Einen alten Kassenbeleg, ein bei Ebay ersteigertes EC-Kartenterminal und ein Laptop – mehr bräuchten Fabian Bräunlein und Philipp Maier nicht, um sich zu bereichern. Damit könnten die Forscher der Berliner Firma Security Research Labs jedes handelsübliche EC-Terminal, das in einem Laden in Deutschland oder anderen europäischen Ländern steht, aus der Ferne klonen und dafür nutzen, sich selbst Geld gutzuschreiben.

Es ist bereits das zweite Mal, dass SRLabs gefährliche Schwachstellen im so wichtigen Electronic-Cash-System entdeckt hat. Das erste Mal war vor drei Jahren. Damals fand der SRLabs-Forscher Thomas Roth einen Weg, EC-Karten zu klonen. Damit hätte er im Ausland das Geld anderer Menschen abheben können. Dieses Mal wären die Geschädigten eher Händler, Banken und Mobilfunkanbieter.

Drei Monate Arbeit haben Bräunlein, Maier und ihr Kollege Sebastian Götte in ihr Projekt gesteckt. Am 27. Dezember werden sie es auf dem 32. Chaos Communication Congress (32C3) in Hamburg präsentieren. Dem Rechercheverbund von Süddeutsche Zeitung, WDR und NDR, heise online, der Nachrichtenagentur Reuters, der US-Seite Motherboard Vice und ZEIT ONLINE haben sie vorab demonstriert, dass und wie ihr Angriff funktioniert.

Drei Informationen brauchen die Angreifer

Schritt eins ist die Übernahme eines fremden Terminals. Dazu müssen die Forscher ihr Büro in Berlin Mitte nicht verlassen. "Jedes Terminal hat eine eindeutige Identifikationsnummer", sagt Maier. "Sie steht auf jedem Beleg, den das Terminal ausdruckt." Wer also noch einen Kassenzettel aus irgendeinem Geschäft hat, in dem er mit seiner Girocard bezahlt hat, wie die EC-Karte heute offiziell heißt, der hat auch die ID des Terminals.

So eine ID kann man in jedes beliebige Terminal eingeben und so vorgaukeln, dieses Terminal zu sein. Genau das machen die Sicherheitsforscher. Die sogenannten POS-Terminals lassen sich mieten, das kostet ein paar Euro im Monat. Die Berliner haben sich einfach gebrauchte Stücke gekauft – "drei Terminals für insgesamt sieben Euro auf Ebay, inklusive Versandkosten", sagt Bräunlein – und benutzen diese nun für ihre Vorführung.

Damit der Hack funktioniert, brauchen sie noch ein Service-Passwort. Das sollte eigentlich nur der Anbieter kennen, der das Gerät wartet. Doch an diese Passwörter zu kommen, ist nicht so schwer, wie es sein sollte, sagt Maier. Das Passwort eines großen Anbieters sei mal geleakt worden, als jemand eine Anleitung für Servicetechniker im Internet veröffentlicht hat. Es lasse sich aber auch aus dem Gerät auslesen. Zumindest beim Terminal des Herstellers Artema, das sich die Forscher besorgt haben, sei es "überhaupt kein Problem".

Das Problem ist ein Protokoll aus den neunziger Jahren

Die Anbieter machen es Angreifern leicht. Das Passwort funktioniert nämlich auf allen Terminals eines Netzbetreibers, der den Bezahlvorgang zwischen Händler und Bank abwickelt. Diese Bezahlnetzbetreiber vermieten, konfigurieren und warten in der Regel auch die Terminals.

Schließlich brauchen die Sicherheitsforscher noch eine dritte und letzte Information: die vom Betreiber voreingestellte Port-Nummer des zu klonenden Terminals, über die es sich mit dem Netzbetreiber verbindet. An die gelangen sie über einen Diagnosebefehl, den sie an alle Ports schicken. "99 von 100 antworten sinngemäß 'Ich kenn dich nicht', aber ein Port antwortet mit dem Händlerlogo", sagt Bräunlein.

Wurde dem Angreifer-Terminal nun die Identifikationsnummer eines anderen Terminals verpasst, lädt es automatisch alle benötigten Konfigurationsdaten nach. Anschließend lässt es sich so benutzen, als seien die Angreifer in dem Laden, den sie ausnehmen wollen.

Möglich macht all das jenes Datenprotokoll, mit dessen Hilfe "90 Prozent der Terminals in Deutschland mit den Banken kommunizieren", wie Bräunlein sagt. Es heißt Poseidon und wurde in den neunziger Jahren entwickelt. Seine Spezifikationen sind weitgehend unbekannt. Klar ist nur: Dieser Übertragungsweg wurde offenbar nie modernisiert.

Haben die Angreifer erst einmal ein Terminal gekapert, kommen sie über einen kleinen Umweg ans Geld. Am schnellsten geht es über eine Gutschrift: Die Forscher tun so, als ob sie einen Artikel, den sie gekauft haben, zurückgeben wollen. Maier wählt dazu an seinem Terminal die entsprechende Funktion aus und sucht sich aus, wie viel Geld er auf sein Konto überweisen will. Anschließend bucht das Terminal die Gutschrift und zieht die entsprechende Summe vom Konto des Ladeninhabers ab. Das hinterlässt zwar Spuren, doch echte Kriminelle kennen Wege und Mittel, um Geld zu waschen und Zahlungsflüsse zu verschleiern.

Die Branche wiegelt ab und weicht aus

Der Angriff ließe sich selbstverständlich verhindern. Wenn in jedem Geschäft genau überprüft würde, ob allen Gutschriften, die ein Terminal vorgenommen hat, überhaupt ein entsprechender Zahlungseingang vorausgegangen ist, wäre der Hack nicht möglich. Doch nach den Erkenntnissen der Sicherheitsforscher findet diese Prüfung längst nicht überall und erst recht nicht so genau statt.

Alternativ können sich die Angreifer aber auch Prepaid-Guthaben für ihr Handy zuschustern. Wie das eigentlich abläuft, beschreibt zum Beispiel die Telekom hier unter "Aufladen am Aufladeterminal". Viel mehr, als den Provider auszuwählen und auf dem Terminal zu bestätigen, dass Sie 15 Euro in bar bezahlt haben, muss man nicht tun. Das Gerät druckt einen Beleg aus, auf dem die Nummer des Prepaid-Guthabens in Höhe von 15 Euro steht. Damit könnten die Täter zum Beispiel einen eigenen Premium-SMS-Dienst oder eine kostenpflichtige Telefonnummer nutzen, die sie selbst kontrollieren – und so das Geld letztlich aufs eigene Konto schaffen.

Ein kleiner Vorsprung vor Kriminellen

Der Klon-Angriff ist nur eines von mehreren Szenarien, die Bräunlein und seine Kollegen entwickelt haben. Die anderen sind risikoreicher für die Täter oder eher auf die gezielte Störung von Terminals ausgerichtet als auf Betrug zur eigenen Bereicherung. Doch sie alle zeigen, dass die Technik des elektronischen Bezahlsystems nicht mehr sicher ist. Unter anderem ist es den Berlinern – auf anderem Wege als 2012 – gelungen, PIN und Magnetstreifenkarten von EC-Karten auszulesen, um diese nachzumachen.

Karsten Nohl, Leiter der SRLabs, sagt: "Händler geben einem Terminal im Grunde Zugriff auf ihr Konto. Es darf Geld darauf buchen, dafür ist es gedacht, es darf aber auch Geld abbuchen. Nur ist dieses Gerät komplett unsicher. Und nicht nur dieses Gerät, sondern auch die Hintergrundsysteme, mit denen die Terminals verwaltet werden: Jeder kann so tun, als ob er jedes andere Gerät wäre und dann auf die Konten der entsprechenden Händler zugreifen."

Nohl und sein Team haben die Deutsche Kreditwirtschaft (DK) über ihre Erkenntnisse informiert, weil die für das Gesamtsystem Girocard verantwortlich ist. Der Zusammenschluss der deutschen Bankenverbände habe dann die Hersteller der Terminals und die Bezahlnetzbetreiber mit ins Boot geholt.

Auf Anfrage von ZEIT ONLINE weicht die DK aus. In ihrer Stellungnahme heißt es, beim 32C3 sollten "Angriffsszenarien auf Kartenzahlungsterminals vorgestellt werden, die unter Laborbedingungen, d.h. theoretisch, möglich sind. Die DK hat diese Angriffe geprüft." Schäden zu Lasten von Karteninhabern seien "ausgeschlossen", weil die Forscher nur die Magnetstreifentechnik der Karten angegriffen hätten, während das Girocard-System "seit 2012 vollständig auf Chip und PIN" basiere. Auf die möglichen Schäden für Händler und Mobilfunkbetreiber geht die DK aber nicht ein.

Nohl ist sich sicher, der Branche einen Gefallen getan zu haben: "Wir würden das nicht jetzt veröffentlichen, wenn wir nicht denken würden, dass Kriminelle bald solche Methoden einsetzen". Skimming – das Angreifen von Kreditkarten- oder EC-Kartendaten – sei zum Beispiel in Deutschland kaum noch möglich. Dementsprechend müssten sich Betrüger "immer kleinere Ecken" suchen. "Und wenn die klein genug sind, und danach sieht es im Moment aus, werden Kriminelle kreativ und suchen sich neue Methoden."

Dass Bezahlterminals ein lohnendes Ziel sein könnten, wisse man nun seit drei Jahren, auch durch die Arbeit anderer Forscher. "Die Bezahlprotokolle waren nur der nächste logische Schritt, sowohl für Forscher als auch für Kriminelle. Wir haben uns jetzt vielleicht ein paar Monate Vorsprung geschaffen, die die Industrie für ein Update nutzen könnte."