Nach massenhaftem Kreditkartendiebstahl: Banken verklagen Sicherheitsfirma Trustwave

Zwei Banken verklagen den Sicherheitsdienstleister Trustwave, der ihrer Meinung nach nicht genug getan hat, um im vergangenen Jahr massenhaften Kreditkartendiebstahl bei der US-Kette Target zu verhindern. Sie bemühen sich auch um eine Zulassung als Sammelklage. Das berichtet die Nachrichtensite American Banker, die sich der US-Finanzbranche widmet.

Die Kläger sind demnach Trustmark National Bank und Green Bank N.A., die parallel auch Target selbst verklagen. Eine Lücke erlaubte Kriminellen, dort mehr als 40 Millionen Kreditkartendaten zu stehlen. Später meldete Target, dass außerdem persönliche Daten von 70 Millionen Kunden eingesehen wurden.

Trustwave rühmt sich auf seiner Website, mehr Firmen nach dem Standard Payment Card Industry (PCI) Data Security zertifiziert zu haben als alle Konkurrenten in seiner Branche zusammen. PCI-Standards gelten in der Finanzbranche als allgemein verbindlich. Sie sollen Händlern und anderen Firmen durch ihre Vorgaben helfen, Kredit- und Kontokarten gegen Datendiebstahl abzusichern.

Dem Bericht von American Banker zufolge steht in der dem US-Bundesbezirksgericht Chicago vorliegenden Klage, dass Target zum Zeitpunkt des Datendiebstahls PCI-Standards nicht eingehalten hat. Dennoch soll ihm Trustwave zugesichert haben, es bestehe keine Gefahr.

Für die Banken war der Vorfall ein schwerer Schlag. Der Klageschrift zufolge werden Trustmark und Green Bank 172 Millionen Dollar ausgeben müssen, um Kredit- und Kontokarten auszutauschen. Außerdem sind die Banken verpflichtet, den Kunden eventuelle Abbuchungen durch Betrüger zu ersetzen, was die Kosten noch deutlich ansteigen lassen könnte – ihnen zufolge auf bis zu 18 Milliarden Dollar.

Der Vorfall bei Target scheint Teil eines Raubzugs gewesen zu sein, dem mindestens sechs US-Händler und -Handelsketten zum Opfer fielen. Das wurde im Januar durch eine Warnung des FBI bekannt. Die Bundespolizei führte aus, Kassensysteme seien ein Angriffsziel von hohem Wert. Auch wenn die Daten für die Übertragung an den Bezahldienst verschlüsselt würden, müssten sie doch an einem Punkt als Klartext vorliegen. Fortschrittliche Kassensysteme speicherten diesen Klartext zwar nicht, er müsse aber im flüchtigen Speicher vorliegen. Wenn Kriminelle zum richtigen Zeitpunkt diesen Speicher auslesen, haben sie die nötigen Daten unverschlüsselt abgefangen.

Dieses Verfahren nennt die Polizei „RAM Scraping“, also „am RAM kratzen“. Es ist auch bei Webservern beobachtet worden. 2009 war vermutlich erstmals von Fällen die Rede gewesen, in denen Kriminelle auf diese Weise Handy-PINs abschöpften. Die Sicherheitsabteilung von Verizon nannte dies damals „eine vollkommen neue Art Angriff, die wir nur in der Theorie für möglich gehalten hätten.“

Das Schadprogramm soll auch beim Luxuskaufhaus Neiman Marcus monatelang Kundendaten gesammelt haben. Die anderen Opfer sind nicht namentlich bekannt. Die Malware wurde zudem schon in Kanada und Australien entdeckt.

[mit Material von Don Reisinger, News.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de