Im Dezember hörten mehrere Tausend Kreditkartenlesegeräte bei diversen Händlern in den USA einfach auf zu funktionieren. Ihre LCD-Displays zeigten leere Bildschirme statt Zahlen und Buchstaben an. Die verdutzten Händler befürchteten bereits eine ausgeklügelte Hacker-Attacke auf ihre Kassenregister. Zwar war der Vorfall sicherheitsbezogen, allerdings hatte es nichts mit Cyberkriminellen zu tun.

Am 07. Dezember 2014 funktionierte ein bestimmtes älteres Modell von Hypercom nicht mehr, da das Verschlüsselungs-Zertifikat der Geräte abgelaufen war – so Equinox Payments, die Firma, der Hypercom angehört.

„Der Sicherheitsmechanismus wurde schlichtweg durch das Datum ausgelöst, nicht durch einen Cyber-Angriff“,

so Stuart Taylor, Vizepräsident bei Equinox.

„Das Zertifikat wurde 2004 mit einer zehnjährigen Gültigkeit versehen.“

Equinox arbeitet derzeit mit Kunden, Distributoren und Verteilern daran, das Zertifikat zu ersetzen, damit die Geräte wieder funktionieren. Die Firma verweist Kunden, die dabei noch Hilfe brauchen, auf eine Hilfeseite.

„Viele der Geräte wurden bereits erfolgreich aktualisiert“,

so Taylor.

„Leider können einige der Geräte nicht vor Ort aktualisiert werden, sondern müssen an unseren Reparaturdienst gesandt werden. Wir arbeiten mit unseren Kunden und Distributionspartnern zusammen, um diese Geräte zu finden und jegliche benötigte Hilfe zur Verfügung zu stellen. Es ist in unserem Interesse, dass das Tagesgeschäft unserer Kunden so wenig wie möglich unterbrochen wird.“

Die Geräte versagen ihre Funktionalität nur, wenn sie an oder nach dem 07. Dezember 2014 neu gestartet wurden.

„Zwar machen das nicht alle Händler – aber die, die dies tun, standen am 07. Dezember vor nicht funktionstüchtigen Geräten“,

so Michael Rochette von Spencer Technologies. Die Supportfirma erhielt am 07. Dezember Anrufe verschiedener Kunden, unter anderem einer Supermarktkette, bei der dadurch an dem Tag alle Kartenlesegeräte ausfielen.

Einer der Händler:

„Wir haben drei Tage lang versucht, herauszufinden, was mit den Geräten nicht stimmt. Dass es quasi ein vorprogrammiertes Massensterben seitens des Herstellers war, ist uns nicht in den Sinn gekommen. Jetzt haben wir es auf dem Schirm.“

Dies führt wieder einmal vor Augen, dass ein großer Teil der Zahl-Infrastruktur in den USA recht veraltet ist. Einige der Hypercom-Geräte – allerdings nicht alle – erfüllen nicht mehr die Sicherheitsstandards des PCI Council.

Bleibt die Frage, weshalb Equinox es versäumte, seine Kunden rechtzeitig zu informieren. Vermutlich hängt es mit der eher komplexen Geschichte von Hypercom zusammen, welches mehrmals den Besitzer wechselte. Vermutlich verlor das Unternehmen dadurch den bevorstehenden Massenausfall aus den Augen.

Artikel von krebsonsecurity.com, 14.01.2014: ‘Security by Antiquity’ Bricks Payment Terminals