US-Händler: Daten von 4 Millionen Kreditkarten geklaut

Über drei Monate lang konnten Hacker Kreditkarten-Infos der Kunden eines großen US-Lebensmittelhändlers abgreifen. Nun sind vier Millionen Datensätze verschwunden.

»Sehen Sie ihre Kreditkartenabrechnungen seit Anfang Dezember genau durch und kontaktieren Sie Ihr Kreditinstitut, wenn Ihnen verdächtige Zahlungen auffallen«, schreibt der CEO der US-Lebensmittelkette Hannaford, Ronald Hodge, auf der Homepage des Unternehmens — und wendet sich damit an rund 4 Millionen seiner Kunden. Die sollten umgehend ihre Karte sperren lassen, denn sie haben im genannten Zeitraum mit ihrer Kreditkarte bei Hannaford eingekauft und müssen nun damit rechnen, dass ihre Kartendaten in die falschen Hände geraten sind.

Nach US-Medienberichten haben nämlich Datendiebe auf den Servern der Handelskette in New England, New York und Florida Spionagesoftware installiert und diese rund drei Monate unbemerkt Kreditkartennummern und zugehörige Daten sammeln lassen. Steckten Kunden ihre Karte in den Leser an den Kassen, wanderten die Daten zu Authorisierungszwecken an diese Server und gleichzeitig in die Hände der Hacker.

Mittlerweile soll der Großteil der Server mit Hilfe des US-Geheimdienstes und mehrerer Sicherheitsdienstleister ausgetauscht worden sein. Wie der Coup genau zu stande kam, ist noch unklar. Statt wie bisher derartige Datensätze aus einer Datenbank auszulesen, wurden die Kreditkartendaten direkt bei der Übertragung auf die Server abgegriffen. Über Sicherheitslücken wird ebenso spekuliert wie über das Aufspielen der fremden Software durch Hannaford-Mitarbeiter.

Dabei wurde die Sicherheit der Hannaford-IT erst vor wenigen Monaten einer Prüfung unterzogen und heimste neben Bestnoten auch gleich eine PCI-DSS-Zertifizierung (Payment Card Industry Data Security Standards) ein. Das ist auch der Grund, weshalb die Kette sämtliche Verantwortung für den Datengau von sich weist: »Unsere gesamten Abläufe, Einrichtungen und Regelungen entsprechen den von Visa herausgegeben PCI-DSS-Vorschriften«, so eine Sprecherin von Hannaford. Nun wird es Sache der US-Gerichte sein zu klären, wer in diesem Fall — der sich vermutlich zu einem Präzedenzfall ausweitet — haftet. Es sollen bereits die ersten Sammelklagen gestartet worden sein, und auch die betroffenen Banken könnten rechtliche Schritte einleiten.