Re: [NRW-AK-Datenschutz] EC-Karten und PIN

[Inés <nupagadi13 AT googlemail.com>]

Ahoi,

Meiner Meinung nach können durch die Angriffsszenarien auch 
personenbezogene Daten abgeschöpft werden und deshalb würde ich dies 
sehr wohl als ein Thema für den AK ansehen. In diesem Zusammenhang 
könnte man sich Gedanken machen, ob die bisherigen Sicherheitsstandards 
ausreichend sind, oder ob z.B. ein Gesetz oder eine Gesetzesänderung 
notwendig wäre.


> es gab doch keinen Hack von krimineller Seite aus.

Ich kann mir nicht vorstellen, dass ein krimineller Hack veröffentlicht 
werden würde, denn das betroffene Kreditinstitut würde von der 
Veröffentlichung nicht profitieren. ;-)


> Sicherheitslücken werden doch immer wieder festgestellt (und 
> hoffentlich gefixt).

Die im Bericht angesprochene Schwachstelle besteht wohl schon seit März.


> Ist m.E. also nichts besonderes.

Es ist meiner Meinung nach in sofern besonders, als dass die Hardware 
selbst nicht manipuliert werden muss, um die Kartendaten abschöpfen zu 
können. Heikel wird das ganze noch dadurch, dass die Debug-Schnittstelle 
des Prozessors so platziert ist, dass man - ohne das Gehäuse beschädigen 
zu müssen - dies ausnutzen kann. Letztere Schwachstelle wird meines 
Erachtens nicht mit einem Software-Update lösbar sein. ;-)

Außerdem bezeichnet sich der Hersteller des Bezahlterminals selbst als 
Marktführer.


Siehe auch (das etwas magere) Posting von SRLabs: 
https://srlabs.de/eft-vulns/


Just my 2 cents,

NuPagadi