:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/30/3030b66cc91bdc748d53ddfa98603890/0114242796.jpeg "Der sichere Betrieb von SAP-Systemen erfordert die individuelle Absicherung des Systems und auch den sicheren Betrieb der gesamten SAP-Landschaft. (Bild: yingyaipumi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/9b/4b9b0e03c93f35253e7bdc638d8c1985/0114368367.jpeg ""Sichere Digitalisierung im Maschinenbau", ein Interview von Oliver Schonschek, Insider Research, mit Christoph Schambach von secunet Security Networks AG. (Bild: Vogel IT-Medien / secunet Security Networks AG / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c2/12/c212e1f2d8d9ec50fa8c1c40f8aecb22/0114324694.jpeg "Oft totgesagt und trotzdem quicklebendig: Passwörter sind trotz Alternativen noch immer allgegenwärtig und ein willkommenes Ziel für Cyberkriminelle. (Bild: sasun Bughdaryan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/f1/6b/f16b94ff7c9056c68539d3beb864080f/0114259975.jpeg "CISOs verstehen menschenzentrierte Sicherheit in erster Linie als das, was man dazu auf dem Markt einkaufen kann: nämlich Awareness- und Phishing-Simulationen. (Bild: leowolfert - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Infizierte POS-Terminals Kreditkartenmissbrauch durch Malware im Urlaub
Cyberkriminelle setzen immer öfter gezielt Malware ein, um im Ausland Sicherheitslücken von Kassensystemen anzugreifen und so Kreditkartendaten auszuspähen. Die Betrugsfälle nehmen nachweislich zu und stellen für Geschäftsreisende und Urlauber eine steigende Gefahr dar, der Firmen dringend entgegentreten müssen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Vor allem Geschäftsreisende kennen es: statt vor der Abreise Geld in die entsprechende Fremdwährung umzutauschen, greift man gern auf den unkomplizierten Zahlungsverkehr über die Kreditkarte zurück. Dank der mittlerweile verbreitet eingesetzten Chips auf den Karten soll eine sicherere Datenübertragung als bei herkömmlichen Magnetstreifen gewährleistet sein, und sie gelten als geschützt. Umso mehr überrascht es, dass vor allem Hotels immer häufiger Betrugsfälle im Zusammenhang mit Zahlungskarten melden.
Malware identifiziert Sicherheitslücken in Hotels
Mehrere namenhafte Hotelkonzerne in Übersee bestätigten, dass sensible Kundendaten wie Namen, Kartennummern und Sicherheitscodes bei Bezahlvorgängen über die Kreditkarte an den hauseigenen Points-of-Sale (POS)-Terminals gestohlen wurden. So wurde der kurze Snack im Café oder ein nettes Souvenir aus dem Geschenke-Shop unter Umständen zu einem teuren Vergnügen.
Doch wie kann so etwas passieren? Cyberkriminelle passen sich heute den immer weiter optimierten Sicherheits- und Personalisierungsstandards der Kartensysteme an und finden offenbar geschickt selbst kleinste Lücken innerhalb der Zahlungssicherheitsstandards, um an die gewünschten Daten zu gelangen.
Ihre raffinierten Methoden sind oft nur schwer aufzudecken. Experten gehen davon aus, dass viele Hacker auf RAM-Scraping – eine Malware, die Kredit- oder andere Zahlungskartendaten am POS-Terminal ausliest – und Keylogging-Funktionalitäten zurückgreifen. Die Malware dahinter hat sich zu einer richtigem Schadsoftware-Netzwerk entwickelt und kann sehr gezielt Daten herausfiltern.
Andere Länder, andere Sicherheitsstandards
Die Angst vor Kreditkartenmissbrauch ist demnach nicht unbegründet. Doch gibt es hier durchaus länderspezifische Unterschiede. Während sich die Kreditkarten-Betrugsfälle in den Vereinigten Staaten häufen, treten sie in Europa bedeutend weniger auf. Und das liegt unter anderem daran, dass europäische Karten - vor allem innerhalb der EU - überwiegend mit einem integrierten Schaltkreis-Chip ausgestattet sind, der wesentlich schwieriger zu entschlüsseln ist.
Dieser sogenannte IC-Chip verfügt über mathematische Rechenfähigkeiten, so dass die Karte selbst ähnlich wie ein Computer Berechnungen durchführen kann. Zudem ist bei fast allen Transaktionen eine PIN notwendig. Das heißt: Eine gefälschte Unterschrift reicht nicht aus, um an das Geld zu gelangen. Die V Pay, eine Bezahlkarte mit Chipkarte und PIN-Funktion, bedeutet also deutlich mehr Sicherheit. In den USA sind im Vergleich dazu Transaktionen mit magnetstreifenbasierten Karten häufig; und entsprechend hoch ist die Anzahl der verzeichneten Hackerangriffe. Im Oktober 2015 wurde in den Vereinigten Staaten jedoch das Ende des schwarzen Streifens eingeläutet – mit dem Ziel endgültig auf chipbasierte Karten umzustellen.
Unternehmen können POS wirksam vor Kreditkarten-Betrug schützen
Trotz gut gesicherter Chip-und-PIN-Karten in Europa bleibt die POS-Malware weltweit ein Problem – gerade in der Hotellerie. Glücklicherweise gibt es mehrere Methoden, um sich vor solchen Angriffen zu schützen. Die meisten Kassensysteme sind einfache Windows-PCs mit angeschlossenen Geräten wie einem Belegdrucker, einem Barcode-Scanner und der Kassenschublade. Hier ist es oft schon eine Option, zu Antivirus-Schutzprogrammen für Windows zu greifen.
Zudem wird geraten, dass Unternehmen ihre Erkennungsfunktionen regelmäßig überprüfen und die Risiken und Schwachstellen des Systems bewerten sollten. Darüber hinaus müssen Betriebssysteme und Security-Programme immer auf den neuesten Stand gebracht werden, um sich gegen neue Software- sowie Hardware-Manipulationen zu schützen. Schwachstellen sollten darüber hinaus so schnell wie möglich gepatcht werden und es sollte Intrusion-Detection-Software genutzt werden, um abnormales Verhalten im Netzwerk schnell zu erkennen.
Was jeder einzelne tun kann
Auch beim persönlichen Nutzungsverhalten von Kreditkarten ist Vorsicht geboten. Sowohl online als auch offline sollte mit den Zahlungsdaten vorsichtig umgegangen werden. Das heißt, dass Karten nie unbeaufsichtigt gelassen oder aus der Hand gegeben werden sollten, denn persönliche Daten und Sicherheitscodes können schnell und unbemerkt kopiert oder abgeschrieben werden. Zudem ist es ratsam, die Kreditkartenabrechnungen immer genau zu überprüfen und nachzuvollziehen, ob auch alle Buchungen tatsächlich selbst getätigt wurden.
Falls es doch zum Diebstahl oder zum Verlust der Kreditkarte gekommen ist, sollte umgehend der Sperr-Notruf (+49 116 116) informiert und die Karte gesperrt werden. So kann oft noch weiterer Schaden verhindert werden.
Über den Autor: Bogdan Botezatu ist leitender Analyst für digitale Bedrohungen bei Bitdefender. Er hat umfangreiche Erfahrung auf dem Gebiet der Computernetzwerke und Malware-Forschung und arbeitet bereits seit 2007 bei dem rumänischen Unternehmen. Botezatu war bei Bitdefender unter anderem Mitglied der Teams, die für die Entwicklung des Bitdefender USB Immunizer und der Bitdefender Removal Tools verantwortlich zeichnen.
(ID:45389699)
:quality(80)/p7i.vogel.de/wcms/76/7e/767e9ebaf5ac5af2773bed55ed4c5c74/0114009152.jpeg "Mit seiner fortschrittlichen digitalen Infrastruktur und der weiten Verbreitung von Online-Banking und E-Commerce ist Deutschland ein attraktives Ziel für Cyberkriminelle. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/6f/d16f5118941ec3c3fa492f7b132d91ff/0112964242.jpeg "Lassen Sie sich Ihre wohlverdiente Freizeit nicht durch Kriminelle und Cyberbedrohungen verderben! (Bild: olezzo - stock.adobe.com)")