Kreditkarten gelten gemeinhin als sicher – schließlich unterliegen alle Händler und Zahlungsdienstleister dem PCI DSS (Payment Card Industry Data Security Standard), einem der strengsten Industriestandards für den Umgang mit sensiblen Zahlungsdaten. Doch ein Sicherheitsforscher hat nun aufgezeigt, dass selbst vollständige PCI-DSS-Konformität keinen ausreichenden Schutz bietet: Kreditkartendaten lassen sich durch gezielte Brute-Force-ähnliche Angriffe ableiten – und das, ohne dass ein Datenleck im klassischen Sinne stattfinden muss.
Wie der Angriff funktioniert
Das Grundproblem liegt in der begrenzten Entropie der Kreditkartendaten selbst. Eine typische Kreditkartennummer besteht aus 16 Ziffern, wobei die ersten sechs bis acht Stellen den BIN-Code (Bank Identification Number) des Herausgebers identifizieren – dieser ist öffentlich bekannt oder leicht recherchierbar. Die verbleibenden acht bis zehn Stellen sind damit der eigentliche Suchraum. Hinzu kommen Ablaufdatum und CVV, die ebenfalls einen sehr begrenzten Wertebereich haben. Ein Angreifer, der lediglich den BIN-Code kennt, kann durch systematisches Durchprobieren der verbleibenden Stellen in Kombination mit realen Zahlungsanfragen über verschiedene Händler-Endpunkte potenziell gültige Kartenkombinationen ermitteln – ohne jemals Zugriff auf eine Datenbank zu benötigen.
PCI DSS schützt gespeicherte Daten – nicht den Prozess
Der entscheidende Punkt ist: PCI DSS schützt primär gespeicherte und übertragene Kartendaten. Der Standard definiert Mindestanforderungen für Verschlüsselung, Zugriffskontrollen und Netzwerksicherheit. Was er jedoch nicht verhindert, ist der Missbrauch legitimer Zahlungsschnittstellen für automatisierte Testanfragen. Viele E-Commerce-Plattformen implementieren zwar Rate-Limiting und Captcha-Mechanismen, doch diese Schutzmaßnahmen sind oft unzureichend oder lassen sich durch verteilte Anfragen über verschiedene IP-Adressen umgehen. Der Forscher berichtet, dass er selbst Opfer einer solchen Ableitung wurde – seine Kartendaten wurden offenbar nicht gestohlen, sondern rechnerisch hergeleitet.
Einordnung und Branchenkontext
Dieser Angriffsvektor ist in der Sicherheitsforschung nicht völlig neu, gewinnt aber durch die zunehmende Verbreitung von automatisierten Zahlungs-APIs und die schiere Anzahl an Online-Händlern an Relevanz. Bereits 2016 wiesen Forscher der Newcastle University nach, dass Visa-Karten durch verteilte Anfragen an verschiedene Händler-Websites geknackt werden können, da kein zentrales System existiert, das verdächtige Muster kartenübergreifend erkennt. Das grundlegende Problem besteht bis heute: Das Zahlungssystem ist dezentral, und genau diese Dezentralität erschwert eine effektive Angriffserkennung.
Was bedeutet das für Nutzer und Unternehmen?
Für Verbraucher bedeutet dies, dass virtuelle Einmalkartennnummern – wie sie viele Banken und Fintech-Anbieter inzwischen anbieten – einen deutlich besseren Schutz bieten als physische Karten. Auch das regelmäßige Überprüfen von Kontoauszügen auf unbekannte Kleinstbeträge bleibt essenziell, da Angreifer häufig zunächst mit minimalen Beträgen testen. Für Unternehmen und Zahlungsanbieter ergibt sich die Notwendigkeit, kartenübergreifende Anomalieerkennung zu implementieren und API-Endpunkte konsequenter gegen automatisierte Anfragen abzusichern – über das von PCI DSS geforderte Minimum hinaus. Der Standard allein reicht offensichtlich nicht aus.
Quellen: Hacker News