Kartenkriminalität: Die Daten schützen

Die jüngsten spektakulären Fälle von Cyber-Kriminalität betrafen Home Depot und Target. Bei den beiden US-Handelskonzernen wurden in diesem Jahr zusammen fast 100 Mio. Kreditkarten-Datensätze durch Hacker abgegriffen. Beim Discounter Target gelangten die Datenräuber über gefälschte E-Mails mit elektronischen Rechnungen eines Dienstleisters, der die Kühlgeräte in den Märkten wartet, in das Abrechnungssystem und von dort aus in den Hauptrechner des Händlers. Der Rest war „Routine“: Durch Installation eines kleinen Programms, das die Eingaben beim Bezahlen mit Karte kopiert, wurden rund 40 Mio. Datensätze aufgezeichnet. Nach ähnlichem Muster gingen die Cyber-Kriminellen bei der Baumarktkette Home Depot vor. Dort wurden Schadprogramme vor allem an den SB-Kassen installiert und rund 56 Mio. Datensätze kopiert.

Weitere Opfer von Datendiebstählen in den USA sind Kmart, die Nobel-Kaufhauskette Neiman Marcus und die Online-Plattform Ebay. Dort wie auch in anderen Ländern, in denen die Zahlungskarten noch auf der Magnetstreifen-Technik basieren, steigen die Fallzahlen der Cyberattacken und der anschließenden Verwendung gefälschter Debitkarten. In Europa und speziell in Deutschland dagegen sind gerade die sogenannten Skimming-Angriffe rückläufig. „Die im Jahr 2011 eingeführten EMV-Chips haben die Möglichkeiten von Kartenfälschungen im SEPA-Raum gegen Null reduziert, dadurch ist es zu einer Verlagerung in außereuropäische Staaten gekommen“, konstatiert Margit Schneider, Leiterin des Sicherheitsmanagements bei Euro Kartensysteme.

Weniger Skimming

Die Statistik des Bundeskriminalamtes dokumentiert den Erfolg der Maßnahmen. Danach wurden im Jahr 2013 insgesamt 341 Geldautomaten angegriffen, das sind 32 Prozent weniger als im Vorjahr. Die Zahl der Attacken auf POS-Terminals im Handel stieg zwar im gleichen Zeitraum von 77 auf 84 Fälle. Erfolgreich ausgespäht wurden die Kartendaten allerdings nur in 24 Fällen, was einem Rückgang gegenüber 2012 von 52 Prozent entspricht. Und noch wichtiger: In allen diesen Fällen wurde die Manipulation aufgrund unterschiedlicher Sicherungssysteme so frühzeitig erkannt, dass Schäden durch missbräuchliche Verwendung der Daten verhindert wurden.

Dass sich die Händler, auch ausgelöst durch größere Schadensfälle in den Jahren 2008 bis 2010, inzwischen sehr problembewusst verhalten, zeigt eine weitere Zahl: Lediglich aufgrund von Verdachtsmeldungen des Handels tauschten die Netzbetreiber im Jahr 2013 in rund 400 Geschäften die Kartenterminals vorsorglich aus. Diese händlerische Sensibilität ist auch künftig notwendig. „Der Rückgang der Schadensfälle sollte die Unternehmer nicht dazu verführen, in ihrer Aufmerksamkeit nachzulassen“, sagt Margit Schneider. Die Expertin empfiehlt, nach wie vor auf Beschädigungen an der Hardware zu achten, betriebsfremden Personen den Zugriff auf die Terminals zu verwehren, Technikerbesuche mit dem zuständigen Netzbetreiber abzustimmen und bei Manipulationsverdacht die Polizei und den Netzbetreiber zu informieren.

IT-Analysten einsetzen

Den Schaden bei Home Depot, den der Händler auf 62 Mio. US-Dollar beziffert, hätten solche Maßnahmen allerdings nicht verhindert. Denn nicht die direkte Manipulation von Geräten am POS, sondern das Internet bleibt die Haupt-Einflugschneise für diebische Daten-Elstern. Daher muss die Absicherung des Firmennetzwerks gegen Angriffe aus dem Internet höchste Priorität haben. Professionelle Hacker sind heute in der Lage, ihr Handeln sehr genau an ihr Zielobjekt anzupassen. Sie können ihre Malware so programmieren und modifizieren, dass diese spezifische Software-Schwachstellen des Zielcomputers ausnutzt, ohne von den Sicherheitslösungen im Firmennetzwerk erkannt zu werden. „Verteidigungsmaßnahmen gegen gezielte Angriffe müssen daher im Schwerpunkt auf der Erkennung und Abwehr und nicht lediglich auf der Prävention liegen“, sagt Udo Schneider, Sicherheitsexperte bei Trend Micro. Das Unternehmen mit Hauptsitz in Tokio ist auf Cyber Security spezialisiert und bietet mit „Custom Defense“ eine spezielle Lösung zur netzwerkweiten Erkennung von Malware und bösartiger Kommunikation.

Zusätzlich zu technischen Vorkehrungen empfiehlt Udo Schneider aber auch, den Analysten in der IT-Abteilung mehr Handlungsspielraum zu geben. „Menschen sind am besten in der Lage, ungewöhnliches Verhalten zu erkennen, sofern sie eine netzwerkübergreifende Übersicht zusammenfassender Protokolle einsehen können“, so Schneider. Zu einem umfassenden Sicherheitskonzept gehören darüber hinaus klare Regelungen darüber, wer auf welche Bereiche, Anwendungen und Daten Zugriff hat. Mit „Usher“ hat die Firma Micro Strategy dazu eine Lösung entwickelt, die traditionelle Medien wie Chipkarten und Zugangscodes durch eine Smartphone-basierte Identifizierung ersetzt. Dabei wird über eine biometrische Verknüpfung (Stimme, Fingerabdruck) sichergestellt, dass nur der Eigentümer des Smartphones die „Identität“ nutzen kann.

Außerdem sorgt eine kryptographische Verknüpfung dafür, dass nur bestimmte Smartphones eingesetzt werden können. Im Fall des US-Händlers Target hätte sein Kühlgeräte-Dienstleister in diesem Fall zunächst seine Identität anmelden müssen, bevor er seine elektronische Rechnung in das Abrechnungssystem des Händlers einstellt. „Durch eine mobile ID mit Mehrfaktor-Authentifizierung lässt sich verhindern, dass Hacker unter falscher Flagge in ein System gelangen“, erläutert Frank Pilgrim, Senior Sales Engineer bei Micro Strategy. Die Software hat im Übrigen auch die Funktion einer mobilen Wallet. Bei der Bezahlung per Smartphone tauscht die „Usher“-App einen dynamischen Code mit dem Empfangsgerät am POS aus. Dieser Code beinhaltet die Bezahl-Daten, ist aber nur einmalig und nur innerhalb einiger Sekunden nutzbar.

Foto: istockphoto / weerapatkiatdumrong