Per Mausklick im Internet einkaufen ist zeitsparend und bequem. Immer mehr Anbieter im Internet bieten die Möglichkeit an, per Kreditkarte zu zahlen. Die Zahl der Nutzer, die an virtuellen Auktionen teilnehmen oder ihre Einkäufe und Geschäfte im Internet erledigen wächst täglich.
Zahlung ist mittlerweile fast nur noch über Kreditkarte möglich, die kombiniert mit persönlichen Daten, wie Name und Adresse, dem Benutzer scheinbar endlosen Einkaufsgenuss jenseits der Ladenschlusszeiten eröffnet. Die Eingabe einer PIN entfällt hierbei oft. Das heißt, dass die Kreditkartennummer und Laufzeit, die auf jeder Kreditkarte offen vermerkt sind, als Identifikations- und Zahlungsnachweis im Internet ausreichen.
Lauschangriff
Daher haben sich verschiedene Hacker mittlerweile darauf spezialisiert, an Kreditkartennummern fremder Leute zu gelangen. Eine wirkungsvolle Methode, Daten von Benutzern zu ergaunern ist der Lauschangriff. Internetanbieter beispielsweise nutzen zahlreiche Hilfsmittel, um den Datentransfer, der durch ihre Systeme fließt, zu beobachten. Sogenannte „Monitoring-Programme“ oder „Sniffer“ erlauben Systemadministratoren jeglichen Transfer ihrer Benutzer im Internet zu kontrollieren. Diese Observation ist nötig, um bei einem Datenstau die Fehlerquellen schneller lokalisieren zu können. Ein Administrator eines renommierten Internetanbieters ist zwar im seltensten Fall jemand, der sich an persönlichen Daten seiner Kunden vergreift, dennoch ist ein Missbrauch nicht auszuschließen. Hacker haben eine ähnliche Methode entwickelt, um Daten ahnungsloser Benutzer zu erbeuten. Sie installieren kleine Spionage-Applikationen in die Rechner von Internetanbietern, die ebenfalls die Fähigkeit besitzen, Daten abzuzapfen. Im Fachjargon „Spybots“ genannt, sind diese Programme ständig auf der Jagd nach bestimmten Transferprotokollen. Wenn es dem Spybot gelingt eine brauchbare Information abzufangen, leitet er sie an den Hacker weiter. Der Hacker kann ohne große Mühe den Datenaustausch beobachten, Buchungen auswerten und so an Kreditkartennummern, sowie persönliche Daten, herankommen.
Betrügerische Websites
Eine viel einfachere Möglichkeit erlaubt es vor allem Gelegenheitshackern, sich Kreditkartennummern anzueignen. Der Hacker richtet eine eigene Website ein und bietet auf dieser ein bestimmtes Produkt an. Sobald ein Anwender auf dieses Angebot eingeht und mit der Eingabe seiner Kreditkartennummer eine Bestellung bei dem Hacker aufnimmt, kommt dieser problemlos an die gewünschten Informationen heran. Der Hacker kann mit diesen gestohlenen Daten nun selbst einkaufen gehen.
Im Internet tummeln sich Tausende solcher Kreditkartenjäger, die nur darauf warten, dass ein unwissender Anwender anbeißt. Über die meisten dieser Websites kann man hauptsächlich pornographische Angebote abrufen. Daher ist es für die Opfer eher eine peinliche Angelegenheit, wenn ihnen die Kreditkartennummer im Internet auf diesem Wege gestohlen wird.
Dass Hacker mit dieser Methode immer noch erfolgreich sind, wird durch die vielen Opfer deutlich. Die Kreditkartenanbieter sind im Regelfall dazu verpflichtet, bei derartigen Missbräuchen zu Gunsten des Kunden zu handeln und den entstandenen Schaden zu begleichen. Jedoch gelingt es dem Kunden nicht immer herauszufinden, auf welchem Wege seine Karte an Dritte gelangt ist und so kommt es auch zu Fällen, bei denen der Kunde auf dem entstandenen Schaden sitzenbleibt, weil der entsprechende Kreditkartenanbieter jegliche Verantwortung von sich weist.
Neue Schutzmechanismen
Die drei Kreditkartenfirmen Euro-, Master- und Visa Card haben deshalb mit einem Pilotprojekt eine neue Initiative gestartet. Mit dem neuen Verschlüsselungsvorgang SET (Secure Electronic Transmission) soll Hackern und anderen Kreditkartenjägern Einhalt geboten werden. SET regelt einen Identifikationsnachweis, der im Bereich des E-Commerce bislang nicht angeboten wurde. Bei einer Bestellung mit SET werden die Daten des Kunden nur noch verschlüsselt an einen autorisierten Händler geschickt. So können Daten auf dem Weg zum Händler von Dritten zwar wie oben erläutert abgefangen, aber aufgrund der Verschlüsselung nicht ohne weiteres entziffert werden.
Obwohl es sich bei SET um eine aufwändige 1024-Bit-Verschlüsselung handelt, kann niemand wirklich garantieren, dass codierte Daten nicht geknackt werden können. Die Vergangenheit hat bewiesen, dass selbst gute Verschlüsselungsmethoden, die als absolut sicher galten, von gewieften Hackern geknackt wurden. Da es sich bei SET um eine recht neue Verschlüsselungsvariante handelt, wird sich dieses Prinzip erst als sicher erweisen müssen.
Es ist jedoch nicht die Sicherheitsfrage, die SET zu einem um-strittenen Thema macht. Die Vorteile des Kunden, Einkäufe sicher über SET zu tätigen, können sich durchaus zu seinem Übel wenden. Denn, sollte nun ein Kreditkartenmissbrauch trotz der Sicherheitsmaßnahme SET gelingen, wird es für das Opfer nur noch schwieriger, den Missbrauch erfolgreich nachzuweisen. Daher stellt sich die Vermutung ein, dass solche Sicherheitsmaßnahmen auch oft zur Sicherheit des Kreditkartenanbieters eingeführt werden.
5. Die Kunst des Hackens
Der Mythos Hacker
Elektronischer Hausfriedensbruch
Maden im Internet
Bombenanschläge via EMail
Website Killer
Berufshacker
Etwas Sinnvolles tun, eine Bank überfallen
Sicher ist sicher!
Kreditkartenbetrug im Internet
Kryptographie
Wie werde ich zum Hacker?
Hacker im Visier der Justiz