Smartcarddatenentwendung: Grundsätzliches zum Umgang mit Daten

[kikakater]

4 Millionen Kreditkarten-Datensätze bei US-Lebensmittelhändler geklaut

Zitat:

Die US-Lebensmittelkette Hannaford Bros. hat sich zwischen dem 7. Dezember 2007 und dem 10. März dieses Jahres rund 4 Millionen Kreditkartennummern klauen lassen. US-amerikanischen Medienberichten zufolge installierten die kriminellen Drahtzieher hinter dem Datendiebstahl Spionageprogramme auf den Servern des Unternehmens in der Region New England sowie in den US-Bundesstaaten New York und Florida.

Anzeige

Die Schadsoftware soll die Kreditkartendaten abgegriffen haben, wenn Bezahldaten von den Point-of-Sale-Geräten in den Filialen des Unternehmens an die Server zur Autorisierung der Transaktion übertragen wurden. Die gestohlenen Kreditkartennnummern und die zugehörigen Ablaufdaten wurden anschließend an Server in Übersee transferiert.
Nach der Entdeckung des Einbruchs soll der Lebensmitelhändler den Großteil der Server ausgetauscht haben. Mit Hilfe des US-Geheimdienstes und von IT-Sicherheitsunternehmen habe das Unternehmen die betroffenen Server identifiziert, ausgetauscht und weiterhin sichergestellt, dass die Schädlinge auf keinem System im Unternehmen verblieben.
Hannaford Bros. wurde Ende Februar des vergangenen Jahres als zum Payment Card Industry Data Security Standard (PCI-DSS) konform zertifiziert – der Standard soll eigentlich die Datensicherheit bei Finanztransaktionen mit einem Unternehmen attestieren. Er schreibt etwa die verschlüsselte Übertragung der Transaktionsdaten vor. Ungewöhnlich ist auch die Methode der Datendiebe: Bislang wurden bei derartigen Vorfällen Kreditkartendaten aus einer Datenbank kopiert. Bei diesem Angriff haben die Diebe jedoch die Daten bei der Übertragung zwischen den Systemen abgegriffen.
Wie die Schadsoftware auf die Server gelangen konnte, ist bislang unklar. Spekulationen über eine ungepatchte Sicherleitslücke in der Serversoftware, eine zu freizügige Firewallkonfiguration oder das Versagen von Antivirensoftware schießen ins Kraut. Aber auch das Aufspielen der Schadsoftware durch einen Insider schließen einige Sicherheitsexperten nicht aus.

Die Entwendungen von Kreditkartendaten oder Bürgerkartendaten etc. zeigt ein grundsätzliches Problem auf. Nicht an den Kreditkartendaten oder Bürgerkartendaten lässt sich die Sicherheit im Internet festmachen, sondern am Einlogprozeß mit Benutzername und Passwort. Damit ist sichergestellt, dass die sechswöchige Transaktionsnachforschungsfrist (innerhalb derer die Bank die alleinige Haftung trägt) eingehalten wird und definitionsgemäß Kredit- wie auch andere Smartcards keinen hinreichenden Schutz bieten, sondern nur eine Kombination aus Benutzername und Passwort mit der Möglichkeit sechs Wochen lang reklamieren zu können bezüglich der Rücknahme von Transaktionen. Auch danach ist die Reklamation möglich, in den ersten sechs Wochen jedoch trägt der Mittler (Bank, Behörde) die volle Haftung.