Gravierende Sicherheitslücke bei US-Zahlungsdienstleister

Kriminelle hatten vermutlich Monate lang Zugriff auf Transaktionsdaten

Computerforensiker haben bei einem Unternehmen, das Kreditkartentransaktionen abwickelt, eine Schadsoftware entdeckt, die Daten ausgespäht und verschickt hat. Der Betrug war zwei Kreditkartenprovidern aufgefallen.

Heartland Payment Systems, eines der größten Unternehmen für die Abwicklung von Kreditkartentransaktionen in den USA, ist nach eigenen Angaben Opfer einer Attacke mit Malware geworden. Die Angreifer hätten jedoch keinen Zugriff auf Händlerdaten, Sozialversicherungsnummern oder PINs der Karteninhaber gehabt.

Wie Heartland zugibt, war dem Unternehmen das Leck nicht selbst aufgefallen. Stattdessen war es im Spätherbst 2008 von den Kreditkartenprovidern Visa und Mastercard auf Unregelmäßigkeiten und verdächtige Transaktionen aufmerksam gemacht worden. Darauf prüften die Computerspezialisten des Unternehmens die Systeme, allerdings vergeblich, zitiert das Wall Street Journal Heartland-Finanzchef Robert Baldwin. Zwei Teams von Computerforensikern des Secret Service fanden schließlich in der vergangenen Woche die Malware und machten sie unschädlich. Das Programm, das die Zahlungsdaten ausspähte, die die Kunden zur Abwicklung an Heartland schickten, sei deutlich ausgefeilter gewesen als der übliche über das Internet verbreitete Schadcode, so Baldwin.

Wie die Washington Post berichtet, soll die Spionagesoftware auch die Daten abgelauscht haben, die auf dem Magnetstreifen auf der Rückseite einer Kreditkarte gespeichert sind. Mit deren Hilfe ist es möglich, Kreditkarten zu fälschen.

Wie lange die Software tatsächlich in den Systemen des in Princeton im US-Bundesstaat New Jersey ansässigen Unternehmens aktiv gewesen ist, lässt sich noch nicht abschätzen. Derzeit untersucht der Secret Service den Fall und versucht herauszubekommen, wer die Software wie in das System einschleusen konnte.

Nach Ansicht der Gartner-Analystin Avivah Litan könnte es sich hier um das bisher größte Sicherheitsleck überhaupt handeln. Heartland wickelt die Zahlungen von über 250.000 Kunden ab, darunter viele Gaststätten und Einzelhändler. Die Zahl der Transaktionen liegt bei rund 100 Millionen im Monat. Bislang galt der Einbruch in das System des US-Einzelhandelskette TJX im Jahr 2006 als der größte. Seinerzeit wurden mehr als 45 Millionen Kreditkartendatensätze gestohlen.

Heartland rät seinen Kunden, die Kreditkartenabrechnungen der letzten Monate sorgfältig zu prüfen. Verdächtige Transaktion sollten den Providern gemeldet werden. Die Karteninhaber seien für die Schäden durch den Betrug nicht verantwortlich. Heartland hat eigens die Website "2008breach.com" aufgesetzt, auf der das Unternehmen Kreditkarteninhaber über das Sicherheitsloch und darüber, worauf sie auf ihren Abrechnungen achten müssen, informieren will. Die Website war am Mittwoch jedoch nicht erreichbar. Das galt auch für die offizielle Heartland-Site.

Obwohl die Computerforensiker die Sicherheitslücke bereits in der vergangenen Woche entdeckten und schlossen, gab Heartland die Lücke erst am gestrigen Dienstag bekannt, drei Stunden vor der Zeremonie zur Amtseinführung von US-Präsident Barack Obama.