Sicherheitslücken bei Kartenleser von Kobil trotz Zertifizierung

Der Hersteller Kobil bietet mit seinen Kartenlesegeräte EMV-TriCAP Reader, SecOVID Reader III und KAAN TriB@nk Sicherheitslösungen für eBanking und Online-Abrechnungen an. Die Leistungsfähigkeit dieser Geräte wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) geprüft und bestätigt, so dass sie für den Einsatz nach strengen deutschen Signaturgesetzen (SigG) geeignet sind. Auch der zentrale Kreditausschuss (ZKA) hat das TriB@nk – Gerät für den Einsatz als Geldkarte und den HBCI-Nachfolger Secoder für das Homebanking zugelassen.

Nun ist es einem Hacker mit dem Pseudonym Colibri gelungen, eine Schwachstelle aufzudecken und die Signaturprüfung auszuhebeln, indem er den für die Prüfung verantwortlichen Bootloader im Lesegerät gegen einen manipulierten Bootloader tauschte. Ende April veröffentlichte der Hersteller Kobil ein Sicherheitsupdate 79.23 für den Kaan TriB@nk und die zuständige Behörde Bundesnetzagentur warnte gemäß Paragraph 3 des Signaturgesetzes vor dieser Sicherheitslücke. Doch trifft der Anwender eher zufällig auf eine öffentliche Information zu diesem Sicherheitsproblem.

Auf Nachfrage erklärte das ZKA, dass man keine Informationen herausgab, da es sich um eine kleine überschaubare Kundengruppe handelt und der Hersteller Kobil direkt auf die betroffenen Kunden zugegangen sei. Nichtsdestotrotz machen einige Sparkassen ihre Kunden auf der Webseite auf dieses Sicherheitsproblem aufmerksam und empfehlen, die Geräte an den Hersteller Kobil für ein Update einzusenden.

Die gefundene Sicherheitslücke lässt erhebliche Zweifel an der Qualität einer Sicherheitszertifizierung von Systemen und Software aufkommen, so der Datenschutz- und IT-Sicherheitsbeauftragte Herr Prof. Dr. Rainer W. Gerling der Max-Planck-Gesellschaft zur Förderung der Wissenschaften e.V.. In diesem Fall mangelte es nicht nur den BSI-Prüfern an Kreativität und Phantasie, auch T-Systems bestätigte in einer unabhängigen Prüfung, dass die Geräte den Anforderungen der Signaturgesetze entsprachen.

Quelle: Heise online