PIN-Diebstahl - Rasch und unkompliziert:
Forscher warnen vor Lücken in Netzwerken

Israelische Forscher haben eigenen Angaben zufolge eine schwere Lücke im globalen Finanznetzwerk entdeckt und schlagen Alarm. Omer Berkman und Odelia Moshe Ostrovsky, beide Wissenschaftler an der School of Computer Science in Tel Aviv, beschreiben in ihrem Papier "The unbearable lightness of PIN cracking" die Anfälligkeit von Finanzsystemen, die bei Geldbehebungen zum Einsatz kommen. Korrupte Bankmitarbeiter könnten auf einfache Weise PIN-Codes von Kartenbesitzern ausspionieren und für betrügerische Zwecke missbrauchen.

Die Schwachstelle liegt im Verfahren, wie die PIN-Codes verschlüsselt und quer durch das internationale Finanzsystem geschickt werden. Das Problem ist noch um ein Vielfaches größer, als bislang angenommen, so die Verfasser. Bei bisherigen Attacken führten etwa 15 Versuche, den Code herauszufinden, zum Erfolg. Nun würden ein bis zwei Versuche ausreichen, um in den Besitz des korrekten PINs zu kommen, warnen die Forscher. Die theoretische Auslegung des vierstelligen Codes erfordert im Schnitt 5.000 Versuche.

Knackpunkt "Switches"
Sobald der Kartenbesitzer seinen PIN bei einem Geldautomaten eingibt, wird dieser samt Kontonummer zwecks Überprüfung zur Hausbank oder zu einem anderen autorisierten Institut geschickt. Da jedoch normalerweise keine direkte Verbindung zur Hausbank besteht, werden die PINs über eine große Anzahl von "Switches" geschickt, schreiben die Autoren.

Kette nur so stark wie schwächstes Glied...
Genau hier liege der große Schwachpunkt, an dem betrügerische Bankmitarbeiter ansetzen können, monieren die Forscher. Sie könnten sich am Switch der eigenen Bank zu schaffen machen und sich auf diese Weise Kontonummern inklusive passender PIN-Codes aneignen. Die Angriffe können in enormem Ausmaß ausfallen, denn manche Switches bearbeiten 18 Mio. Datensätze pro Stunde, so die Autoren. "Der beunruhigendste Aspekt dieses Angriffes ist, dass das gesamte System nur so sicher ist, wie die unsicherste Bank", meint Security-Guru Bruce Schneier.

Selbstzerstörung bei Missbrauch
"So einfach ist es nicht, denn praktisch ist ein solcher Diebstahl unmöglich", widerspricht Susanne Stöger, Sprecherin von First Data Austria. Das Unternehmen ist für die Abwicklung des bargeldlosen, kartengestützten Zahlungsverkehrs zuständig . "Das Umschlüsseln der PIN-Blocks ist notwendig, da die nationalen Betreiber verschiedene Schlüssel verwenden, um ihre Sicherheit zu gewährleisten. Dies geschieht jedoch unter absolut hohen Sicherheitsvorkehrungen. Die Geräte, die diese Umschlüsselung vornehmen, stehen in aller Regel in einem Hochsicherheitstrakt und unterliegen der FIPS-Norm. Diese schreibt vor, wie im Fall eines versuchten Missbrauchs vorzugehen ist", führt Stöger aus. Dabei kämen Selbstzerstörungsmechanismen zum Einsatz, die sofort alle Daten löschen, sobald der Versuch eines Einbruchs festgestellt wird. "Nicht einmal unser Sicherheitschef kann sich Zugriff zu diesem System verschaffen, noch viel weniger gelingt das einem 'normalen' Bankangestellten." (pte/red)