Lassen wir die Banken einmal beiseite und widmen wir uns der ganz gewöhnlichen Kreditkarte:

Jede Kreditkarte besitzt eine 13- bis 16-stellige Zahl, die einen ganz bestimmten Aufbau besitzt, der durch einen mathematischen Algorithmus namens Luhn-Formel bestimmt wird. Auf diese Weise wird sichergestellt, dass nur ganz bestimmte Nummern verwendbar sind, so dass man nicht einfach irgendeine alte Nummer als gültig angeben kann. In ein frei verfügbares Programm wird eine echte Kartennummer als Basis eingegeben, worauf das Programm eine beliebige Anzahl von Nummern mit ähnlicher Luhn-Validierung generiert. Wird beispielsweise ein Spielraum von 500 eingegeben, generiert das Programm 500 Kreditkartennummern aus der eingegebenen Basis. Man kann davon ausgehen, dass eine so kleine Auswahl von Nummern ein ähnliches Ablaufdatum aufweisen wie die Basiskarte. Nun besucht der Hacker einen Shop und kauft einen Artikel zum Download. Der Hacker gibt dabei erfundene Namen- und Anschriftdaten, eine erfundene Sicherheitsnummer (von der Rückseite der Karte) sowie eine der generierten Kartennummern zusammen mit dem Ablaufdatum der Basiskarte ein. Wenn die Bank diese Kartennummer tatsächlich an einen Kunden vergeben hat, könnte die Zahlung je nachdem welches Sicherheitsniveau der Zahlungsgateway besitzt tatsächlich akzeptiert werden. Wie das möglich ist? Ganz einfach: Viele Zahlungsgateways erhalten Sicherheitsnummern, Namen und Anschriften und speichern diese einfach ab, ohne je ihre Gültigkeit zu prüfen. Wenn also die Karte ausgestellt wurde und Kartendaten sowie Ablaufdatum korrekt sind, wird die Zahlung angenommen und der Download erfolgt. Wenn der tatsächliche Karteninhaber den Betrug nicht bemerkt, kann dieser anderweitig nie entdeckt werden.

Master Card und VISA setzen derzeit ein als 3D Secure bezeichnetes Verfahren um. In seiner jetzigen Form arbeitet es mit den eingangs beschriebenen Benutzernamen, Passwörtern und PINs, weshalb es auch für alle geschilderten Arten von Angriffen anfällig ist. Interessanterweise verlagert es aber die Verantwortung auf den Karteninhaber und dessen ausstellende Bank. Wenn Sie nun also das Opfer eines Online-Raubs Ihrer Kreditkarte werden, müssen Sie auch noch selbst dafür geradestehen. Doch darauf werden wir im weiteren Verlauf dieser Artikelserie noch näher eingehen.

Für Systemadministratoren und Architekten von Sicherheitssystemen ist das Internet ein wahres Schlachtfeld. Sie hoffen stets, keinen Treffer abzubekommen, und wenn doch müssen sie so rasch wie möglich den Schaden unter Kontrolle bringen. Dabei kommt es vor allem darauf an, den Treffer möglichst schnell zu bemerken, den Angriffspunkt zu finden und die Lücke zu schließen, bevor sie von anderen bemerkt wird. Denn wenn sich eine solche Schwachstelle erst einmal herumgesprochen hat, wird sie von NMAP-Scans und anderen Attacken überflutet. (NMAP ist ein bekanntes Programm für Sicherheitsscans, mit dessen Hilfe Hacker eine ganze Reihe äußerst cleverer Verfahren anwenden können, um Sicherheitslücken in Systemen ausfindig zu machen.)

Für die Hacker ist das Internet ein riesiges Spielfeld. Die Spielfiguren sind dabei die von den System- und Hardware-Entwicklern erstellten Strukturen und die Spielzüge bestehen in systematischen Suchläufen und ausgefeilten Angriffsstrategien.

Zum tausendsten Mal: PINs und Passwörter sind besonders riskant!

Ein weiterer Angriffspunkt der Hacker sind die Gewohnheiten der Benutzer. Die meisten von ihnen benutzen nämlich dieselben PINs und Passwörter für mehrere Anwendungen. So wird beispielsweise die PIN einer Kreditkarte häufig auch für den Geldautomaten, das Onlinebanking und mitunter sogar für das Alarmsystem zu Hause benutzt! Das bedeutet, dass auf einer Website geknackte PINs oder Passwörter zum Zugriff auf mehrere Websites oder Anwendungen missbraucht werden können.

Dies wirft eine ganze Reihe wichtiger Fragen auf: Auf wie vielen Websites geben die Benutzer ihre Passwort- und PIN-Daten ein? Verwenden die Benutzer für jede Website andere Passwörter und PINs? Wenn die Benutzer separate Identitätsangaben für jede Website verwenden, wo haben sie diese Daten dann aufgezeichnet?

Die Administratoren und Mitarbeiter zahlreicher Websites haben Zugriff auf die von den Benutzern verwendeten PINs und Passwörter, die in den Datenbanken der Websites gespeichert sind. Banken, Gateways und Shops, die Kreditkartenzahlungen entgegennehmen oder Bankkonten für ihre Benutzer zugänglich machen, müssen sich bewusst sein, dass es nicht genügt, den Zugang zu ihren jeweiligen Websites zu sichern, wenn die Identitätsdaten des Benutzers auf anderen Wegen entwendet werden .