Einen alten Kassenbeleg, ein bei Ebay ersteigertes EC-Kartenterminal und ein Laptop – mehr bräuchten Fabian Bräunlein und Philipp Maier nicht, um sich zu bereichern. Damit könnten die Forscher der Berliner Firma Security Research Labs jedes handelsübliche EC-Terminal, das in einem Laden in Deutschland oder anderen europäischen Ländern steht, aus der Ferne klonen und dafür nutzen, sich selbst Geld gutzuschreiben.

Es ist bereits das zweite Mal, dass SRLabs gefährliche Schwachstellen im so wichtigen Electronic-Cash-System entdeckt hat. Das erste Mal war vor drei Jahren. Damals fand der SRLabs-Forscher Thomas Roth einen Weg, EC-Karten zu klonen. Damit hätte er im Ausland das Geld anderer Menschen abheben können. Dieses Mal wären die Geschädigten eher Händler, Banken und Mobilfunkanbieter.

Drei Monate Arbeit haben Bräunlein, Maier und ihr Kollege Sebastian Götte in ihr Projekt gesteckt. Am 27. Dezember werden sie es auf dem 32. Chaos Communication Congress (32C3) in Hamburg präsentieren. Dem Rechercheverbund von Süddeutsche Zeitung, WDR und NDR, heise online, der Nachrichtenagentur Reuters, der US-Seite Motherboard Vice und ZEIT ONLINE haben sie vorab demonstriert, dass und wie ihr Angriff funktioniert.

Drei Informationen brauchen die Angreifer

Schritt eins ist die Übernahme eines fremden Terminals. Dazu müssen die Forscher ihr Büro in Berlin Mitte nicht verlassen. "Jedes Terminal hat eine eindeutige Identifikationsnummer", sagt Maier. "Sie steht auf jedem Beleg, den das Terminal ausdruckt." Wer also noch einen Kassenzettel aus irgendeinem Geschäft hat, in dem er mit seiner Girocard bezahlt hat, wie die EC-Karte heute offiziell heißt, der hat auch die ID des Terminals.

So eine ID kann man in jedes beliebige Terminal eingeben und so vorgaukeln, dieses Terminal zu sein. Genau das machen die Sicherheitsforscher. Die sogenannten POS-Terminals lassen sich mieten, das kostet ein paar Euro im Monat. Die Berliner haben sich einfach gebrauchte Stücke gekauft – "drei Terminals für insgesamt sieben Euro auf Ebay, inklusive Versandkosten", sagt Bräunlein – und benutzen diese nun für ihre Vorführung.

Damit der Hack funktioniert, brauchen sie noch ein Service-Passwort. Das sollte eigentlich nur der Anbieter kennen, der das Gerät wartet. Doch an diese Passwörter zu kommen, ist nicht so schwer, wie es sein sollte, sagt Maier. Das Passwort eines großen Anbieters sei mal geleakt worden, als jemand eine Anleitung für Servicetechniker im Internet veröffentlicht hat. Es lasse sich aber auch aus dem Gerät auslesen. Zumindest beim Terminal des Herstellers Artema, das sich die Forscher besorgt haben, sei es "überhaupt kein Problem".

Das Problem ist ein Protokoll aus den neunziger Jahren

Die Anbieter machen es Angreifern leicht. Das Passwort funktioniert nämlich auf allen Terminals eines Netzbetreibers, der den Bezahlvorgang zwischen Händler und Bank abwickelt. Diese Bezahlnetzbetreiber vermieten, konfigurieren und warten in der Regel auch die Terminals.

Schließlich brauchen die Sicherheitsforscher noch eine dritte und letzte Information: die vom Betreiber voreingestellte Port-Nummer des zu klonenden Terminals, über die es sich mit dem Netzbetreiber verbindet. An die gelangen sie über einen Diagnosebefehl, den sie an alle Ports schicken. "99 von 100 antworten sinngemäß 'Ich kenn dich nicht', aber ein Port antwortet mit dem Händlerlogo", sagt Bräunlein.

Wurde dem Angreifer-Terminal nun die Identifikationsnummer eines anderen Terminals verpasst, lädt es automatisch alle benötigten Konfigurationsdaten nach. Anschließend lässt es sich so benutzen, als seien die Angreifer in dem Laden, den sie ausnehmen wollen.

Möglich macht all das jenes Datenprotokoll, mit dessen Hilfe "90 Prozent der Terminals in Deutschland mit den Banken kommunizieren", wie Bräunlein sagt. Es heißt Poseidon und wurde in den neunziger Jahren entwickelt. Seine Spezifikationen sind weitgehend unbekannt. Klar ist nur: Dieser Übertragungsweg wurde offenbar nie modernisiert.

Haben die Angreifer erst einmal ein Terminal gekapert, kommen sie über einen kleinen Umweg ans Geld. Am schnellsten geht es über eine Gutschrift: Die Forscher tun so, als ob sie einen Artikel, den sie gekauft haben, zurückgeben wollen. Maier wählt dazu an seinem Terminal die entsprechende Funktion aus und sucht sich aus, wie viel Geld er auf sein Konto überweisen will. Anschließend bucht das Terminal die Gutschrift und zieht die entsprechende Summe vom Konto des Ladeninhabers ab. Das hinterlässt zwar Spuren, doch echte Kriminelle kennen Wege und Mittel, um Geld zu waschen und Zahlungsflüsse zu verschleiern.