Schwachstelle Supermarkt oder warum speichern Einzelhändler PINs?

Bislang war ich der Meinung, daß PINs nur bei Banken in Hochsicherheitsrechenzentren mit spezieller Hardware gespeichert werden. Mit dem Hack bei TARGET hat sich dieses Bild substantiell geändert, denn offensichtlich wurden die PINs, wenn auch verschlüsselt, bei TARGET gespeichert. Sollte das gängige Praxis sein, dann gibt es eine Vielzahl von Einfallsmöglichkeiten für Hacker um an Kreditkartennummern und PINs zu kommen, da diese Rechenzentren mit hoher Wahrscheinlichkeit schlechter gesichert sind als die der Banken.

Und es stellt sich die Frage warum Einzelhändler / Supermärkte überhaupt PINs speichern. Angeblich werden doch die PINs / PVVs nur im Rechenzentrum der Kartendienstleister bzw. Banken gespeichert und direkt abgeglichen. Oder ist das eventuell doch nicht der Fall und die PINs werden systematisch auch dezentral gespeichert? Und vielleicht auch in Geldautomaten?

Es stellen sich wiedereinmal Fragen, die massive Zweifel an der Sicherheit der Kartensysteme aufkommen lassen und die bei der Rechtsprechung hinterfragt und berücksichtigt werden müssen.

 

Nachtrag am 26.1.2014: Bei einem weiteren US-Einzelhändler (Neimann Marcus) wurden Kreditkartendaten gestohlen, allerdings KEINE PINs, da zum Glück KEINE Bezahlterminals mit PIN-Verfahren eingesetzt werden. Die eingesetzte Schadsoftware war die gleiche wie bei TARGET. Mehr Infos zu dem Einbruch bei Neimann Marcus gibt´s hier: http://www.heise.de/newsticker/meldung/2400-Kartenmissbrauchsfaelle-nach-Hacker-Angriff-auf-US-Haendler-2097458.html

 

Nachtrag am 19.9.2014: Auch die größte US Baumarkte Home Depot fiel einem / dem Hackerangriff zum Opfer. Offensichtlich wurden auch hier die Zahlungsterminals gehackt. Home Depot stellt nun bis Anfang 2015 auf das „Chip & PIN“ Verfahren um. Damit können Karten nicht mehr so leicht kopiert, wie das bei der immernoch sehr häufig in den USA verwendeten Magnetstreifentechnologie der Fall ist.

2 Kommentare

  1. am Wochenende bezahlte ich eine Tankfüllung an einem Automaten ohne dass wie üblich die PIN eingegeben werden musste. Der Betrag ist meinem Kartenkonto mittlerweile belastet worden.
    Der normale Vorgang: Einschieben der Kreditkarte, Säulen Nr. eingeben und dann die PIN, daraufhin erfolgt die Freigabe. Diesmal wurde die PIN Eingabe übersprungen. Da ich häufig den Automaten nutze, wird wohl die PIN im System gespeichert sein.
    Nicht gut.

  2. Das Verhalten des Automaten ist in der Tat etwas seltsam und ich würde auch erwarten, daß eine PIN-Eingabe erforderlich ist. Andererseits gibt es auch Automaten, wie z.B. die Parkscheinautomaten am Münchner Flughafen, bei denen man auch nur die Kreditkarte eingeben muss und damit direkt die Bezahlung erfolgt, ohne daß die PIN eingegeben werden muss.

    Nach meiner Einschätzung könnte es sich bei dem Tankautomaten vielleicht um etwas Vergleichbares handeln. Mussten Sie den früher an genau diesem Automaten Ihre PIN eingeben? Hat sich irgendetwas an dem Gerät geändert?

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.