Verizon-Studie: Bank-PINs sind nicht länger sicher
Kreditkartennummern sind nicht mehr viel wert. Der Markt für gestohlene Kartennummern ist übersättigt, was zu einem drastischen Preisverfall geführt hat. Laut dem aktuellen kostet ein Datensatz inzwischen weniger als 50 US-Cent. Mitte 2007 lag der Preis noch zwischen 10 und 16 US-Dollar. Der Preisverfall zeigt die Leichtigkeit, mit der Cyberkriminelle an Kreditkartennummern kommen können.
Die weggebrochenen Profite haben die Kriminellen dazu genötigt, sich nach neuen Einnahmequellen umzusehen. Dabei sind sie unter anderem dazu übergegangen, sich unverschlüsselte und verschlüsselte Geheimnummern (PINs) für Geld- und Kreditkarten zu beschaffen. Sie gehen dabei inzwischen äußerst erfindungsreich und erfolgreich vor: Allein 2008 wurden mehr Daten illegal beschafft als in den Jahren 2004 bis 2007 zusammen. Von den Einbrüchen waren schwerpunktmäßig der Einzelhandel und Finanzdienstleister betroffen. Zusammen mussten sie fast zwei Drittel der erfolgreichen Einbrüche verbuchen.
Die ganz überwiegende Zahl der illegal beschafften Datensätze stammte von Finanzdienstleistern. Sage und schreibe "93 Prozent der über 285 Millionen kompromittierten Datensätze" gehen auf das Konto von Finanzdienstleistern. Lediglich fünf Finanzdienstleister zeichneten dabei laut Verizon zusammen für das Gros der Fälle verantwortlich.
Die Professionalität, mit der die überwiegend (75 Prozent) von außen angreifenden Kriminellen vorgegangen sind, muss als Warnsignal verstanden werden. In mehreren Schlüsselfällen ist es den Angreifern gelungen, in die Systeme bei Finanzdienstleistern einzudringen oder Datensicherungsmedien zu stehlen. Erst im März 2009 war beispielsweise in Russland Schadsoftware in einem manipulierten Geldautomaten entdeckt worden.
Bryan Sartin, einer der Autoren der Studie, wies gegenüber dem Wired-Blog Threat Level(öffnet im neuen Fenster) besonders auf die hohe Zahl der Missbräuche von PIN-Nummern für Geldkarten seit dem vergangenen Jahr hin. Dabei stellte Sartin einen direkten Zusammenhang zu den Dateneinbrüchen her: "PIN-basierte Angriffe und viele der sehr großen Datendiebstähle des vergangenen Jahres gehen Hand in Hand."
Laut Sartin waren die Kriminellen sogar mit direkten Angriffen auf die Hardware-Verschlüsselungsgeräte der Finanzdienstleister erfolgreich. Diese Hardware-Security-Module (HSM) gelten eigentlich als manipulationssicher - in einigen Fällen habe sich das als falsch erwiesen. Kriminellen sei es gelungen, in die HSMs einzudringen und sich von dort unverschlüsselte PINs oder den Schlüssel für die PINs zu beschaffen. Sartin: "Das ist möglich, weil HSMs schlecht konfiguriert sind oder aufgrund ihrer Funktionsfülle Sicherheitslücken aufweisen."
Brian Phelps, beim größten HSM-Hersteller Thales für E-Security zuständig, weist die Schuld den Administratoren bei den Finanzdienstleistern zu: "Im Auslieferungszustand sind die HSMs sehr sicher konfiguriert. Aber aus organisatorischen Gründen entscheiden sich viele Kunden dafür, die sicheren Standardeinstellungen zu verändern... So entstehen Sicherheitslücken."
Wer auch immer die Schuld an dem Debakel trägt, eines scheint sicher: PINs sind nicht mehr sicher. Die Banken und Finanzdienstleister müssen handeln. Die Schuld bei illegalen Kontoabbuchungen einfach auf die Nachlässigkeit der Kunden zu schieben, wie das in der Vergangenheit immer wieder geschah, dürfte nach dem Verizon-Bericht nicht mehr länger möglich sein. [von Robert A. Gehring]