Hinweis zu Affiliate-Links: Alle Produkte werden von der Redaktion unabhängig ausgewählt. Im Falle eines Kaufs des Produkts nach Klick auf den Link erhalten wir ggf. eine Provision.

Dieser Hacker zeigt auf der WIRED Money 2016 live, wie man EC-Karten-Systeme hackt

von Dominik Schönleben
Einer der Top-Speaker auf der WIRED Money Konferenz am 28. April 2016 ist der Sicherheitsforscher Fabian Bräunlein. Der Hacker des SRLabs-Kollektivs wird live auf der Bühne zeigen, wie leicht es ist, ein EC-Karten-Lesegeräte zu hacken – und wie Banken sich dagegen schützen können.

Der Hack, den Fabian Bräunlein auf der WIRED Money 2016 vorführen wird, ist ziemlich einfach, das Resultat jedoch verheerend: Mit den gestohlenen Daten kann der Sicherheitsforscher eine gefälschte EC-Karte herstellen, mit der er jederzeit die Konten von Supermarkt-Kunden ausräumen könnte.

In der Realität müsste man sich den Angriff so vorstellen: Während des Einkaufs lässt Bräunlein einen Raspberry-Pi-Taschencomputer aus dem Ärmel gleiten und steckt ihn in einen Netzwerk-Anschluss an der Wand ein. Diese Buchsen gebe es in Supermärkten eigentlich immer, sagt Bräunlein, weil sie für die Inventur verwendet würden – und in den seltensten Fällen seien sie verschlossen.

Der Rest läuft dann unauffällig auf dem Parkplatz ab. Bräunlein klappt sein Laptop auf, steckt eine WLAN-Antenne mit hoher Reichweite an und macht sich ans Werk: Über die Verbindung zwischen Laptop und Raspberry Pi kommt er direkt ins Netzwerk des Supermarkts.

Holt euch jetzt hier Tickets für die WIRED Money 2016!

„Ich hatte schon damit gerechnet,“ sagt Bräunlein über den Moment, als er entdeckte, wie schlecht die EC-Karten-Systeme der Banken gesichert sind. „Innerhalb eines Tages habe ich gesehen, dass die Protokolle absolut nicht den derzeitigen Sicherheitsstandards entsprechen.“ Die Grundsteine für die verwendeten Sicherheitsprotokolle seien zum Teil in den 80er und 90er gelegt worden und dann nur minimal weiterentwickelt worden. Verschlüsselung? Fehlanzeige.

Nach zwei Monaten fand Bräunlein dann den entscheidenden Angriffswinkel: Sein Skript drängte sich zwischen Kasse und Bezahlterminal und führte eine Man-in-the-Middle-Attacke durch. In den meisten Heim- und Firmennetzwerken gibt es dagegen keinen Schutz, sobald man erst einmal im System ist.

Was genau passiert: Sobald ein Kunde bezahlen möchte, stoppt Bräunlein die Anfrage der Kasse und ersetzt sie durch seine eigene. Wenn dann das Kartenterminal fragt „Bitte geben Sie Ihre PIN ein“, wird diese nicht verschlüsselt an den EC-Anbieter, sondern an Bräunleins Laptop auf dem Parkplatz übertragen. So kommt der Hacker an alle nötigen Daten, um später eine Fake-EC-Karte herstellen zu können.

„Die Sicherheitslücke, die es erlaubt, die PIN abzufangen, war eine Protokollfunktion, die nicht mehr gebraucht wird, und ein Schutzmechanismus, der unzureichend implementiert war“, erklärt Bräunlein. Besonders schlimm: Die verwendeten Sicherheitsschlüssel seien über unterschiedliche Geräte hinweg wiederverwendet worden.

Damit nicht auffällt, dass gar keine Zahlung stattgefunden hat, lässt Bräunlein später – jetzt, da er alle Daten und die Kontrolle hat – das Kassensystem eine echte Transaktion ausführen. Der Kunde und der Supermarkt kriegen davon nichts mit. Die abgeschöpften Daten können anschließend auf eine Blanko-Karte übertragen werden. Mit der kann man dann Geld im Ausland abheben oder in ganz Deutschland bezahlen. Nur bei deutschen Bankautomaten verhindert ein zusätzlicher Sicherheitsmechanismus, dass die gefälschte Karte angenommen wird.

Bräunleins Beispiel hört sich an wie aus einem Hacker-Film, in dem ein Kapuzenpullover tragender Programmierer zuerst seine eigene Hardware mit dem System verbinden muss, um reinzukommen. Doch meist ist das gar nicht notwendig. Die WLANs der Kassensysteme sind oft veraltet oder mit schlechten Passwörtern geschützt. Bräunlein kann dann auf den Zugriff per eingeschmuggeltem Raspberry Pi verzichten. Ist das drahtlose Netzwerk gehackt, muss er den Supermarkt nie betreten.

Bräunlein hat seinen Angriff nie an einer echten Supermarktkasse ausprobiert – er will als Sicherheitsforscher einfach nur aufzeigen, wie solch eine Attacke in der Realität aussehen könnte. Für einen Fernsehbeitrag der ARD demonstrierte er etwa in der Praxis, wie die Sicherheitssysteme der Banken auszuhebeln wären: Nur mit den Informationen auf einem Kassenbon gelang es ihm und einem Kollegen, über das Internet das Bezahlterminal des Fanshops der Sendung mit der Maus in Köln zu hacken. Die beiden Sicherheitsforscher hätten sich einfach fremdes Geld auf das eigene Konto überweisen können.

Diesen etwas aufwändigeren und auch gefährlicheren Hack kann Bräunlein auf der WIRED Money 2016 leider nicht auf der Bühne zeigen, dafür fehlt ihm die Zeit. Denn während seines Vortrags auf der Konferenz am 28. April möchte er auch darüber sprechen, was er während seiner Arbeit zu digitalen Bezahlsystemen und Sicherheits-Checks für Payment-Apps gelernt hat. Als IT-Sicherheitsforscher und Hobby-Hacker hat er bereits für mehrere internationale Firmen nach besseren Lösungen für die dabei aufkommenden Probleme gesucht.

+++ Mehr von WIRED regelmäßig ins Postfach? Hier für den Newsletter anmelden +++

Der entscheidende Vorteil gegenüber herkömmlichen Sicherheits-Tests: Bräunleins Hacker-Mindset. „Ein Hacker hat keine Liste, wie er ein Gerät testen soll“, sagt Bräunlein. „Der Markt ist nicht homogen genug, um ihn mit einer einzigen Zertifizierungsmaßnahme in den Griff zu bekommen.“ Ein Problem bei Sicherheitstests sei es, dass oft nur getestet wird, was im Allgemeinen gültig ist. Auf Sonderfälle würden die wenigsten Tester eingehen.

„Eigentlich sind Live-Hacks der unterhaltsamste Teil von Vorträgen auf Konferenzen“, sagt Bräunlein. Doch warum gibt es sie dann heute so selten? Bräunlein glaubt, dass es daran liegt, dass so viel schiefgehen kann dabei. Viele Sicherheitsfirmen würden deshalb davon zurückschrecken. Bräunlein nimmt das als Hacker eher locker, sein Live-Hack wird eines der Highlights der WIRED Money 2016 werden.

Die Konferenz WIRED Money 2016 findet am 28. April in Berlin statt. Hier gibt es Tickets. Und hier findet ihr mehr zum Thema „Zukunft des Geldes“. 

GQ Empfiehlt