Maestro-Zahlungsdienst offen für Betrüger
Sicherheitsproblem beim österreichischen Zahlungsdienstleister PayLife: Um fremde Girokonten mit Bankomatfunktion für den eigenen Gebrauch bei Einkäufen im Internet freizuschalten, benötigen Kriminelle lediglich die Informationen auf einem Kontoauszug sowie das Geburtsdatum des jeweiligen Inhabers.
Für den SecureCode-Service, der Bankomatkarten auch als sicheres Zahlungsmittel im Internet tauglich machen soll, wurde ein "bewährtes Verfahren" gewählt, das für Maestro "die höchste Sicherheit, die es derzeit bei Zahlungen im Internet gibt", gewährleiste, heißt es auf der Website von PayLife.
PayLife, ein Gemeinschaftsunternehmen der heimischen Banken, betreibt das Bankomatsystem in Österreich und drängt nun auch in das bisher von Kreditkartenfirmen dominierte Internet-Geschäft.
Sicherheitslücke geschlossen
Paylife hat die an dieser Stelle beschriebene Sicherheitslücke am Mittwoch, den 26. November 2008 geschlossen. Die Kunden müssen sich nun den SecureCode persönlich in der Bank abholen.
Maestro und die Sicherheit
Der Vorteil des neuen Maestro-Systems gegenüber der Kreditkarte sei, so der Betreiber, dass die Zahlungen an Online-Shops direkt über Maestro abgewickelt werden. Das heißt, der Betreiber eines Online-Shops erfährt weder die Kontonummer des Kunden noch den Namen seiner Bank. Zudem würden, von der Registrierung angefangen, sämtliche Transaktionen SSL-verschlüsselt durchgeführt.
"Da Zahlungen mit Maestro SecureCode nur mit Hilfe Ihres persönlichen SecureCodes möglich sind, können auch nur Sie damit Maestro-SecureCode-Online-Zahlungen durchführen", heißt es dazu auf der Website von PayLife.
Leider stimmt das nicht.
Geld zurück?
Auf Anfrage von ORF.at, ob der geschädigte Kontoinhaber sein Geld wieder zurückfordern kann, mussten sowohl die Arbeiterkammer Wien als auch der Verein für Konsumenteninformation (VKI) vorerst passen. Es sei nicht sicher, so die befragten Experten, ob der SecureCode mit der Kreditkartennummer gleichgestellt sei.
Das Konsumentenschutzgesetz, Paragraf 31a kann allerdings auch so interpretiert werden, dass Transaktionen über den Maestro-SecureCode gedeckt sind:
Wenn bei einem Vertragsabschluss im Fernabsatz (§ 5a oder § 1 des Fernfinanzdienstleistungsgesetzes, BGBl. I Nr. 62/2004) eine Zahlungskarte oder deren Daten missbräuchlich verwendet werden, so kann der berechtigte Karteninhaber vom Aussteller der Karte verlangen, dass eine Buchung oder Zahlung rückgängig gemacht bzw. erstattet wird. Von dieser Bestimmung kann zum Nachteil eines Verbrauchers nicht abgewichen werden.
Hijacking fremder Konten
Wie eine Reihe von Tests seitens ORF.at mit Unterstützung der Journalistenausbildungsklasse Juk06 der FH Joanneum Graz ergab, ist es sehr einfach, an den SecureCode eines fremden Kontos zu gelangen. Bei den Tests war es den Studierenden innerhalb von zehn Minuten nach der Registrierung problemlos möglich, bei einem der mittlerweile 15.000 angeschlossenen Webshops einzukaufen.
Alles, was für die Anforderung des SecureCodes benötigt wird, sind Kontonummer, Geburtsdatum des Inhabers und das Wissen über Bankomat-Bezahlvorgänge, wofür die Informationen auf einem einzigen Kontoauszug genügen. Die betreffende Bankomatkarte selbst braucht man dafür hingegen nicht.
Eine Option zu viel
Für die Authentifizierung des Kunden im Netz bietet PayLife nämlich zwei verschiedene Möglichkeiten an, deren erste die Eingabe der 16-stelligen Kartennummer erfordert. Man muss dafür also über die Information auf der Karte selbst verfügen, Möglichkeit Nummer zwei bedingt das jedoch nicht.
Da nicht alle Bankomatkarten die Kartennummer aufgedruckt haben, bietet PayLife eine zweite Form der Registrierung an. Und hier steckt der Fehler im System.
Denn an dieser Stelle genügt es, die Kontonummer und das Geburtsdatum des Inhabers anzugeben sowie eine bestimmte Identifikationsnummer zu erraten. Wie eine Reihe von Tests zeigte, ist auch das unter Umständen zu schaffen. Das Webtool von PayLife lässt hier eine ganze Reihe von Rateversuchen nacheinander zu - ein weiterer Security-Fauxpas.
Ein Kontoauszug genügt
Ist das Fragespiel absolviert, erhält man nach Eingabe einer E-Mail-Adresse seiner Wahl einen Aktivierungscode zugeschickt, der auf der Website eingegeben wird. Sodann benötigt man nur noch zwei Informationen, die etwa jedem Kontoauszug des betreffenden Kontos zu entnehmen sind.
Wem also ein Kontoauszug irgendeiner Bankverbindung in die Hände fällt, der benötigt nur noch das Geburtsdatum des Inhabers, um dieses Konto für Online-Bezahlung mittels des SecureCodes freizuschalten, von dem der Kontoinhaber vorerst überhaupt nichts weiß.
15 Minuten bis zur Freischaltung
In Tests mit mehr als einem Dutzend Maestro-Karten am Dienstagnachmittag wurden die Konten innerhalb von wenigen Minuten freigeschaltet. Der gesamte Vorgang dauerte insgesamt keine 15 Minuten, dann konnte bereits bei einem der 15.000 angeschlossenen Webshops und Dienstleister eingekauft werden.
Vor einer Woche hatte PayLife-Sicherheitschef Walter Bödenauer in puncto Sicherheit noch den Kunden "als größte Herausforderung" für die Banken bezeichnet.
Kartendienstleister müssten stets vor Kriminellen auf der Hut sein, die versuchten, die Systeme "mit ebenso komplizierten Verfahren auszuhebeln".
Dieser Artikel basiert auf einem detaillierten Hinweis von Futurezone-Leser Georg V. sowie auf den Recherchen und umfangreichen Cross-Checks des Jahrgangs Juk06 (Journalismus und Unternehmenskommunikation) der FH Joanneum Graz mit Kontodaten mehrerer österreichischer Banken.
Unkompliziert und ausgehebelt
Der auf der Website des Zahlungsdienstleisters angebotene Prozess stellt hingegen bezüglich der dort gebotenen Sicherheit für Kriminelle keine besondere Herausforderung dar.
PayLife wurde von ORF.at über die Sicherheitslücke informiert. Eine Anfrage für eine Stellungnahme bei PayLife läuft seit Dienstagmittag.
Technischer Hinweis: Das Verfahren zur Erlangung des Codes wurde aus Sicherheitsgründen um einige Schritte verkürzt dargestellt und nur so weit geschildert, dass dem Leser das Grundprinzip des Sicherheitskonzepts und dessen Mängel vermittelt werden.
(futurezone/Erich Moechel/Juk06)