Berliner Sicherheitsconsultant Tim Philipp Schäfers prüfte im vergangenen Jahr das KUNO-System webseitig auf IT-Schwachstellen. Bei seinem Vortrag am Samstagnachmittag auf 37. Chaos Communication Congress (37C3) erläuterte er dabei, welche Probleme er bei einer genaueren Untersuchung vor allem der Webinfrastruktur des KUNO-Portals gefunden hat.
Unendliches Raten erlaubt
Dabei stieß er neben einigen anderen Problemen im Self-Service-Bereich für Betroffene auf Einfallsmöglichkeiten für Übeltäter. Denn der Zugang erfordert nur zwei Merkmale: die auf jeder Karte aufgedruckte IBAN und eine fünfstellige, sogenannte Sperrbestätigungsnummer. Hier allerdings gab es keinerlei Limitierungen für die Rateversuche – ein einfach automatisierbarer Angriffsvektor, um die Sperrbestätigungsnummer herauszufinden.
Im Self-Service-Bereich dann wiederum bestand dann die Möglichkeit, auch vollkommen korrekterweise gesperrte Karten wieder zu entsperren. Kartenbetrüger hätten hier mit vergleichsweise geringem Aufwand also legitime Sperrungen wieder zurücknehmen können, um mit den Karten der Betroffenen im elektronischen Lastschriftverfahren (ELV) vorzugehen. Ob diese Sicherheitslücken jemals ausgenutzt wurde, trug Sicherheitsforscher Schäfers in Hamburg nicht vor.
Getragen wird das KUNO-System vom EHI Retail Institute in Köln, das aus dem EuroHandelsinstitut hervorging und immer wieder Lösungen vorantreibt, die für den Einzelhandel hilfreich sein sollen. Schäfers lobte das Institut ausdrücklich für den Umgang mit seinen sicherheitskritischen Anmerkungen – so wurde etwa ein Rate-Limit eingeführt, also eine Begrenzung der Abfragen für den Self-Service. Der Sicherheitsforscher veröffentlicht seine Erkenntnisse auf einer extra dafür hergerichteten Website.
(tiw)
