Startseite » Fachbeiträge » Archiv SI »

Kreditkarten in Gefahr

Digitale Wegelagerer lauern Reisenden auf
Kreditkarten in Gefahr

Anzeige
Die Kred­itkarte ist mehr als nur ein Zahlungsmit­tel – sie ist Sta­tussym­bol. Die wirk­lich Wichti­gen (und Ver­mö­gen­den!) wer­den von den Kred­itkarten-Fir­men ein­ge­laden, die wirk­lich wichti­gen Karten in der richti­gen Farbe zu nutzen. Das haben Krim­inelle erkan­nt und lauern der Ziel­gruppe auf – im Reise­büro, im Hotel, im Restau­rant und bei edlen Einzel­händlern. Die enthal­te­nen Risiken bedro­hen auch die Arbeit­ge­ber der Opfer.

Joachim Jakobs

Die Wirtschaftss­pi­onage ist kein Phänomen der Neuzeit: Im Jahr 389 soll ein Gewürzhändler eine Rezep­tur zur Her­stel­lung von Papi­er aus dem ara­bis­chen Andalusien nach Europa geschmuggelt haben. Wenige Jahre später sei, so der „Spiegel“, hierzu­lande die erste Papier­müh­le ent­standen. Spi­one der Infor­ma­tion­s­ge­sellschaft müssen sich nicht mehr müh­sam auf Pfer­den über tausende Kilo­me­ter zum Objekt der Begierde begeben; sie warten darauf, bis das Ziel zu ihnen kommt. Am besten in Per­son des Chefs – denn wer ihn anzapfen kann, hat die Burg gle­ich­sam im Sturm erobert.
Ein Lied davon hat Dave de Walt, Chef des Viren­jägers McAfee 2009 der „Wirtschaftswoche“ gesun­gen: „Ver­gan­genen Som­mer war ich mit mein­er Fam­i­lie in Europa und habe E‑Mails, ange­blich von mein­er Bank, bekom­men. Da ich nicht im Land sei, sollte ich meine Kred­itkar­tendat­en bestäti­gen, um sie nutzen zu kön­nen. Die Mail war natür­lich gefälscht. Ich frage mich nur, woher wussten die Absender, bei welch­er Bank ich bin und dass ich mich im Aus­land aufhalte?“
Auf diese Weise hätte de Walt eine Menge Geld ver­lieren kön­nen – das ist das Eine. Viel schlim­mer aber wäre es gewe­sen, wenn die Angreifer auf diese Weise nicht nur Zugriff auf sein mobiles Endgerät, son­dern darüber auch Zugang zu den Fir­menservern bekom­men hät­ten. Schließlich hät­ten die Krim­inellen dann mit den gle­ichen Recht­en auf die Kro­n­juwe­len des Unternehmens zugreifen kön­nen wie der Chef selb­st.
Das Unheil dro­ht, noch bevor sich der Reisende über­haupt auf den Weg macht – im Reise­büro: Im Früh­jahr wurde von einem „Kred­itkar­tendat­en-Leck“ bei der Fir­ma „Trav­eltain­ment“ in Würse­len berichtet. Das Unternehmen wick­elt Buchun­gen nicht nur für Reise­por­tale wie lastminute.de, weg.de oder Expe­dia ab, son­dern auch für 11.000 weit­ere Reise­un­ternehmen im ganzen Land. Wie viele Kun­den betrof­fen sind, ist nicht bekan­nt. Genau­so unbekan­nt ist, welche Dat­en abhan­den gekom­men sind. Denkbar ist, dass die Angreifer neben den Kred­itkar­tendat­en Namen, Adressen, Reisezeit und ‑ziel sowie die Unterkun­ft ergat­tern kon­nten.
Löchrig ist auch der weit­ere Weg zum Reiseziel: Unis­ter, die Betreiberge­sellschaft von „ab-in-denurlaub. de“ soll seine Serv­er so schlecht gesichert haben, dass Unbekan­nte an Kun­den­dat­en her­anka­men und die Kred­itkarten­fir­men Visa und Mas­ter­card mit „hun­dert­tausenden“ betrüge- rischen Abbuchun­gen zu kämpfen hat­ten, berichtete die „Com­put­er­bild“.
Mit der­lei Schwierigkeit­en hat­te auch die Deutsche Bahn bere­its zu kämpfen: Im elek­tro­n­is­chen Tick­et­sys­tem „Touch & Trav­el“ seien 2011 nach der per­sön­lichen Anmel­dung Kun­den­dat­en für nach­fol­gende Nutzer sicht­bar gewe­sen, so der „Spiegel“. Ähn­lich scheint es bei der Flugge­sellschaft Aus­tri­an Air­lines zu zuge­hen. Mit so schlecht gesicherten Kred­itkarten-Dat­en kon­nte eine frühere Mitar­bei­t­erin von Amer­i­can Air­lines für 480.000 US-Dol­lar einkaufen gehen.
Wer nun auf Entspan­nung hofft, nur weil er endlich im Hotel angekom­men ist, hat sich geschnit­ten. So scheint die Hotel­gruppe Wyn­d­ham – in Deutsch­land mit ihrer Kette „Rama­da“ bekan­nt – Daten­skan­dale abon­niert zu haben: In den Jahren 2008, 2009, 2010 und 2012 hat die Gruppe ange­blich bei fünf ver­schiede­nen Gele­gen­heit­en über 500.000 Kun­den­daten­sätze ver­loren. Betrof­fen waren aber auch schon die Star­wood-Kette – speziell das Sher­a­ton im Hes­sis­chen Frank­furt – und die Lufthansa. Gut die Hälfte der drei- bis fünf-Sterne Hotels schlam­p­en nach Mei­n­ung von Sicher­heit­sex­perten, wie das „Han­dels­blatt“ erfahren haben will.
Vor­sicht ist auch an der Ladenkasse nobler Uhren- und Schmuck­händler geboten: Die US-Nieder­las­sung vom Luxus-Chronome­ter-Her­steller Carti­er musste den Behör­den im Feb­ru­ar 2013 beicht­en, dass ein Mitar­beit­er einen Com­put­er mit Kred­itkarten-Dat­en von 13 Kun­den im Taxi ver­loren hat­te. Da man für solche Schmuck­stücke fix sechsstel­lige Euro­be­träge los wird, kann sich auch das Plün­dern dieser weni­gen Kun­den lohnen. Ähn­liche Schwierigkeit­en sollen auch die Kun­den von Golf­plätzen, Kos­metikhändlern, Luxu­sauto­her­stellern und Schön­heit­skliniken haben.
Die Wahrschein­lichkeit, in den Kun­den­daten­banken von der­lei Unternehmen auf beson­ders fette Beute zu tre­f­fen, ist groß. Die Angestell­ten edler Luxu­s­restau­rants aber woll­ten ganz sich­er gehen: Amer­i­can Express vergibt eine „Centurion“-Karte an erlesene Gäste, die zuvor über Jahre hin­weg Umsätze in Höhe von min­destens 250.000 US-Dol­lar gener­iert haben. Der durch­schnit­tliche Inhab­er ein­er solchen Karte ver­fügt über ein Ver­mö­gen von 16 Mil­lio­nen und ein Jahre­seinkom­men von ein­er Mil­lion US-Dol­lar. Die Bezirksstaat­san­waltschaft Man­hat­tan klagte 21 Mitar­beit­er dieser Restau­rants an, weil sie min­destens 50 Cen­tu­ri­on Karten ihrer Gäste ille­gal kopiert und damit Hand­taschen, Juwe­len und Kun­st­ge­gen­stände erwor­ben haben sollen.
Die Aus­sicht auf hohe „Erträge“ treibt die Preise. Dat­en von Stan­dard­karten wur­den 2010 im Stapel zu je zehn Stück für 50 US-Dol­lar gehan­delt, Gold- und Plat­inum-Karten, für die eben­falls bes­timmte Umsatzvo­lu­mi­na notwendig sind, waren 80 und Fir­men-Karten 180 US-Dol­lar wert. Die Preisun­ter­schiede erk­lären sich aus den Kred­itlim­its – bei Fir­men-Karten kön­nen die bei mehreren Mil­lio­nen liegen.
Klein­vieh macht aber auch Mist – man muss nur genug davon zusam­men­tra­gen: Im Mai 1997 hat die US-Bun­de­spolizei FBI Car­los Felipe Sal­ga­do, Jr. bei dem Ver­such festgenom­men, eine CD-ROM mit Dat­en von 100.000 Kred­itkarten für 260.000 US-Dol­lar zu verkaufen – Salgado’s Pech: Der schein­bare Käufer war ein verdeck­ter Ermit­tler der Bun­de­spolizei. Das gesamte Kred­itlim­it dieser Karten soll knapp eine Mil­liarde US-Dol­lar betra­gen haben.
Nach Erken­nt­nis des Sicher­heitsspezial­is­ten Trust­wave ver­liert der Einzel­han­del fast die Hälfte (45 Prozent) aller Kred­itkarten-Dat­en, gefol­gt von den Gast­stät­ten (24%) und den Her­ber­gen (9%).
Alle Sta­tis­tik wird jedoch Maku­latur, wenn die Kred­itkarten-Unternehmen selb­st ver­sagen: 2005 ließen Visa und Amer­i­can Express ihren Dien­stleis­ter CardSys­tems Solu­tions fall­en, nach­dem dieser einen Abfluss von 40 Mil­lio­nen Daten­sätzen eingeste­hen musste. Es war der größte bekan­nte Dieb­stahl von Kred­itkar­tendat­en – bis zu diesem Zeit­punkt. Mit­tler­weile ist auch diese Dimen­sion bei weit­em übertrof­fen. 2009 soll Albert “Segvec” Gon­za­lez 130 Mil­lio­nen Kred­itkarten-Dat­en bei dem Daten­ver­ar­beit­er Heart­land Pay­ment Sys­tems abgeräumt haben. Der Fach­di­enst bankinfosecurity.com hat eine Liste mit 650 Banken erstellt, deren Kun­den Gon­za­lez zum Opfer fie­len. Das Mag­a­zin schätzt aber, dass die Anzahl tat­säch­lich betrof­fen­er Insti­tute etwa fünf­mal so groß sein dürfte.
Autor
Joachim Jakobs Jour­nal­ist und Buchau­tor http://privatsphaere.org E‑Mail: jj@privatsphaere.org
Anzeige
Newsletter

Jet­zt unseren Newslet­ter abon­nieren

Meistgelesen

Jobs
Sicherheitsbeauftragter
Titelbild Sicherheitsbeauftragter 9
Ausgabe
9.2020
ABO
Sicherheitsingenieur
Titelbild Sicherheitsingenieur 9
Ausgabe
9.2020
ABO
Anzeige
Anzeige

Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de