Seit dem 24. Mai 2022 streikten in zahlreichen Geschäften, Supermärkten, Tankstellen etc. die Terminals für Kartenzahlungen mit Giro- und EC-Karten. Betroffen sind Händler, die das Kartenterminals H5000 von Verifone einsetzen, da die Geräte eine Kommunikation mit dem Zahlungsdienstleister verweigern. Abschalten und neu starten brickt die Geräte, angeblich wegen eines Softwarefehlers. Inzwischen ist bekannt, dass auf den Geräten Zertifikate fehlen. Ein IT-Experte hat mir einige Insights zur Problematik zukommen lassen.
Anzeige
Probleme mit EC-Kartenlesegeräten
Seit dem 24. Mai 2022 geht bei manchen Händlern in Sachen bargeldloses Zahlen nur noch wenig. Bundesweit streiken bestimmte EC-Kartenlesegeräte des Typs H5000 des US-Herstellers Verifone. Ein Softwarefehler in den Kartenterminals H5000 verhindert eine Kommunikation mit dem jeweiligen Zahlungsdienstleister.
Es wird davor gewarnt, das Gerät stromlos zu machen, da es anschließend nicht mehr funktionsfähig ist und sich nur noch mit dem in obigem Foto gezeigten Screen meldet. Ich hatte über diesen Sachverhalt im Blog-Beitrag Probleme mit Kartenzahlung im Handel: Softwarefehler schuld (24.5.2022) berichtet.
Geräte, die noch nicht in obigem Boot-Modus stehen, können ggf. die EC-Karten für das Lastschriftenverfahren noch nutzen. Aber Zahlungen mit PIN, die eine Verifizierung der Transaktion erfordern, sind nicht mehr möglich.
Hintergrundinformationen zum Verifone H5000
IT-Experte Cedric Fischer von der Firma CeFisystems entwickelt mit seiner Firma die ZVT-Implementierung für Java und C# und ist daher in dem Thema EC-Terminals und den damit zusammenhängenden Sorgen und Probleme voll drin. Cedric hat mir per Mail diverse Informationen zukommen lassen (danke dafür), die ich hier veröffentliche. Er schreibt, dass das Verifone H5000 wohl Ende 2011 oder Anfang 2012 auf den deutschen Markt gekommen sein muss. Es sei zu dieser Zeit ein hochmodernes EC-Terminal gewesen. Im Gegensatz zum Thales/Hypercom/Verifone Artema Hybrid hat das Verifone H5000 es ein auf Linux basiertes Betriebssystem. Das Gerät war, laut meiner Quelle, damit um einiges leistungsfähiger als der Vorgänger und auch erheblich besser zu verwalten.
Anzeige
Laut meinen diversen Quellen sollten die Verifone H5000 EC-Kartenlesegeräte im Normalfall schon lange verschwunden sein. Ich hatte im Blog-Beitrag Probleme mit Kartenzahlung im Handel: Softwarefehler schuld (24.5.2022) eine Quelle zitiert, dass das Gerät 2019 abgekündigt wurde. Aktuell kann das EC-Kartenlesegerät auf 10 Jahre Marktverfügbarkeit in Deutschland zurückblicken – eine sehr lange Nutzungszeit.
Das EC-Kartenlesegerät ist inzwischen technisch überholt, aber nach wie vor bei Händlern im Einsatz. Laut meiner Quelle weist das EC-Lesegerät viel zu langsame Transaktionszeiten wegen der ganzen Krytografie mit dem Host auf. Das Konzept leidet auch an instabiler Software, die viele Abstürze im Betrieb provoziert. Eine leere Pufferbatterien führt zur Gerätesperre etc.
Laut Fischer wird die aktuelle Vorschrift TA7.2 (Technischer Anhang der deutschen Kreditwirtschaft) für das H5000 nicht mehr unterstützt. Es gelten aber Übergangsfristen für den aktuellen Anhang TA7.1. Prinzipiell könnten die Terminals noch bis 01.01.2025 betrieben werden. Erst dann müssen alle Terminals TA7.2 unterstützen. Es wird aber gemunkelt, dass beim Verifone H5000 EC-Kartenlesegerät bereits Ende 2023 gänzlich Schluss mit einer Unterstützung sei (siehe auch dieses PDF-Dokument des Herstellers).
Faktisch sei das Verifone H5000 EC-Kartenlesegerät laut Fischer aber immer noch sehr weit verbreitet und werde auch bei Neueröffnungen bestimmter Läden (Rossmann) noch immer eingesetzt. Lidl stellt seit einiger Zeit auf CCV-Terminals um, Rossmann und DM und der Renovierungs-Discounter Teppich-Domäne, NKD sowie Kik und der Merchandise-Shop des 1. FC Köln setzen nach wie vor auf das Verifone H5000 EC-Kartenlesegerät, so Fischer. Einige kleine Edeka-Läden, die die EC-Verträge nicht über die Edeka selbst beziehen, ebenfalls. Esso sei vor Kurzem mit der Migrierung der Kassen auf die neuen P400 Terminals von Verifone umgestiegen. Aral, Shell, BFT haben das Verifone H5000 EC-Kartenlesegerät laut meiner Quelle nie in Betrieb gehabt.
Probleme mit dem Verifone H5000 absehbar
Fischer berichtete per E-Mail, dass einer seiner Kunden bereits vor zwei Wochen berichtete, dass ein Verifone H5000 EC-Kartenlesegerät immer mal wieder ausfallen würde und sich keine Transkationen mehr erfolgreich abgeschlossen werden könnte. Insgesamt ziehen sich die Probleme mit diesem Kartenlesegeräte-Typ aber schon seit mindestens zwei Jahren hin, so Fischer.
Seit dem 24. Mai 2022 ist nun aber wohl bei allen Verifone H5000 EC-Kartenlesegeräten Schicht im Schacht – die Kommunikation mit dem Zahlungsdienstleister klappt nicht mehr. Die EC-Lesegeräte booten nur noch (wenn der Strom ausgeschaltet wurde) in ein Not-Menü, welches aber erstaunlicher Weise mit Admin-Rechten läuft. Normalerweise sind die Funktion nur im geladenen Zustand nur nach Eingabe eines Techniker-Passwortes sichtbar und benutzbar, gibt Fischer in seiner Mail an.
Erstaunlich sei auch, dass das Terminal (jedenfalls das Entwicklergerät von Fischer) auch sehr lange braucht, bis es im Not-Menü landet. Fischer konnte sich dann die Log-Dateien des Terminals auf einen USB-Stick ziehen (den USB-Stick kann man unten im Terminal einstecken). Nachfolgender Screenshot des Logs, den mit Cedric Fischer zur Verfügung gestellt hat, zeigt, dass es einen Fehler im Zertifikatsmanagement gibt.
Zertifikatsfehler H5000-Terminals, Quelle: Cedric Fischer
Anhand der Log-Dateien konnte Fischer dann relativ schnell sehen, dass das Terminal die "Bezahl-App" nicht prüfen kann, weil das entsprechende Zertifikat abgelaufen ist. Das Problem mit dem Zertifikat scheint aber gravierender zu sein, als es auf den ersten Blick ausschaut.
Zertifikatsfehler H5000-Terminals, Quelle: Cedric Fischer
Das als Testgerät von Fischer genutzte EC-Terminal findet nämlich gar keine Zertifikate mehr auf dem Gerät (Screenshot). Weiter kann man mit dem Terminal auch keine Verbindung mehr zum Wartungsserver herstellen. Zu der IP-Adresse baut das Terminal keinerlei Verbindung auf.
Zertifikate fehlen auf H5000-Terminals, Quelle: Cedric Fischer
Das lässt darauf schließen, dass das Terminal seine Zertifikate verloren hat oder diese im Zuge der Sicherheitsfunktionen diese noch nicht aus dem Speicher geladen wurden. Eine Prüfung, das Datum des Terminals manuell auf einen Datum einige Wochen vor dem Problem zu setzen, war nicht von Erfolg gekrönt. Es läuft wohl noch eine interne Hardware-Uhr, die für die sicherheitsrelevanten Funktionen eine extra Zeit bereitstellt. Zyklisch findet wohl eine interne Prüfung der Zertifikate auf dem Terminal statt. In nachfolgendem Foto sieht man weiterhin, dass der TMS (Terminal-Management-System) keine Antwort gibt. Das Terminal baut auch keine Verbindung dahin auf.
Deswegen wird es großenteils auch schwierig, den Fehler zu beheben, wenn der Update Server nicht erreicht werden kann. Es besteht aber die Möglichkeit, die Terminalsoftware über einen USB-Stick neu zu flashen. Im Zweifelsfall müssen alle Terminals manuell per USB neu bespielt werden. Auf heise heißt es heute in diesem Artikel, dass ein manueller Eingriff erforderlich sei. Das deckt sich mit den obigen Hinweisen von Cedric Fischer. Auch die Tatsache, dass die Probleme bis jetzt nicht gelöst werden konnten, spricht dafür, dass die Zertifikatsgeschichte größere Auswirkungen auf die Geräte hat, als bisher angenommen.
Werfe ich die Informationen zusammen, ist die Restlaufzeit der Geräte eigentlich absehbar – einige Nutzer vermuten, dass diese schlicht ausgetauscht oder manuell geflasht werden müssen. Problem dürfte sein, dass es nicht genügend Ersatzgeräte neueren Typs (P400/P200 Terminals) am Markt gibt.
Ergänzung: Auch Spiegel Online fasst in diesem Beitrag einige Informationen zusammen. Neu war für mich, dass das Kartenterminal H5000 von Verifone zur Markteinführung auch vom Bundesamt für Sicherheit in der Informationstechnik (BSI) überprüft und für den Einsatz im Handel zertifiziert wurde. Auf RND wird ein Statement von Payone zitiert: "Aufgrund eines Zertifikatsfehlers wird es nach aktuellem Stand nötig sein, auf allen H5000-Terminals neue Softwareupdates einzuspielen, die der Hersteller so schnell wie möglich bereitstellen wird." Klingt für mich nach Einsatz eines Technikers vor Ort, wenn ich mir die obigen Erläuterungen so ansehe. Finanzdienstleister Concardi hat noch keine Informationen zur Problembehebung veröffentlicht – die warten auf Nachricht von Verifone.
Betroffen sind wohl u.a. Aldi Nord (einige Filialen), die Drogerie-Kette Rossmann sowie Edeka. Aldi Süd, Lidl und die Rewe-Gruppe (Rewe, Penny, Toom) sind laut eigener Aussage nicht betroffen. Es bleibt also schwierig – Bargeld am Mann oder in der Handtasche der Frau ist also weiterhin nicht verkehrt. Old School-Verhalten ist im Hinblick auf das allseits propagierte "bargeldlose Bezahlen" also nicht so verkehrt.
Ergänzung 2: Verifone blendet aktuell auf seiner Webseite Erklärung ein, die ein abgelaufenes Zertifikat oder eine Sicherheitslücke negiert. Halte ich für eine "Nebelkerze", transparente Information geht anders. Dazu habe ich in einem separaten Beitrag Störung der Verifone H5000 EC-Kartenlesegeräte, neue Infos (29.5.2022) was geschrieben.
Ähnliche Artikel:
Datenleck bei Arztpraxis und Schwachstelle bei der Telekom Digitalisierungsbox
Probleme mit Kartenzahlung im Handel: Softwarefehler schuld (24.5.2022)
Störung der Verifone H5000 EC-Kartenlesegeräte, neue Infos (29.5.2022)
Verifone-Stellungnahme zum H5000-Kartenleser-Ausfall (14.6.2022)
Anzeige
Der Fehler ist offensichtlich weit verbreitet. Unglaublich, wie viele Händler auf ein einziges Modell setzen – dabei habe ich als Kunde eher das Gefühl, dass in jedem Laden andere Maschinen hängen und man immer schauen muss „Wie muss ich das denn hier machen?"
Was aber zum oben geschilderten Fehlerbild nicht passt, ist die heutige Aussage einer Kassiererin eines von der „Großstörung" betroffenen Supermarkts: „Auflegen funktioniert gar nicht, mit Reinstecken geht's manchmal, manchmal nicht." Dürfte ja eigentlich nicht sein – oder ist das schon der nächste Fehler?
(Ich jedenfalls denke an die fachlich haltlose Durchsage der letzten zwei Jahre und grinse mir eins: „Schützt euch und unsere Mitarbeiter vor Corona, indem ihr bargeldlos zahlt!" – Das hätte euch so gepasst. Aber der Geldbeutel ist noch lange nicht überflüssig.)
Zum "geht manchmal": Wenn PIN gefordert wird, dürfte es wegen des Zertifikatefehlers generell nicht gehen. Falls jemand Abbuchungen für Zahlungen verwendet, unterbleibt wohl die Verfikation und es werden nur Kartendaten gelesen und gespeichert. Aus der Sicht der Kassiererin sind wir dann möglicherweise beim "geht manchmal".
Der Vorfall zeigt aber, in welch dystopischen Verhältnissen wir leben – egal ob Bargeldzahlung oder andere Digitalisierungsprojekte. Berater ziehen mit Null Ahnung durch die Lande und verkünden eine frohe Digitalisierungsbotschaft. Nicht blickende IT-Entscheider und Politiker übernehmen die Sprüche der Berater und fahren ein Projekt nach dem anderen gegen die Wand.
– Aktuell EC-Kartenleseterminals
– Cell Broadcasting für Sirenenersatz soll kommen – nun stellt man fest, dass nicht genügend Smartphones das unterstützen
– Ausweislese-App ein Flop -> weil kaum Smartphones diese Ausweise lesen können – der Digitalausweis kann nur auf einem Handy von Samsung gespeichert werden.
– TI-Konnektoren in Arztpraxen müssen ausgetauscht werden, weil die Zertifikate ablaufen, aber nicht OTA aktualisiert werden können
– Die gesamte ITK im Gesundheitsbereich ist eine einzige Baustelle ….
und, und, und …
Aber die Apogoleten reisen durch's Land und verkünden "wir sind in Neuland, wir müssen schneller digitalisieren". So langsam zeichnen sich die Kosten dieser Digitalisierung ab – sei es in Form von Ransomware-Infektionen, sei es in Form von Ausfällen, Lieferkettenunterbrechungen etc.
Nicht nur Berater mit null Ahnung sind auf Bauernfängerei aus, auch Behörden wie das BSI oder die Bafin glänzen zuweilen, machmal seltener manchmal häufiger, durch fehlendes Knowhow. Daher: glaube niemandem, denke selbst.
Ich bin jetzt wahrlich kein Experte auf dem Gebiet der Zertifikate und PKI aber mit meinem bescheidenen Wissen kann ich hier nur laut "Amateure" ausrufen.
Mensch – das hast du aber klasse beschrieben!
Vielen Dank für die wahren Worte.
Das liegt an der eingestellten Zahlart. Manche Discounter rechnen per Lastschrift ab und nur in Ausnahmefällen per Girocard. Dazu kommt noch, dass es Girocard offline Zahlungen gibt, was ebenfalls keine Verbindung zum Host erfordert.
Viele Grüße
"Prinzipiell könnten die Terminals noch bis 01.01.2025 betrieben werden. Erst dann müssen alle Terminals TA7.2 unterstützen. Es wird aber gemunkelt, dass beim Verifon H5000 EC-Kartenlesegerät bereits Ende 2023 gänzlich Schluss mit einer Unterstützung sei."
Da braucht man nicht viel munkeln, da es von Verifone ein entsprechendes Dokument gibt, nach dem 2023 Schluss ist und auch das H5000 aufführt. Bis dahin gibt es entweder nur noch eingeschränkten Support bzw. mit erweiterter Garantie, vollen Support.
Abkündigung als PDF
Duplizität der Ereignisse, bzw. Einsteinsche Relativitätstherorie und Zeitdehnung. Auf dem Flug zwischen Erstveröffentlichung, Mittagessen und Querlesen ist für externe Beobachter viel Zeit vergangen, der mit Lichtgeschwindigkeit reisende Blogger hatte den Link "quasi sofort" aus anderer Quelle nachgereicht – wegen der Zeitdilletation dauerte es aber, bis das im Hier-Universum gelesen werden konnte ;-).
PS: Danke für den Hinweise – doppelt gemoppelt hält besser.
Passiert halt, wenn man etwas länger am Kommentar schreibt und zwischendurch die Seite im Browser nicht aktualisiert.
Interessant dürfte das jetzt für Geräte werden, die noch in Verwendung sind, aber keine erweiterte Garantie haben. Wenn das aktuelle Problem nicht unter "kritische Softwarefehler" oder Sicherheitslücke fällt, gibt es laut dem Dokument ja seit 2021 keinen Support mehr.
"Interessant" finde ich eine ziemlich fromme Formulierung. Die Händler, die jetzt wochenlag keine Kartenzahlung akzeptieren können, sind doch sehr geschädigt. Das führt mMn zu dauerhaftem Umsatzverlust. Einen solchen Händler streiche ich doch meiner Liste und werde dort so schnell nicht mehr einkaufen oder tanken. Offenbar ist aber Schwarz IT doch ganz brauchbar aufgestellt, weil weitgehend nicht betroffen.
Meinte das "interessant" auch eher in dem Zusammenhang, welche Position der Hersteller jetzt vertritt. Prinzipiell kann er ja sagen "Selber schuld, wenn ihr die Geräte nach dem angekündigten EOL noch verwendet". Wobei er andererseits aber damit auch riskiert, dass er Betroffene als Kunden verliert.
Wunderschön geschrieben! 😊 👍
Hr. Born, sie sollten evtl. als zweites Unruhestands-Standbein Satiriker werden …!?!?
Zu der Aussage im Artikel:
"Es wird davor gewarnt, das Gerät stromlos zu machen, da es anschließend nicht mehr funktionsfähig ist und sich nur noch mit dem in obigem Foto gezeigten Screen meldet."
Das dürfte ja wohl bei mind. geschätzten 90 % der Geräte dann eh der "Todesstoß" gewesen sein … Denn was macht man – oder auch Frau – meist als erste Sofortmaßnahme wenn sich (vor allem im Kundenverkehr: Die Schlange wird immer länger … oh jee, oh jeee, was tun wir denn jetzt nur???) eine IT mal wieder aufgehängt hat? Richtig: Einen Neustart – oft mit echtem "Stecker ziehen", wenn dann gar nix mehr geht. Egal ob PC, Router, Drucker, Kassen-/EC-Terminals … Die erste Hilfsmaßnahme, die ja auch oft von den Supports angewiesen wird, ist halt "Neustart/Stecker ziehen/stromlos machen" …! Sogar IT-mäßig Unbedarfte haben dies inzwischen verinnerlicht – nun gilt noch nicht mal mehr DAS als sicher … So was aber auch! 🥴 🤪 😠
Also diese Aussage: – Cell Broadcasting für Sirenenersatz soll kommen – nun stellt man fest, dass nicht genügend Smartphones das unterstützen
Kann nicht stimmen, Cell Broadcasting müssen alle Smartphones unterstützen. Ist in den USA Standard und mein iPhone zeigt drüben alle Meldungen richtig an. Habe das auch bei Android Geräten meiner Mitreisenden gesehen.
Ok, mein Fehler – habe das die Tage vernommen, aber technisch nicht hinterfragt. Ich verweise an dieser Stelle auf den Artikel Alarm-Testtag wird verschoben, weil taugliche Handys fehlen der Wirtschaftswoche, die die Verschiebung des Warn-Tags 2022 thematisiert. Es geht um den Katastrophenwarndienst DE-Alert der Bundesregierung. Zitat aus dem Artikel:
Die Warn-SMS können also nicht zugestellt werden.
Mit der "Warn-SMS" dürfte Cell Broadcast gemeint sein, denn Cell Broadcast heißt ja "SMS-CB" und nur ein extra Modus des Short Message System.
Soweit ich bisher mitbekommen habe, soll die Inkompatibiltät schlicht daher rühren, dass ältere CB-Standards 3-stellige Message-IDs nutzen und man für DE-Alert aber unbedingt 4-stellige haben möchte. Das wird aber eben von älteren Geräten nicht unterstützt.
Das stimmt aber so anscheinend auch nicht – das wird seit Android 4.2 unterstuetzt:
https://twitter.com/WIStudent/status/1528102910751559681
Ja und?
Warum nehmen diese P* denn nicht einfach eine 3 stellige?
Hallo, jemand zuhause?
Ok, die wird teurer sein, weil ja schon fast alles weg ist.
Emm, Moment, welche fast 1000 macht denn jetzt schon SMS CB?
Und:
Gehören diese Nummer nicht such ubd, den Bürgern via BNetA? Wie auch die Telefonnummern?
Ich habe echt Angst was für Deppen da beim Bundesamt für Zivilschutz immer noch bezahlt werden und arbeiten dürfen.
Cell Broadcasting unterstützt mein Smartphone leider nur, wenn es an ist. Ich schalte es nachts in den Flugmodus. Sirenen könnte ich bisher so auch hören, muss ich mich nun umgewöhnen?
Dein Handy ist noch erreichbar wenn es ausgeschalten ist, nur ohne Akku wirds tatsächlich schwer. Hat uns Snowden doch alles erzählt was geht:
https://www.android-user.de/so-schaltet-die-nsa-jede-nacht-dein-handy-ein-um-dir-beim-schnarchen-zuzuhoeren/
Dass solche Digitalisierungsprojekte scheitern, ist nun wirklich nicht verwunderlich. Das Rollout etwaiger Geräte (EC-Kartenterminals, TI-Konnektoren, …) erfolgt durch Dienstleister, die einen eigenen Pool an Rollout-Technikern sowie die von Subunternehmen und Subsubunternehmen einsetzen. Dort arbeiten meist Leute mit Gehalt aus der Logistikbranche (viel Herumkutschen, wenig verdienen), die die Aufträge im Akkord nach Schema F abarbeiten.
Es gibt mal vereinzelt gute Rollout-Techniker, die solide IT-Kenntnisse haben. Der Großteil ist jedoch Quereinsteigern zu zuordnen, wie ich leidlich miterleben musste.
Das mag so sein. Hat aber mit dem aktuellen Problem rein garn nichts zu tun.
Danke für diesen herausragenden Artikel! Der Rest der Fachpresse dümpelt in dieser Sache ja eher wenigsagend vor sich hin. Ich hoffe, aus der Nominierung /1/ wird ein Preis!
/1/
https://www.borncity.com/blog/2022/05/24/nominierung-fr-den-european-cybersecurity-blogger-award-2022-wir-sind-jetzt-underdog/
Deswegen Appel Pay! Zur Not auch Google Pay.
Und wenn das gesperrt wird – die Russen habe das gerade feststellen müssen. Ich halte es da mit Honnecker: Dümmer geht's (n)immer.
… ich glaube, Erich hatte es zwar anders in der Art "vorwärts immer, rückwärts nimmer" formuliert – aber meine Ausführung gefällt mich bessere ;-).
Genau! Denn das funktioniert ja bestimmt, wenn das Gerät, das für die Kommunikation mit dem NFC-Dingens, auf dem die xyz-Pay-App läuft, wegen fehlender Zertifikate ausgestiegen ist…
Dumm nur, dass Google/Apple Pay bei kaputtem Lesegerät auch nicht mehr so ganz funktioniert. Spätestens wenn da im Laden wer den Neustart versucht hat geht Zahlen damit dann auch nicht mehr. Am Ende sollte man für alle wichtigen Dinge im Leben mindestens ein Backup in der Hinterhand haben, dass technisch andere Wege nimmt.
Bargeld lacht.
Seitenhieb: Das H5000 war vom BSI zertifiziert worden /1/. Und jetzt ereignet sich ausgerechnet im sicherheitssensitiven Zusammenhang der X.509 Zertifikate ein solcher Gau. Irgendwie hat 's die Bude – das BSI – nicht so mit Verschlüsselung, letztes Jahr hatten Sie auch schon gepatzt /2/. Gewiss, aus Sicht der Informationssicherheit könnte man argumentieren, Vertraulichkeit und Integrität blieben gewahrt, nur die Verfügbarkeit hat gelitten; insofern nicht so schlimm.
/1/
BSI – Bundesamt für Sicherheit in der Informationstechnik
Certification Report BSI-DSZ-CC-0865-2013 for Verifone H5000 Hybrid Payment Terminal
(Certification Report V1.1 CC-Zert-327 V4.73)
PDF: Modification Date: 30/07/2014
BSI-Zertifizierung (PDF) (ggf. kein Permalink)
/2/
BSI verschickt privaten PGP-Schlüssel
15. November 2021
https://www.golem.de/news/verschluesselung-bsi-verschickt-privaten-pgp-schluessel-2111-161073.html
Ich verstehe das Argument nicht. Die Zertifikatsüberprüfung des Gerätes ist doch gerade korrekt implementiert, sonst gäbe es das Problem nicht. Das BSI wird nicht prüfen, dass in 10 Jahren ein korrekter Aktualisierungsprozess gefahren wird, insbesondere wenn das Gerät vorher schon EOL sein sollte.
Informationssicherheit /1/ hat die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität. Im vorliegenden Falle ist Verfügbarkeit unter die Räder gekommen. Es wirft schon Fragen auf, wenn das BSI eine Geräteimplementation durchwinkt, die offenbar nicht in der Lage ist, ihren Certificate Store à jour zu halten. Da stellt sich dann schnell die Frage, was im Laufe der Betriebsjahre an eigentlich zu aktualisierendem sonst noch unbemerkt durch die Lappen ging. Angesichts solch sicherheitssensibler Geräte wie Bezahl-Kartenterminals ist es schwer vorstellbar, dass sich Prüfungen in der Logik 'war zum Zeitpunkt der Vorlage konform' erschöpfen. Würde mich nicht wundern, wenn man es an irgendeiner Stelle der Prüfung mit den Common Criterias /2/ und weiteren Kriterienkatalogen nicht ganz so genau genommen hat oder vielleicht auch schlichtweg etwas übersehen wurde. Dass auch Zertifizierungsstellen patzen kommt vor /3/.
/1/
https://de.wikipedia.org/wiki/Informationssicherheit
/2/
Common Criteria for Information Technology Security Evaluation, Version 3.1,
Part 1: Introduction and general model, Revision 4, September 2012
Part 2: Security functional components, Revision 4, September 2012
Part 3: Security assurance components, Revision 4, September 2012
/3/
Die Illusion von Safer-Shopping
04.11.2009
Nach der Datenpanne auf dem durch TÜV Süd zertifizierten System von Libri.de fanden sich nun Sicherheitslücken auf weiteren Sites, die das Safer-Shopping-Siegel tragen – und sogar auf dessen eigener Homepage. Bei einer solchen Serie stellt sich natürlich die Frage, was dieses Siegel überhaupt wert ist.
https://www.heise.de/security/meldung/Die-Illusion-von-Safer-Shopping-848125.html
Deine BSI rants sind nice, aber das Gerät ist seit Ende April EOL, da hat das BSI diesmal nichts mit zu tun.
Betr. "… das Gerät ist seit Ende April EOL, …":
Da hat wohl einer versucht /1/ zu verstehen und hat vorzeitig aufgegeben.
/1/
https://www.verifone.com/sites/default/files/legal/pci_3_discontinuance_bulletin_november_19_2020_final.pdf
Das werden Festtage für die Firma "SumUp" mit Ihren mobilen Terminals. Bei denen gibt jetzt jeden Morgen Prosecco in der Betriebskantine.
Da ich nie nur einem Terminal vertraue, habe ich genau so ein Gerät von SumUp in der Hinterhand, wenn das EC-Terminal mal streikt. Ärgerlich ist es natürlich, da besonders bei höheren Beträgen das ganze deutlich teurer ist als einen der üblichen Anbieter.
Bis auf den aktuellen Fehler, ist das H5000 aber alles andere als grundlos beliebt. Es ist viel zuverlässiger als man meinen könnte, wenn man den obigen Text ließt.
Sehr dreist ist die Wortwahl des Herstellers, dieses als "Software Fehler" abzutun.
Die Software arbeitet perfekt, nur hat der Hersteller geschlampt und vergessen die Zertifikate rechtzeitig zu erneuern.
Das passiert ja öfters, aber nun den Kunden nicht ehrlich zu sagen, -"Wie haben Mist gebaut" geht ja wohl gar nicht, oder?
Ich laß mal das das BSI zur Zulassung eines Gerätes nur das Lastenheft und das Versprechen des Herstellers verwendet…
So kann es passieren dass das Gerät halt unbemerkt geöffnet werden kann um einen Skimmer einzubauen.
Hier ist es aber wurscht, da das Gerät genauso arbeitet wie es soll, nur dem war nicht aufgefallen (hust) das xer 25.12. ein vgl. Ungünstiges Datum sein könnte für ein Update…
Zu dieser Aussage habe ich keine Belege verfügbar. Fakt ist lediglich, dass zum Stichtag in Deutschland keine Zertifikate mehr in den Lesern von der Software als "vorhanden" erkannt werden. Ob die abgelaufen sind, durch einen Bug gelöscht wurden, oder was auch immer, ist für mich unklar. Vielleicht veröffentlicht der Hersteller Details – der Hersteller gibt übrigens zu, dass man einen Fehler gemacht hat, weil die Geräte ja bis 2023 noch einige Monate haben …
… "der Hersteller gibt übrigens zu, dass man einen Fehler gemacht hat, weil die Geräte ja bis 2023 noch einige Monate haben …"
Ist ja schon mal gut und auch nicht mehr wie in Ordnung! Aber wie sieht es – mal wieder – mit Schadensersatz aus?? Wenn ein Elektriker Mist baut und die Hütte brennt ab, dann muss er den Kopf dafür hin halten … Wenn bei einem Auto die Bremsen nach der Wartung derselben versagen, dann muss der Kfz-Mechaniker den Kopf dafür hin halten … Weitere Beispiele gäbe und gibt es genug! "Haftung, Schadensersatz und Kopf dafür hin halten" an allen Ecken und Enden! Ein bekannter Handwerker (Gas-Wasser-Installateur) von mir, hat letztens folgende Aussage getätigt: "Heute steht man als verantwortlicher Handwerker eigentlich immer schon im Vorfeld mit einem Bein so gut wie im Gefängnis … Bei der kleinsten Kleinigkeit wird einem sofort mit Rechtsanwälten und Klage und öffentlicher Diffamierung gedroht … Es macht so langsam keinen Spaß mehr …"
Wenn bei Software-Updates o. Ä. das halbe öffentliche Leben zusammenbricht, dann geben die Verantwortlichen hin und wieder zu, dass sie einen Fehler gemacht haben und (und das ist oft schon zu viel verlangt) entschuldigen sich die Verantwortlichen (manchmal). Aber den Kopf dafür hinhalten …?!?! Wie bitte??? Antwort der Verantwortlichen (auch hier im Diskussionsbereich immer mal wieder von angeblichen Programmierern gelesen): "Softwarefehler passieren halt nun mal … – (nun stellt euch mal nicht so an …)" Wie lange wollen wir uns DAS eigentlich noch gefallen lassen?? Wo sind diesbzgl. eigentlich "unsere Volksvertreter"??? (Ham sich wohl unter den Schreibtisch verkrochen, aus Angst vor den IT-Lobbyisten, oder so ähnlich …!)
Betr. "Ob die abgelaufen sind, …":
Beim initialen Laden von /1/ erscheint ein Pop-up, Auszug:
"Wir möchten betonen, dass das Problem nicht mit dem Ablauf eines Zertifikats oder einer Sicherheitslücke zusammenhängt und keine Sicherheitsbedrohung darstellt. Vielmehr handelt es sich um eine Software-Fehlfunktion in der H5000-Software."
/1/
Das meistverkaufte deutsche Terminal H5000 | Verifone Germany
Saturday, 28 May 2022, 19:05:22 (ermittelt per Firefox: Ctrl+i)
https://www.verifone.com/de/de/devices/stationaer-pin-pad/h5000
Unter diesem Link gibt es aktuell (!) (evtl. wieder??) nur das schrottige Terminal mit dem Hinweis, dass es nicht mehr verkauft wird, sowie Tomatensauce + (Marmelade?) zu sehen … – zumindest bei mir …
(>> Firefox 100.0.2 – Bewusst alle Sicherheitseinstellungen/Werbeblocker deaktiviert + Pop-Ups zugelassen!)
Sorry – Korrektur: Die Erweiterung "I don't care about cookies" hat das Pop-Up unterdrückt! Die hatte ich vergessen abzuschalten beim Testen …
Die Meldung erscheint also nach wie vor!
Wegen der Störung ist nun in Augsburg/Lechhausen der Postbank-Geldautomat leer. Die Postbankschalter haben bereits geschlossen. Da kommt richtig Freude auf… Einige wenige bekommen ihre Technik-Materie nicht auf die Reihe und viele Andere müßen es ausbaden…
In dem Fall (Automat der Hausbank leer oder defekt und auch keine andere Filiale in Reichweite) kann man auch bei Fremdbanken abheben und sich die ggf. anfallenden Gebühren von der eigenen Bank erstatten lassen. Zumindest ist das mein letzter Wissensstand.
Klar, kann man… Jedoch, die PB will 5,- € je Abhebung bei anderen Banken oder am Postbankschalter. Nur PB-Automat wäre kostenlos. So leicht/einfach werde ich die Gebühren von der PB nicht zurückbekommen… Dann warte ich mal etwas ab, der Geldautomat muss ja die Tage wieder befüllt werden…
Es gibt tatsächlich Menschen, die noch nicht bei der DKB sind, krass.
Hab seit 10 Jahren weltweit kein Geld mehr für Automaten ausgegeben, wer macht das 2022 denn noch?! Dieser Luxus an jedem ATM kostenlos abzuheben will ich nicht mehr missen
Krass, was ich hier im Blog so finde, wenn ich das Stichwort DKB eingebe. Nur kommen wir mit solchen Platitüden nicht weiter. Es gibt Gründe, die für die DKB sprechen. Es gibt Gründe, andere Banken zu nutzen. Ob die Barabhebung der DKB da zählt, muss jeder selbst abwägen.
Wundert mich auch. Ich würde 2022 auch nicht mehr für eine Abhebung zahlen.
Ich habe noch nie so viele Fußnoten und Fallstricke zu einem Girokonto gesehen, wie im Preis- und Leistungsverzeichnis der DKB!
Die ist für Kunden, die häufig Geldautomaten nutzen und diese deshalb immer fußläufig erreichbar haben wollen, völlig ungeeignet. Mit der Visa-Debitkarte gibt es ein Mindestlimit vom 50 €. Das ist für Leute, die die letzten 20/30/40 € vom Konto abheben wollen, nichts. Die Girokarte, für 0,99 €/Monat hat dieses Limit zwar nicht, aber bei beiden Karten gilt folgende Fußnote:
"Geldautomatenbetreiber können Entgelte erheben, die zusätzlich zum Auszahlungsbetrag belastet werden. Die Höhe dieses direkten Kundenentgelts vereinbart der Geldautomatenbetreiber vor der Auszahlung des Betrages mit dem Karteninhaber am Geldautomaten. Mit der erfolgten Auszahlung gilt dieses Entgelt als akzeptiert. Dieses Entgelt wird von der DKB AG nicht erstattet. An eigenen Geldautomaten erhebt die DKB AG von ihrem Karteninhaber kein zusätzliches Entgelt."
Und ich bin sicher, dass man meist auf einen Automaten eines Instituts treffen wird, wo man dann mit einer solchen Kundenentgelt-Vereinbarung konfrontiert wird.
Ich bin Kunde einer Sparkasse und habe das Problem nicht, denn da ist immer ein Automat des Sparkassennetzes fußläufig erreichbar. Leider wurde das Online-Konto vor über einem Jahr von kostenlos auf kostenpflichtig umgestellt. Ich hatte dem zugestimmt, weil sie im Schreiben mit der Kündigung drohten, falls man das nicht tut. Sie versuchten es 2–3 Jahre zuvor schon einmal , wo ich ohne Konzequenzen widersprochen hatte, aber da drohten sie zuvor auch nicht.
Seltsam… laut Hersteller:
"Sehr geehrte Kunden und Partner,
wir sind uns bewusst, dass es bei einem bestimmten Anteil der Verifone H5000 Terminals, die hauptsächlich in Deutschland eingesetzt werden, ein Problem mit der Nutzbarkeit für die Abwicklung von Kartenzahlungen gibt und durch diese Situation Unannehmlichkeiten entstanden sein könnten. Wir möchten betonen, dass das Problem nicht mit dem Ablauf eines Zertifikats oder einer Sicherheitslücke zusammenhängt und keine Sicherheitsbedrohung darstellt. Vielmehr handelt es sich um eine Software-Fehlfunktion in der H5000-Software.
…"
Quelle: Verifone Erklärung
Unter diesem Link gibt es aktuell (!) (evtl. wieder??) nur das schrottige Terminal mit dem Hinweis, dass es nicht mehr verkauft wird, sowie Tomatensauce + (Marmelade?) zu sehen … – zumindest bei mir …
(>> Firefox 100.0.2 – Bewusst alle Sicherheitseinstellungen/Werbeblocker deaktiviert + Pop-Ups zugelassen!)
Hier mal ein Bild von der Einblendung: https://imgur.com/h26GUfA
Sorry – Korrektur: Die Erweiterung "I don't care about cookies" hat das Pop-Up unterdrückt! Die hatte ich vergessen abzuschalten beim Testen …
Die Meldung erscheint also nach wie vor!
Ich hatte das gestern schon gesehen – das Popup des Herstellers Verifone, was zum H5000 eingeblendet wird, halte ich für eine Nebelkerze. Beachte meinen Nachtrag am Artikelende und den Verweis auf den Nachfolgeartikel, wo ich das mit der Nebelkerze begründe und noch einige Informationen nachreiche. Da bekleckert sich gerade keiner in der Kette "Hersteller – Zahlungsdienstleister – Handel) mit Ruhm, wobei ich beim Handel den kleinen Einzelhändler mit einem Verifone H5000 etwas ausnehmen möchte. Aber der lernt gerade auf die harte Tour, was es bedeutet, seine Kassen-/Zahlungsinfrastruktur nicht auf dem aktuellen Stand gehalten zu haben.
Aufgrund des zeitgleichen identischen Ausfalls tausender Geräte sind eigentlich nur zwei Erklärungen plausibel:
a) Verifone hat die Geräte mit einem (fehlerhaften?) Update über den Wartungsserver zerschossen, oder
b) eine Sicherheitslücke der H5000 und/oder des Wartungsservers, wurde aktiv ausgenutzt, sprich das System wurde gehackt.
Wie das hier veröffentlichte Log zeigt, wurden – im laufenden Betrieb – nicht nur die Zertifikate sondern auch Librarys gelöscht, welche für die VPN-Kommunikation mit dem Wartungsserver benötigt werden, sodass ein eigenständiges Online-Update nicht möglich ist.
Beim Reboot werden die Geräte offenbar in den Werkszustand (von 2012, wurde die Software etwa nie aktualisiert?) zurückgesetzt und das mit Admin/Root-Rechten, die ja auch zum Löschen der fehlenden Dateien benötigt werden, was einen (Fremd)Eingriff in die Architektur der Software nahelegt.
Das hört sich für mich sehr deutlich nach Möglichkeit b) an.
Betr. "Wie das hier veröffentlichte Log zeigt, …":
Was meinen Sie mit "hier"? Ging in Ihrem Beitrag versehentlich ein Link unter?
Sorry, sitze in den Bergen mit schwachem Netz und hatte die Übertragung von Bildern ausgeschaltet. Jetzt sehe ich das Log.
Nach weiteren Infos soll es wohl 12/2021 ein Update für die H5000 gegeben haben und die Geräte, bei denen dieses Update eingespielt wurde, sind nicht betroffen. Das wiederum bestätigt meine Vermutung eines gezielten Angriffes, da bei einem Update immer auch Sicherheitslücken geschlossen werden.
Jedenfalls ist mir in 30 Jahren kein Softwarefehler untergekommen, der zeitgleich auf tausenden Geräten mit gleichem Softwarestand zu derart massivem und speziellem (um nicht zu sagen gezieltem) Datenverlust führt. Selbst der Jahr-2000-Bug konnte sowas nicht anrichten. Für einen Hack wäre es aber geradezu typisch.
Ich verstehe nicht, warum hier immer auf dem Hersteller oder den Händlern herumgehackt wird: der Hersteller hat die Geräte vor über 2 Jahren als EOL deklariert (und trotzdem noch 2 Jahre Updates geliefert…), die Händler haben keine Entscheidungsfreiheit, welches Bezahlterminal ihnen von ihrem Zahlungsdienstleister geliefert wird (und auch wenig Einfluß auf die Durchführung von Updates).
Hauptschuldiger ist der Zahlungsdienstleister, der getreu der Devise 'Geiz ist geil' möglichst billig zu erstehende Terminals kauft, an seine Kunden ausliefert und dann nicht sachgerecht pflegt.
Danke für den, soweit momentan möglich, fundierten Einblick und Analyse.
Für mich sieht es allerdings so aus, als wäre der problematische Ablauf genau andersrum (aufgrund der Reihenfolge der Logeinträge):
Der Client versucht, den Update-Server zu kontaktieren, was jedoch mit einem "No route to host" scheitert. Vermutlich würde er so auch zu einem Zertifikats-Update kommen, was ihn vor einem "certificate has expired" bewahren würde. Ggfs. ist es sogar nicht mal das Cert selbst, was abgelaufen ist, sondern ein sog. Intermediate (reine Kaffeesatz-Deuterei meinerseits, da ich dort ein "VfyCertChain" sehe) abgelaufen ist.
Letztlich müsste mal halt mal das gesamte Log im Kontext sehen und/oder mitschneiden, was dort an Netzwerk-Traffic stattfindest (oder eben nicht). Vielleicht könnte man auf diesem Wege auch dann relativ einfach einen Workaround implementieren (z.B. durch Umleiten des Netzwerk-Traffics und Zurverfügungstellen der benötigten Zertifikate).
Du hast eine Mail mit Link zu einem Log-File.
Via FedEx eine Korinthe ausliefern: Der Hersteller heißt Verifone und nicht Verifon (das e wurde im Artikel fast überall unterschlagen)
Du bist mein Held – danke, danke, danke – im Ernst!
PS: Und ich bin gerettet, bekam von meiner Frau schon Mecker, was denn die vielen e unter meinem Schreibtisch sollen, die da herumlagen. Ich möge doch eine Schaufel und ein Kehrblech holen und diese entsorgen. Als faule Socke habe ich natürlich "morgen" gemurmelt – und konnte die jetzt wieder im Text einkleben ;-).
PPS: Aber ich bin schon ganz glücklich, dass ich nicht 10 Mal Vodafone geschrieben habe – denn die Texte entstehen im 10-Finger-Blindschreib-Flug – und da zucken die Synapsen immer mit "Vodafone" dazwischen (ich habe es bestimmt ein Dutzend mal korrigiert).
"… und konnte die jetzt wieder im Text einkleben ;-). "
Na da hatten Sie ja Glück gehabt, dass die vielen "e" am Wortende gefehlt haben. Zumindest das Tipp-Ex konnte gespart werden … Sieht immer so unschön aus – und irgendwann ist der Bildschirm auch komplett mit dem Zeugs zugepinselt … Vor allem beim Laptop geht das superschnell! – Dann muss der Spachtel wieder her …
Totalversagen. Meine Güte, Deutschland und IT….
Und dann sind einige Händler kreativer wie andere und machen das Unmögliche möglich: Entweder man nimmt das Sumup-Terminal vom Außendienst (und bucht in der Kasse als Gutscheinzahlung) oder lässt die Kunden per Paypal-App bezahlen. Andere wieder sind so dusselig und vergessen, wenigstens an alle Zapfsäulen einen Aushang zu hängen. Aber der eigentliche Fehler wurde viel früher gemacht – Geiz ist geil hat sich wieder einmal gerächt.