:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sicherheitslücken bei Bezahlvorgängen Multiple Angriffsvektoren beim digitalen Bezahlen
Eine große Menge digitaler Attacken richtet sich nicht gegen die großen Systeme von Unternehmen oder Regierungen, sondern greift bei der Masse von Normalverbrauchern an. Sie betreffen verschiedene Bezahlmöglichkeiten, die heute beim Kauf im Laden oder Online üblich sind.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Schaut man sich sämtliche möglichen Bedrohungen der digitalen Welt an und folgt ihren Beweggründen wie auf einer Flowchart bis zum Ende, dann fällt auf, dass es nur zwei Ziele gibt. Zwei Gründe für jede Form von Angriff.
Der eine ist Macht – etwa, um Kontrolle über einen wie auch immer gearteten Gegner zu bekommen. Der andere Grund ist hingegen Geld. Egal ob es eine ganz groß angelegte digitale Industriespionage ist, mit der Technologien und Wissen abgeschöpft werden oder eine simpel gestrickte Phishing-Kampagne, um an die Kontodaten einer Handvoll Unbedarfter zu gelangen. Es geht immer nur darum, auf illegale Weise an das Geld anderer zu kommen.
Bei diesem finanziellen Punkt teilt sich die Welt abermals auf. Auf der einen Seite zeigt sich, dass Kriminelle immer häufiger auf alternative Methoden setzen, weil gerade, wenn es um höhere Beträge geht, eine bessere Awareness vorhanden ist.
Auf der anderen Seite indes vervielfältigen sich auf Verbraucherebene bald alljährlich die Möglichkeiten, Geld auszugeben, ohne dafür Bargeld zu bemühen. Jahr für Jahr vermehren sich deshalb die Angriffsfenster, über die Kriminelle sich direkten Zugriff auf Konten und Co. verschaffen können.
Das große Dilemma: Viele der Problemstellungen bleiben anbieterseitig und medial ungenannt, weil vor allem die Komfort-Vorteile herausgestellt werden sollen. Dementsprechend sind die konkreten Risiken in den Köpfen vieler Endverbraucher gar nicht präsent und die Verwunderung umso größer wenn doch etwas passiert.
Der folgende Artikel möchte vor allem userseitiges Problembewusstsein schaffen, keine Payment-Systeme in Abrede stellen; die meisten sind Normalverbraucher-sicher. Allerdings müssen diese die Risiken kennen, um sie auch so sicher zu nutzen.
Risiken beim Bezahlen mit EC- und Kreditkarten
Nach wie vor sind Karten die meistbenutzte nicht-bare Bezahlmethode im stationären Handel. Rein statistisch gibt es hierzulande weit mehr EC- und Kreditkarten (erstere eigentlich korrekter als Girocard bezeichnet) als Deutschland Einwohner hat.
Das bedeutet im Endeffekt, dass jeder Bundesbürger ein Angriffsziel ist – und die Methoden spiegeln nicht nur diese Tatsache wider, sondern auch, dass Karten alles andere als inhärent sicher sind.
Brute-Force-Nummerngeneratoren
Der nach wie vor einzige Schutz, den Verbraucher selbst beeinflussen können, ist eine PIN. Die gibt es zwar auch bei Kreditkarten. Doch wo bei EC-Karten die PIN häufig verlangt wird, weil nur diese Abgleichmethode dem Händler über das Electronic-Cash-Verfahren garantiert, dass er sofort sein Geld bekommt, ist bei Kreditkartennutzung die Unterschrift nach wie vor die häufigste Methode zur Authentifizierung.
Das Problem an der PIN ist, dass sie in der Regel bei beiden Karten vierstellig ist und nur aus Ziffern besteht. Damit bestehen mathematisch 104, also 10.000 mögliche Kombinationen.
Ausgehend davon, dass ein handelsüblicher Prozessor heute etwa vier Gigahertz besitzt, sind das vier Milliarden Berechnungen pro Sekunde – alle möglichen Kombinationen einer PIN können also im Bruchteil davon herausgefunden werden.
Allerdings ist dieser Vektor eher vager Natur: Die allermeisten Karten-PINs haben nur eine begrenzte Zahl von Eingabeversuchen, bevor sie gesperrt werden. Aufgrund der statistischen Verteilung bleibt eine Chance von 1:12, mit drei Versuchen den richtigen PIN zu erwischen.
Cracking von Kundendatenbanken
Was passiert, wenn man seine Karte an der Kasse in ein Lesegerät steckt? In diesem Fall kommen zwei Protokolle zum Einsatz:
- 1. Das ZVT-Protokoll ist die Schnittstelle zwischen Kartenterminal und Händler-Kassensystem.
- 2. Das Poseidon-Protokoll wiederum verbindet Kartenterminal und Bank.
Ohne tiefer auf die kryptologische Funktionsweise der Protokolle einzugehen, sollten User wissen, dass beide ausgelesen werden können, das wurde unter anderem vom Chaos-Computer-Club bereits nachgewiesen.
Doch es geht noch viel einfacher. Denn wo hier Profiarbeit vonnöten ist, machen es so manche (Online-)Händler Kriminellen viel einfacher: Die dort gespeicherten Kunden-Kreditkarten-Daten:
- Kartennummer
- Gültigkeitsdatum
- Prüfziffer
- Benutzername
sind häufig wesentlich unsicherer gelagert. Sie abzugreifen ist ungleich leichter und kann direkt für Einkäufe verwendet werden.
Wissenswert: Unbedingt vor Eingabe von direkt verwertbaren Daten prüfen, ob der Händler eine PCI-DSS-Zertifizierung vorweisen kann. Sie steht für von der Kreditkartenindustrie einheitlich erlassene Sicherheitsstandards.
Skimming/Terminalmanipulation
Die PIN zu haben, ist eine Sache. Um eine Karte jedoch kopieren zu können, benötigt man auch all jene Daten, die darauf gespeichert sind.
Die „analoge Lösung“ ist es, schlicht und ergreifend die Karte physisch zu stehlen. Da das jedoch rasch auffallen würde, wird schon seit geraumer Zeit Skimming betrieben, vornehmlich an Geldautomaten:
- Ein unauffälliges Lesegerät wird vor dem Kartenschacht installiert, welches die nach wie vor auf vielen Karten vorhandenen Magnetstreifen ausliest.
- Meist eine Möglichkeit, den PIN abzugreifen. Etwa per Tastenfeld-Overlay, normaler oder Infrarot-Kamera. Letztere kann die von den Fingerspitzen erwärmten Ziffertasten erkennen
2017 betrugen trotz verbesserter Sicherheitstechniken allein hierzulande die Skimming-Schäden gut 2,2 Millionen Euro – Tendenz steigend.
Allerdings gibt es hier auch eine weitere Tendenz: Es sind fast ausschließlich ausländische Karten. Seit 2013 dürfen deutsche Terminals bei deutschen EC-Karten nur noch den Chip auslesen; selbst wenn darauf noch ein Magnetstreifen vorhanden ist. Allerdings, im Ausland ist das häufig nicht der Fall.
Wissenswert: Skimming wird meistens an unbewachten Geldautomaten betrieben. Etwa in Bankfilialen ohne Mitarbeiter, an Straßen-Automaten usw.
Phishing
Wie bringt man jemanden dazu, einem freiwillig alle Daten seiner Kreditkarte zu geben? Man macht ihn Glauben, dass er seine Daten einem seriösen Unternehmen gibt. Phishing ist die Onlinemethode der Wahl unzähliger Krimineller. Denn es braucht nur einen halbwegs talentierten Web- bzw. Grafikdesigner.
Der erstellt entweder täuschend echte E-Mails mit Links zu ebenso täuschend echten Seiten oder aber eine Seite, auf der Markenprodukte zu enorm reizvollen Preisen angeboten werden. Und sooft davor auch gewarnt wird, Phishing funktioniert auch 2019 noch hervorragend.
Wissenswert: Phishing verrät sich in vielen (wenngleich nicht allen) Fällen durch Rechtschreibfehler und die Aufforderung, PINs einzugeben. Banken würden letzteres abseits von Onlinebanking nie verlangen.
Keylogging
Das Bewusstsein für Phishing ist gestiegen. Und so gut es auch noch funktioniert, die Erträge der Kriminellen sind gesunken. Doch um an Kreditkartendaten zu gelangen, ist es nicht einmal zwangsläufig nötig, den Besitzer so zu täuschen, dass er sie einem gibt. Es reicht, wenn man mitbekommt, dass er sie eingibt.
Das bringt uns zu Keylogging. Informationen, die vom User eingegeben werden, können abgegriffen werden. Früher ging das nur über Hardware, die zwischen Keyboard und Rechner eingesetzt wurde –war daher aufwendig und kam eher im Bereich der Wirtschaftskriminalität zum Einsatz.
Heute indes sind Softwares frei verfügbar, die das Gleiche tun. Sie können über Webseiten, Mails oder „verlorene“ USB-Sticks eingeschleust werden und zeichnen jegliche Form von Eingabe auf – auch auf virtuellen Tastaturen – und leiten sie weiter. Ein klassischer Man-in-the-Middle-Angriff (MitM).
Wissenswert: Firewalls und Virenschutzsoftware, die ständig aktualisiert werden, sind die sichersten Helfer gegen Keylogging-Software. Niemals sollte man seine Daten an öffentlichen Rechnern eingeben.
NFC-Schwachstellen
NFC auf Karten setzt sich langsam durch. Doch längst haben Kriminelle das Potenzial erkannt. Zwar ist es ein Mythos, dass solche Karten auf mehrere Meter Distanz ausgelesen werden können und die Verschlüsselung gilt als relativ sicher. Aber Tatsache ist, dass bei den meisten Banken für NFC-Zahlungen unter 25 Euro keine PIN-Eingabe gefordert wird.
Das beschränkt sich zwar auf drei aufeinanderfolgende Zahlungen und hat somit für den Einzelnen keine umfangreicheren Verluste zur Folge, aber hier gilt: Die Masse macht es aus. Es funktioniert erwiesenermaßen und zudem ist es leicht, anonym zu sein – entsprechende Geräte passen in jede Tasche.
(ID:45981407)
:quality(80)/p7i.vogel.de/wcms/d1/6f/d16f5118941ec3c3fa492f7b132d91ff/0112964242.jpeg "Lassen Sie sich Ihre wohlverdiente Freizeit nicht durch Kriminelle und Cyberbedrohungen verderben! (Bild: olezzo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")