Web-Sicherheit

April 1, 2012

Global Payments verliert Kreditkartendaten von 1,5 Millionen Karteninhabern

Filed under: Allgemein — sebastiankuebeck @ 08:41
Tags: , , , ,

gestern berichtete der Sicherheitsexperte Brian Krebs auf seinem Blog, das die Kreditkartenunternehmen MasterCard und Visa vor einem Sicherheitsvorfall bei einem US-amerikanischen Kreditkartenprozessor warnen. Einige Stunden später bestätigte der Kreditkartenprozessor Global Payments, dass Kreditkartendaten von über 56.000 Karteninhabern zwischen 21. Jänner und 25. Februar dieses Jahres entwendet wurden.

Entdeckt wurde dieser Vorfall aber erst Anfang März. Der Finanzdienstleister Public Service Credit Union (PSCU) berichtet, dass bereits bei 876 Visa- und MasterCard-Konten illegale aktivitäten ausgemacht wurden. Wie es zur Zeit aussieht, scheinen Europäische Karteninhaber nicht betroffen zu sein. Über die Details des Vorfalls hüllen sich sowohl Global Payments als auch die Kreditkartengesellschaften derzeit noch in Schweigen.

Update 2.4.2012

Inzwischen hat Global Payments eingestanden, dass bereits Kartendaten von 1,5 Millionen Karteninhabern entwendet worden sind. Visa hat bereits reagiert: Wie die New York Times und andere berichten, streicht der Kreditkartenkonzern Global Payments von der Liste der vertrauenswürdigen Dienstleister. Forensische Analysen und ausführliches Monitoring hätten nach Unternehmensangaben gezeigt, dass das Problem inzwischen unter Kontrolle sei.

Hintergrund

Ein Kreditkartenprozessor ist ein technischer Dienstleister, der im Auftrag von Kreditkartengesellschaften deren Zahlungsverkehr abwickelt. Er ist also keine Bank. Das Geschäft wird von einigen wenigen globalen Playern beherrscht, zu denen auch First Data und Global Payments gehören. Laut diesem Artikel im Wall Streat Journal verarbeitete allein Global Payments im letzten Jahr Kreditkartentransaktionen in Höhe von 120,6 Milliarden US-Dollar – 11% mehrt als im Jahr davor.

First Data und Global Payments haben in den letzten Jahren im großen Stil Prozessoren in Europa aufgekauft. So ist die deutsche GZS heute ein Teil von First Data Germany und die österreichische APSS nennt sich heute First Data Austria.

Da die Verarbeitung von Kreditkartendaten nun in der Hand einiger weniger Player ist, verarbeiten diese auch einen großen Teil der Kreditkartentransaktionen und schaffen es Hacker, in diese Systeme einzudringen, können sie auf einen Schlag unzählige Kreditkartendaten erbeuten.
Vielleicht noch brisanter ist, dass First Data einer der treibenden Kräfte hinter PCI DSS, dem Sicherheitsstandard der Kreditkartenunternehmen ist. Ein nicht unbeträchtlicher Beitrag zu diesem Standard stammt von Mitarbeitern der First Data. Das hat zur Folge, dass die, die sich dem Standard unterwerfen müssen jene sind, die ihn definieren. Was die eine oder andere vom Standpunkt der Sicherheit her seltsam anmutende Regelung in diesem Standard erklären könnte…

4 Kommentare »

  1. Eine Zusamenhang abzuleiten, dass die Aufkäufe von Prozessingunternehmen in Europe durch First Data oder Global Payments es Hackern vereinfacht Kreditkartendaten abzugreifen, ist doch sehr weit hergeholt. Es ist nicht so, dass damit alle Kreditkarten nur noch über eine Verarbeitungsplattform verarbeitet werden. Einen solchen Zusammenhang herzustellen zeigt, dass der Beitrag von Herrn Kübeck eher populistischen Zwecken dient, als einer sachlichen Analyse.

    Kommentar von Marcus W. Mosen — April 1, 2012 @ 12:01 | Antwort

  2. Die Aufkäufe von Prozessingunternehmen in Europe durch First Data oder Global Payments machen es Hackern tatsächlich nicht leichter, Kreditkartendaten abzugreifen. Das habe ich auch nicht geschrieben. Es ist nur so, dass sollte ein Einbruch in eines der genannten Unternehmen stattfinden, dann haben Angreifer Zugriff auf eine größere Anzahl an Kreditkartendaten, als wenn die Verarbeitung von Kreditkartendaten auf mehr Prozessoren aufgeteilt wäre. Tatsächlich sind die genannten Unternehmen aber dabei, die Verarbeitung auf weniger Standorte als bisher zu konzentrieren, um Kosten zu senken.

    Kommentar von sebastiankuebeck — April 1, 2012 @ 18:04 | Antwort

    • Es ist hinlänglich bekannt, dass vor allem in der IT Kosteneffizienz primär durch Skaleneffekte und durch die Einführung durch Standards erreicht werden kann. Ob man die Unternehmenskäufe von Global Payments, First Data, TSYS etc. für gut empfindet oder nicht muss jeder für sich selbst beantworten. Aber die Unterstützung und Mitarbeit bei der Erarbeitung Standards zu kritisieren ist nicht nachvollziehbar. Sehr erfolgreich wurde z.B. der EMV Standard genau auf diesem Wege erarbeitet und implementiert. Vor allem durch EMV ist das Counterfeit Risiko nahezu eliminiert worden. Selbst im Bereich des klassischen Zahlungsverkehrs (auch in Deutschland) werden die Standards von den Betroffenen (also Banken) im DK (ehemals ZKA) definiert.

      Kommentar von Carlos Gómez-Sáez — April 3, 2012 @ 08:19 | Antwort


RSS feed for comments on this post. TrackBack URI

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Bloggen auf WordPress.com.

%d Bloggern gefällt das: