ARD Monitor: Wie Hacker die bargeldlosen Kassensysteme im Einzelhandel knacken

Deutschlands verbreitetstes EC-Karten-Terminal hat kritische Sicherheitslücken, mit denen sich PINs auch über das Internet auslesen lassen. Das haben wir gestern berichtet. Jetzt ist die Sendung von ARD Monitor online.

Hier ein Backup auf YouTube:

Hier klicken, um den Inhalt von www.youtube-nocookie.com anzuzeigen

[Original-URL für sieben Tage.]

36 Ergänzungen

  1. Wie schon einmal erwähnt, verzichtet einfach auf diese Art von Bezahlung.
    Das meine ich völlig ernst.
    Kauft nicht mehr so viel Mist, den ihr eh nicht braucht und leistet „Passiven Widerstand“

    1. Genau. War das schön früher, als man noch was auf die Fresse bekam, bevor die Kohle abgezogen wurde. Die Bösewichter sollen wieder schuften für ihr mein Geld.

      1. Ach noch was:

        Die Wahrscheinlichkeit, in Deutschland auf offener Straße am hellichten Tag überfallen und ausgeraubt zu werden ist in den meisten Gegenden verschwindend gering.
        Wir sind hier NICHT in den Armen-Ghettos von Rio de Janeiro, wo du im Auto an der roten Ampel überfallen wirst.

        Die Wahrscheinlichkeit, dass deine Daten bei bargeldloser elektronischer Kartenzahlung erfasst und gespeichert werden, liegt bei 100 Prozent.
        Die Wahrscheinlichkeit, dass diese Daten missbraucht und gegen dich verwendet werden, liegt bei über 50 Prozent.

        In Zukunft werden Data-Mining und Scoring noch weiter zunehmen.
        Daten sind das Gold des 21. Jahrhunderts.

        Wenn du gläsern, nackt und fremdbestimmt sein willst, tu es.

        Ich bin lieber frei, selbstbestimmt und schütze meine Privatsphäre.

      2. Zahle auch lieber mit Bargeld (wenn möglich), aber Karte hat schon was.

        Überfallen und ausgeraubt sieht man in Deutschland zwar weniger, aber ich kenne genug Leute, die ihr Portemonnaie schon mehr als einmal verloren oder geklaut bekommen haben. Je mehr Bargeld dann dadrin gewesen ist, desto ärgerlicher.

        Bei teuren Einkäufen ist eine Karte zudem einfach unglaublich praktisch, wer hat schon ein gutes Gefühl, wenn er mit viel Geld in der Tasche unterwegs ist (auch wenns selten vorkommen mag) .
        Außerdem zahlt es sich im Internet so schlecht mit Bargeld ;-)

  2. Ach, Du meine Fresse! :-(
    Vielen Dank für die Sendung und der gelungenen Zusammenarbeit zwischen Uni, Jornalisten und Sicherheitsfirmen.

    Was tun? Wenn ich meine VISA CARD auf zweihundert Euro begrenze für eine Barabhebung (wie eine Kindersicherung um z.B NICHT im Suff Geld abzuheben;) und sonst mit der einfachen Aussage fahre: Bargeld lacht. Ist das eine Idee oder völlig am Thema vorbei?

  3. Am schlimmsten bei solchen Meldungen finde ich ja immer, dass die Hersteller es so früh wissen und trotzdem erst so spät (und nur unter öffentlichem Druck) reagieren.

    Ist natürlich nichts neues, aber erschreckt mich immer wieder…

    1. [MARKED AS SPAM BY ANTISPAM BEE | Honey Pot]
      Wer oft sein Portemonnaie verliert, sollte sich eher Gedanken über Grundsätzliches machen. Ordnung, Gründlichkeit, Ruhe, Übersicht über die eigenen Dinge.

      Wer oft sein Portemonnaie geklaut bekommt, läuft entweder den ganzen Tag mit offener Hose über den Weihnachtsmarkt oder wohnt in Ghettos mit offener Straßenkriminalität.

      Das persönliche Risiko in beiden Fällen lässt sich durch persönliches Verhalten signifikant reduzieren.

      Praktischer Tip für dich (und andere):

      A)
      Für alltägliche Einkäufe maximal 50 € Bargeld bei dir tragen.
      Portemonnaie in Innentasche von Jacke oder Mantel oder bei Sommerhitze die Scheine (und ein paar große Münzen) in die (enge) Hosentasche stecken.

      B)
      Für größere und teurere Einkäufe unmittelbar vorher den entsprechenden Geldbetrag in bar am Geldautomaten oder am Bankschalter abheben und sofort und schnell zum Geschäft gehen oder fahren. Im abgeschlossenem Auto fährt es sich natürlich noch sicherer.

      C)
      Die meisten Waren bekommst du heutzutage nach wie vor auch in physischen Läden. Also kaufe möglichst alles OFFline in bar.

      Vergiss nicht, dass der „Komfortgewinn“ des „bequemen“ und „praktischen“ bargeldlosen Bezahlens seinen Preis hat:
      den Verlust von Anonymität und Privatsphäre.
      Jeder muss selbst entscheiden, ob es einem das wert ist.

      Noch können und dürfen wir bar bezahlen.
      Nutzen wir diese Freiheit, solange es geht.

  4. Wer oft sein Portemonnaie verliert, sollte sich eher Gedanken über Grundsätzliches machen. Ordnung, Gründlichkeit, Ruhe, Übersicht über die eigenen Dinge.

    Wer oft sein Portemonnaie geklaut bekommt, läuft entweder den ganzen Tag mit offener Hose über den Weihnachtsmarkt oder wohnt in Ghettos mit offener Straßenkriminalität.

    Das persönliche Risiko in beiden Fällen lässt sich durch persönliches Verhalten signifikant reduzieren.

    Praktischer Tip für dich (und andere):

    A)
    Für alltägliche Einkäufe maximal 50 € Bargeld bei dir tragen.
    Portemonnaie in Innentasche von Jacke oder Mantel oder bei Sommerhitze die Scheine (und ein paar große Münzen) in die (enge) Hosentasche stecken.

    B)
    Für größere und teurere Einkäufe unmittelbar vorher den entsprechenden Geldbetrag in bar am Geldautomaten oder am Bankschalter abheben und sofort und schnell zum Geschäft gehen oder fahren. Im abgeschlossenem Auto fährt es sich natürlich noch sicherer.

    C)
    Die meisten Waren bekommst du heutzutage nach wie vor auch in physischen Läden. Also kaufe möglichst alles OFFline in bar.

    Vergiss nicht, dass der „Komfortgewinn“ des „bequemen“ und „praktischen“ bargeldlosen Bezahlens seinen Preis hat:
    den Verlust von Anonymität und Privatsphäre.
    Jeder muss selbst entscheiden, ob es einem das wert ist.

    Noch können und dürfen wir bar bezahlen.
    Nutzen wir diese Freiheit, solange es geht.

    1. Das ganze steht und fällt doch mit der Verhältnismäßigkeit und die muss nunmal jeder für sich selbst finden.

      Wenn du Lust hast bei jedem Einkauf extra vorher zur Bank zu gehen, dann kannst du das doch gerne tuen. Ich mache es manchmal, manchmal nicht. Warum nicht immer? Weil mir Bequemlichkeit manchmal wichtiger ist, als die „Gefahr“, dass die Welt etwas über die Schuhe und die Packung Wurst erfährt, die ich mir gekauft habe. Weil ich nicht immer vorher planen möchte, wie teuer der Einkauf werden könnte, um dann den passenden Betrag vorher abzuheben. Weil ich finde, man kann es mit dem Wunsch nach Anonymität auch übertreiben.

      Es gibt Leute, die bezahlen alles mit Karte, posten ihr Leben auf Facebook und lassen Google ihre eMails lesen.
      Und es gibt Leute, die planen ihr Leben bis ins letzte Detail um die Frage herum, wie verhindert man (um jeden Preis), dass Firmen und/oder die Öffentlichkeit auch nur die kleinste Info über sie und ihr Leben erhalten.
      Ich stehe irgendwo dazwischen und bin damit eigentlich ganz zufrieden ;-)

      1. @ justme2h

        Solange jeder noch so bezahlen kann, wie man will, sind die Dinge auch noch einigermaßen im Lot.
        Der eine bezahlt alles mit Karte; der andere so wie du mal so, mal so; und wieder andere zahlen alles bar.
        Das ist echte Handlungsfreiheit.

        Zu befürchten ist leider, dass zukünftig jeder gezwungen wird, bargeldlos und nicht-anonym zu bezahlen.
        Mit jeder Kartenzahlung, die du heute tätigst, leistest du der Bargeldabschaffung von morgen Vorschub.
        Analog leistest du mit jeder Bargeldzahlung passiven Widerstand. Je mehr Leute bar bezahlen, desto schwerer kann man es abschaffen.
        Das ist das berühmte „Abstimmen mit den Füßen“.

        Das Bargeld ist ein letzter Hort von Freiheit und Unüberwachtheit. Das ist vielen Interessierten ein Dorn im Auge.
        In Europa gibt es bereits handfeste Regelungen und konkrete Bestrebungen, die Bargeldnutzung einzuschränken und mittelfristig Bargeld komplett abzuschaffen.

        Da oben in den comments hatte jemand einen interessanten Link:
        https://www.awxcnx.de/gedanken-bargeld.htm

        Und du kannst sehr genau erkennen, dass es bei der Verdrängung des Bargelds nicht um vorgeschobene Gründe wie Finanzkrise, Aufwands- und Kostensenkung oder Kriminalitätsbekämpfung geht, sondern um Überwachung und Kontrolle unbescholtener und manchmal auch zu kritischer unliebsamer Bürger.

        Sonst gäbe es bargeldlose, personen-UN-gebundene anonyme Geldkarten, die man bis z.B. 5000 € (andere geringere Limits individuell einstellbar) mit Bargeld aufladen kann (an Automaten, bei Banken).
        Das wäre auch ähnlich anonym und datensparsam wie heute Bargeld.
        Warum gibt es das nicht? Oder warum wird das nicht eingeführt?
        Richtig, mit anonymen Geldkarten kann man weder überwachen und kontrollieren noch Data-Mining und Scoring betreiben.

        Bleibt wachsam! Denkt perspektivisch!

      2. @Daniel:
        Richtig, solange jeder die Handlungsfreiheit hat ist alles ok, finde ich auch. Sollte man in Zukunft diese Freiheit nicht mehr haben, gehts auf jeden Fall in die falsche Richtung (ums mal höflich auszudrücken).

        Was mich stört ist diese Radikalität (in beide Richtungen), denn sie ergibt in dem Zusammenhang überhaupt keinen Sinn für mich.

        Damit ich morgen immer noch die Handlungsfreiheit habe, soll ich heute freiwillig darauf verzichten, indem ich auf die Karte verzichte?
        Es geht doch grade darum, dass man beides(!) nutzen kann und nutzen möchte, sowohl heute als auch morgen.
        Freiwillig auf eins zu verzichten, damit man nicht gezwungen wird auf eins zu verzichten…wo ist denn da der Sinn?! ;-)

      3. @justme2h

        Die Zukunft der Bargeldverdrängung ist in vielen Ländern Europas um uns herum ganz konkret längst Realität. Es nicht eine Frage des Ob, nur das Wann steht hierzulande noch nicht fest – wenn wir nichts unternehmen. Die fertigen Pläne liegen wahrscheinlich schon im Giftschrank bereit. Nur ein passender Vorwand fehlt noch.

        Dein Verhalten von heute hat Auswirkungen auf die Zukunft. Je mehr Einzelne sich für eine bestimmte Handlung entscheiden, umso größer sind die Konsequenzen des Massenverhaltens, umso schwerer wird also auch die Abschaffung eines von Millionen tagtäglich genutzten Zahlungsmittels.

        Manchmal ist ein gewisses Maß an Radikalität und Entschlossenheit notwendig, um bestimmten (negativen) Entwicklungen entgegen zu wirken.
        Widerstand ist oft ein einfaches, aber effektives Mittel.

  5. In Italien sollen bereits Zahlungen über 1000€ generell über Karte getätigt werden.
    Auch da sieht man wieder was die Zukunft noch alles bringen wird…:-(

    1. In Italien kriegen die im Supermarkt ja schon einen Schreck, wenn du einen 50-Euro-Schein herausziehst. Dann holen die den Chef von hinten, um zu fragen, was sie machen sollen.

      1. Die Zukunft ist längst Realität:

        Italien: max. 1000 € Bargeldzahlung erlaubt
        Griechenland: max. 1500 € Bargeldzahlung erlaubt
        Spanien: max. 2500 € Bargeldzahlung erlaubt
        Schweden: konkrete Pläne, Bargeld komplett abzuschaffen
        Frankreich: max. 2000 € Bargeldabhebung bei Banken ohne Voranmeldung
        (Beleg: https://www.awxcnx.de/gedanken-bargeld.htm)

        In vielen Ländern wird man zudem (mindestens) schief angeschaut, wenn man im Supermarkt oder in anderen Geschäften mehr als einen Kaugummi mit Bargeld bezahlen will.
        Das ist meines Wissens nach in Frankreich, Skandinavien und USA schon lange so.
        Weltweit wird das nicht-anonyme Plastikgeld also massiv gepusht.

      2. @bogomil :

        In Italien? Ist Italien nicht eines der Länder in Europa, wo das Bargeld noch einen sehr großen Stellenwert hat? Noch mehr als in Deutschland.
        Da haben viele sogar kein Girokonto.

        In Frankreich soll es sehr schlimm sein mit diesem Generalverdacht gegenüber Barzahlern, ähnlich wie in den USA und Skandinavien.

        (In den USA gelten Barzahler als potentielle Terroristen!)

      3. Diese Überwachungsparanoia ist wirklich lächerlich.

        Bald wird man noch als potentieller schwerstkrimineller Terrorist verhaftet, weil man im Elektromarkt die 500 Euro Waschmaschine bar bezahlen wollte.
        Absurd! Geldwäsche mit 500 Euro Waschmaschinen! Das ist die neuste Masche!

      4. Na, das liegt vemutlich daran, dass „Blüten“ auch keine Seltenheit sind.

        Aber ganz ehrlich, dank Seiten wie FB und Datenfreigaben- und Verkäufen sowie nach Forderungen Personalausweiskopien übers Internet vorzulegen wird es doch immer leichter Missbrauch durchzuführen.

        Aber danke Monitor und netzpolitik org….jetzt habe ich endlich mal meine GEZ-Zahlungen angewendet.

      5. @ o. A.

        Na ja, Falschgeld ist heutzutage kaum noch im Umlauf. Die originalen Banknoten sind derart gut hergestellt, dass die falschen Noten meistens mit dem bloßen Auge erkennbar sind.

        Außerdem sagt ja keiner, dass man die Waschmaschine mit einem 500er Schein bezahlen muss. Mehrere 100er und 50er sind auch gut.

        Das ist ähnlich wie beim neuen elektronischen Personalausweis. Da war auch ein Pro-Argument die höhere Fälschungssicherheit gegenüber dem alten Ausweis.
        Der alte Personalausweis war aber schon einer der fälschungssichersten der Welt.

      6. In Italien musste ich gerade bei der Raiffeisen-Bank eine Anti-Geldwäsche, Anti-Terrorismus Vertrag unterschreiben. Damit wird der Bank erlaubt genauere Daten über meine Kontobewegung an Staatliche Behörden weiterzuleiten.

      7. @Fritz: Das mag ich bezweifeln, aber schön wenn es so wäre.
        Aber ich denke, dass Thema gehört dem LKA oder BKA.

  6. Hinsichtlich des „Hacks“ in dem Fernsehbeitrag frage ich mich aber auch, ob es nicht wieder so ein Publicity-Hack ist, der in Realität nur funktioniert, wenn Weihnachten und Ostern mal zusammen fällt. Denn wie genau der „Virus“ auf das Gerät kommen soll, wurde ja nicht beschrieben. Man wird ja wohl nicht einfach einen ftp-upload auf das Gerät im Internet machen können – oder?

    1. Der einfachste Weg wäre doch über die Mitarbeiter. Also sei immer schön nett zu den Kassierinnen. Die können auch anders ;)

      1. Huch, an dieser Stelle…die könnten ruhig mal mehr Geld bekommen. Sieht man ja nun welche Verantwortung diese Menschen übernehmen. Und dennoch betreiben sie keinen Missbrauch, obwohl sie es könnten. Statt dessen werden sie finanziell kurz gehalten, müssen sich überwachen lassen und werden dann oftmals von den Kunden wie der Dreck behandelt.

      2. Ein Grund mehr, nur noch (oder überwiegend) bar zu zahlen.

        Automatische bargeldlose Kassen (wie bei IKEA) kommen ohne Personal aus. Da braucht man für vier Kassen nur eine Hilfsperson, wenn die Leute nicht klarkommen.
        Das steckt übrigens bei dieser ganzen Bargeldabschaffungsagenda auch noch dahinter. Man will Kosten senken, Personal einsparen, alles rationalisieren, optimieren, effektivieren. BWL halt.

      3. @Fritz: Eine Maschine bedient sich nicht von selbst. Das macht immernoch der Mensch. Hast ja selbst geschrieben „…Da braucht man für vier Kassen nur eine Hilfsperson“.

        @anja: Vielleicht länger als Du denkst.
        Ich habe jetzt nur mal schnell einen Artikel von 01/2011rausgesucht, der sich mit 2010 beschäftigt. Kannst ja nach Bedarf mal selbst weiter schauen. http://www.derwesten.de/wirtschaft/bka-fordert-ec-karten-ohne-magnetstreifen-id4120509.html
        Aber was hast Du denn für ein Bild von Personen aus dieser Berufsgruppe. Überleg mal wie viele Läden Aushilfen beschäftigen, wie viel Studenten sich mit einem Kassenjob Geld für Ihr Studium verdienen. Und selbst wenn es eine hauptberufliche Kassierin ist…auch die hat Freunde. Sie muss im Notfall nur als Zugang fungieren.

      4. @anja: jetzt das Beste auf http://www.pfiffige-senioren.de/ (phantastische Seite, wobei ich mich frage wieviele Senoiren die besuchen)

        „Auslesen des Magnetstreifens nicht strafbar

        Der 4. Strafsenat des Bundesgerichtshofes hat mit Beschluss vom 18.03.10 festgestellt, dass das bloße Auslesen von auf dem Magnetstreifen von Bankkarten gespeicherten Daten zur Herstellung von Dubletten nicht nach § 202a StGB strafbar ist (Az.: 4 StR 555/09).Grund: Die Daten auf dem Magnetstreifen seien nicht besonders gesichert.“
        (Quelle: http://www.pfiffige-senioren.de/geldautomat.htm#aus)

  7. Wer alles bei einer EC-Kartenzahlung involviert ist:

    Kunde
    Bank des Kunden
    Händler
    Bank des Händlers
    Kartenzahlungsdienstleister (easycash, TeleCash, InterCard)
    Transaktionsbank (zw. Kundenbank und Händlerbank)

    => 5 Instanzen speichern, verarbeiten und übermitteln die persönlichen Daten bei einer bargeldlosen Kartenzahlung!

  8. [MARKED AS SPAM BY ANTISPAM BEE | Honey Pot]
    @ o. A.

    Na ja, Falschgeld ist heutzutage kaum noch im Umlauf. Die originalen Banknoten sind derart gut hergestellt, dass die falschen Noten meistens mit dem bloßen Auge erkennbar sind.

    Das ist ähnlich wie beim neuen elektronischen Personalausweis. Da war auch ein Pro-Argument die höhere Fälschungssicherheit gegenüber dem alten Ausweis.
    Der alte Personalausweis war aber schon einer der fälschungssichersten der Welt.

  9. @ mark :
    „In Italien musste ich gerade bei der Raiffeisen-Bank eine Anti-Geldwäsche, Anti-Terrorismus Vertrag unterschreiben. Damit wird der Bank erlaubt genauere Daten über meine Kontobewegung an Staatliche Behörden weiterzuleiten.“

    Was ist denn in Italien los?
    (Gut, eigentlich bekannt, was da alles schief läuft…)

    So weit ist es da also schon?
    Du musst als normaler unbescholtener Bürger in Italien „freiwillig“ bei Kontoeröffnung einwilligen, dass staatliche Behörden deine Kontobewegungen (!) einsehen dürfen?
    Ohne Grund oder Anlass? Ohne konkreten Verdacht?
    Die spinnen die Römer!

    Hier in Deutschland dürfen Behörden unter bestimmten Voraussetzungen „nur“ die Kontostammdaten abrufen (Wer hat wo welche Konten).

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.