Per Mausklick im Internet einkaufen ist zeitsparend und bequem. Immer mehr Anbieter im Internet bieten die
Möglichkeit an, per Kreditkarte zu zahlen. Die Zahl der Nutzer, die an virtuellen Auktionen teilnehmen oder ihre Einkäufe und Geschäfte im Internet erledigen wächst täglich.
Zahlung ist
mittlerweile fast nur noch über Kreditkarte möglich, die kombiniert mit persönlichen Daten, wie Name und Adresse, dem Benutzer scheinbar endlosen Einkaufsgenuss jenseits der Ladenschlusszeiten
eröffnet. Die Eingabe einer PIN entfällt hierbei oft. Das heißt, dass die Kreditkartennummer und Laufzeit, die auf jeder Kreditkarte offen vermerkt sind, als Identifikations- und Zahlungsnachweis
im Internet ausreichen.
Daher haben sich verschiedene Hacker mittlerweile darauf spezialisiert, an Kreditkartennummern fremder Leute zu gelangen. Eine wirkungsvolle Methode, Daten von
Benutzern zu ergaunern ist der Lauschangriff. Internetanbieter beispielsweise nutzen zahlreiche Hilfsmittel, um den Datentransfer, der durch ihre Systeme fließt, zu beobachten. Sogenannte
»Monitoring-Programme« oder »Sniffer« erlauben Systemadministratoren jeglichen Transfer ihrer Benutzer im Internet zu kontrollieren. Diese Observation ist nötig, um bei einem Datenstau die
Fehlerquellen schneller lokalisieren zu können. Ein Administrator eines renommierten Internetanbieters ist zwar im seltensten Fall jemand, der sich an persönlichen Daten seiner Kunden vergreift,
dennoch ist ein Missbrauch nicht auszuschließen. Hacker haben eine ähnliche Methode entwickelt, um Daten ahnungsloser Benutzer zu erbeuten. Sie installieren kleine Spionage-Applikationen in die
Rechner von Internetanbietern, die ebenfalls die Fähigkeit besitzen, Daten abzuzapfen. Im Fachjargon »Spybots« genannt, sind diese Programme ständig auf der Jagd nach bestimmten
Transferprotokollen. Wenn es dem Spybot gelingt eine brauchbare Information abzufangen, leitet er sie an den Hacker weiter. Der Hacker kann ohne große Mühe den Datenaustausch beobachten,
Buchungen auswerten und so an Kreditkartennummern, sowie persönliche Daten, herankommen.
Eine viel einfachere Möglichkeit erlaubt es vor allem Gelegenheitshackern, sich Kreditkartennummern
anzueignen. Der Hacker richtet eine eigene Homepage ein und bietet auf dieser ein bestimmtes Produkt an. Sobald ein Anwender auf dieses Angebot eingeht und mit der Eingabe seiner
Kreditkartennummer eine Bestellung bei dem Hacker aufnimmt, kommt dieser problemlos an die gewünschten Informationen heran. Der Hacker kann mit diesen gestohlenen Daten nun selbst einkaufen gehen.
Im Internet tummeln sich Tausende solcher Kreditkartenjäger, die nur darauf warten, dass ein unwissender Anwender anbeißt. Über die meisten dieser Homepages kann man hauptsächlich
pornographische Angebote abrufen. Daher ist es für die Opfer eher eine peinliche Angelegenheit, wenn ihnen die Kreditkartennummer im Internet auf diesem Wege gestohlen wird.
Dass Hacker
mit dieser Methode immer noch erfolgreich sind, wird durch die vielen Opfer deutlich. Die Kreditkartenanbieter sind im Regelfall dazu verpflichtet, bei derartigen Missbräuchen zu Gunsten des
Kunden zu handeln und den entstandenen Schaden zu begleichen. Jedoch gelingt es dem Kunden nicht immer herauszufinden, auf welchem Wege seine Karte an Dritte gelangt ist und so kommt es auch zu
Fällen, bei denen der Kunde auf dem entstandenen Schaden sitzenbleibt, weil der entsprechende Kreditkartenanbieter jegliche Verantwortung von sich weist.
Die drei Kreditkartenfirmen Euro-,
Master- und Visa Card haben deshalb mit einem Pilotprojekt eine neue Initiative gestartet. Mit dem neuen Verschlüsselungsvorgang SET (Secure Electronic Transmission) soll Hackern und anderen
Kreditkartenjägern Einhalt geboten werden. SET regelt einen Identifikationsnachweis, der im Bereich des E-Commerce bislang nicht angeboten wurde. Bei einer Bestellung mit SET werden die Daten des
Kunden nur noch verschlüsselt an einen autorisierten Händler geschickt. So können Daten auf dem Weg zum Händler von Dritten zwar wie oben erläutert abgefangen, aber aufgrund der Verschlüsselung
nicht ohne weiteres entziffert werden.
Obwohl es sich bei SET um eine aufwändige 1024-Bit-Verschlüsselung handelt, kann niemand wirklich garantieren, dass codierte Daten nicht geknackt
werden können. Die Vergangenheit hat bewiesen, dass selbst gute Verschlüsselungsmethoden, die als absolut sicher galten, von gewieften Hackern geknackt wurden. Da es sich bei SET um eine recht
neue Verschlüsselungsvariante handelt, wird sich dieses Prinzip erst als sicher erweisen müssen.
Es ist jedoch nicht die Sicherheitsfrage, die SET zu einem um-strittenen Thema macht. Die
Vorteile des Kunden, Einkäufe sicher über SET zu tätigen, können sich durchaus zu seinem Übel wenden. Denn, sollte nun ein Kreditkartenmissbrauch trotz der Sicherheitsmaßnahme SET gelingen, wird
es für das Opfer nur noch schwieriger, den Missbrauch erfolgreich nachzuweisen. Daher stellt sich die Vermutung ein, dass solche Sicherheitsmaßnahmen auch oft zur Sicherheit des
Kreditkartenanbieters eingeführt werden. |
