Nach massenhaftem Kreditkartendiebstahl: Banken verklagen Sicherheitsfirma Trustwave

Zwei Banken verklagen den Sicherheitsdienstleister Trustwave, der ihrer Meinung nach nicht genug getan hat, um im vergangenen Jahr massenhaften Kreditkartendiebstahl bei der US-Kette Target zu verhindern. Sie bemühen sich auch um eine Zulassung als Sammelklage. Das berichtet die Nachrichtensite American Banker, die sich der US-Finanzbranche widmet.

Die Kläger sind demnach Trustmark National Bank und Green Bank N.A., die parallel auch Target selbst verklagen. Eine Lücke erlaubte Kriminellen, dort mehr als 40 Millionen Kreditkartendaten zu stehlen. Später meldete Target, dass außerdem persönliche Daten von 70 Millionen Kunden eingesehen wurden.

Trustwave rühmt sich auf seiner Website, mehr Firmen nach dem Standard Payment Card Industry (PCI) Data Security zertifiziert zu haben als alle Konkurrenten in seiner Branche zusammen. PCI-Standards gelten in der Finanzbranche als allgemein verbindlich. Sie sollen Händlern und anderen Firmen durch ihre Vorgaben helfen, Kredit- und Kontokarten gegen Datendiebstahl abzusichern.

Dem Bericht von American Banker zufolge steht in der dem US-Bundesbezirksgericht Chicago vorliegenden Klage, dass Target zum Zeitpunkt des Datendiebstahls PCI-Standards nicht eingehalten hat. Dennoch soll ihm Trustwave zugesichert haben, es bestehe keine Gefahr.

Für die Banken war der Vorfall ein schwerer Schlag. Der Klageschrift zufolge werden Trustmark und Green Bank 172 Millionen Dollar ausgeben müssen, um Kredit- und Kontokarten auszutauschen. Außerdem sind die Banken verpflichtet, den Kunden eventuelle Abbuchungen durch Betrüger zu ersetzen, was die Kosten noch deutlich ansteigen lassen könnte – ihnen zufolge auf bis zu 18 Milliarden Dollar.

Der Vorfall bei Target scheint Teil eines Raubzugs gewesen zu sein, dem mindestens sechs US-Händler und -Handelsketten zum Opfer fielen. Das wurde im Januar durch eine Warnung des FBI bekannt. Die Bundespolizei führte aus, Kassensysteme seien ein Angriffsziel von hohem Wert. Auch wenn die Daten für die Übertragung an den Bezahldienst verschlüsselt würden, müssten sie doch an einem Punkt als Klartext vorliegen. Fortschrittliche Kassensysteme speicherten diesen Klartext zwar nicht, er müsse aber im flüchtigen Speicher vorliegen. Wenn Kriminelle zum richtigen Zeitpunkt diesen Speicher auslesen, haben sie die nötigen Daten unverschlüsselt abgefangen.

Dieses Verfahren nennt die Polizei „RAM Scraping“, also „am RAM kratzen“. Es ist auch bei Webservern beobachtet worden. 2009 war vermutlich erstmals von Fällen die Rede gewesen, in denen Kriminelle auf diese Weise Handy-PINs abschöpften. Die Sicherheitsabteilung von Verizon nannte dies damals „eine vollkommen neue Art Angriff, die wir nur in der Theorie für möglich gehalten hätten.“

Das Schadprogramm soll auch beim Luxuskaufhaus Neiman Marcus monatelang Kundendaten gesammelt haben. Die anderen Opfer sind nicht namentlich bekannt. Die Malware wurde zudem schon in Kanada und Australien entdeckt.

[mit Material von Don Reisinger, News.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

2 Tagen ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

5 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

6 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

6 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

6 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

7 Tagen ago