Seit dem 24. Mai 2022 streikten in zahlreichen Geschäften, Supermärkten, Tankstellen etc. die H5000 EC-Terminals für Kartenzahlungen mit Giro- und EC-Karten des US-Herstellers Verifone, da die Geräte eine Kommunikation mit dem Zahlungsdienstleister verweigern. Abschalten und neu starten brickt die Geräte, angeblich wegen eines Softwarefehlers. Inzwischen hat der Hersteller eine offizielle Erklärung, die man als Nebelkerze ansehen kann, veröffentlicht. Von einem IT-Experten habe ich einige Informationen zur Problematik, die er von einem betroffenen Gerät abgezogen hat, erhalten. Hier eine Ergänzung und der Versuch einer Einordnung. Da tun sich Abgründe auf – da haben viele gepennt und es scheint einiges schief gelaufen zu sein.
Anzeige
Was ist das Problem?
Händler, die EC-Kartenlesegeräte des Typs H5000 des US-Herstellers Verifone für Zahlungen mit EC-Karten einsetzen, stehen seit dem 24. Mai 2022 vor einen gravierenden Problem. Die Geräte streiken deutschlandweit und es können in erster Näherung keine EC-Kartenzahlungen erfolgen ich hatte im Blog-Beitrag Probleme mit Kartenzahlung im Handel: Softwarefehler schuld (24.5.2022) berichtet). Der Artikel hier erwähnt, dass die Zahlungsdienstleister Payone und der Finanzdienstleister Concardis von der Störung betroffen seien, wenn der Typ des Kartenleseterminals eingesetzt wird.
Aus diversen Berichten (siehe auch) kristallisiert sich für mich heraus, dass die EC- oder Kreditkarten gelesen werden und SEPA-Lastschriften, also mit Unterschrift, wohl noch abgewickelt werden können. In diesem Fall findet kein Abgleich mit der betreffenden Bank statt, sondern es werden lediglich die Kontendaten der betreffenden Karte für die SEPA-Lastschrift gelesen. Probleme gibt es, falls verifizierten Kartenzahlungen (also Transaktionen, die mit EC-Karte und PIN erfolgen) abgewickelt werden sollen. Dann ist eine Kommunikation mit der Verifizierung-Anwendung des Zahlungs- oder Finanzdienstleisters erforderlich, die aber scheitert. Vielleicht kann ein Betroffener diese Einschätzung bestätigen oder widerlegen.
Welche Händler sind betroffen?
Grundsätzlich sind alle Händler, die EC-Kartenlesegeräte des Typs H5000 des US-Herstellers Verifone für Zahlungen mit EC-Karten einsetzen, deutschlandweit betroffen. Interessant sind aber einige Randaspekte. Das EC-Kartenlesegerät H5000, was wohl so 2011/2012 auf den deutschen Markt kam, ist bereits im Jahr 2019 durch den Hersteller abgekündigt worden und soll 2023 aus dem normalen Support fallen. Das Gerät erfüllt bestimmte Anforderungen nicht mehr, darf aber im Rahmen von Übergangsfristen maximal noch bis zum 1. Januar 2025 betrieben werden. Das Ganze hat also ein Ablaufdatum. Interessant ist auch ein Artikel des Stern (auf dessen Verlinkung ich in diesem Kommentar gestoßen bin), der bestätigt, dass die Probleme mit diesem EC-Kartenlesegerät wohl irgendwie absehbar waren.
Unter diesem Gesichtspunkt hätte man ad-hoc annehmen können, dass es nur wenige Händler betrifft, da das EC-Terminal uralt und am Ende des vom Hersteller vorgesehenen Verwendungszyklus steht. Aber das H5000 scheint das EC-Lesegerät zu sein, welches in Deutschland am verbreitetsten und noch stark im Einsatz ist. Im Blog-Beitrag Störung der Verifone H5000 EC-Kartenlesegeräte, einige Insights zur Zertifikateproblematik hatte ich einige betroffene Ketten genannt. Bei einigen Aldi Nord-Filialen sind diese Geräte noch im Einsatz. Auch die Drogerie-Kette Rossmann sowie einige kleinere Edeka-Läden setzen noch auf das H5000. Im verlinkten Beitrag hatte ich zu Rossmann, Edeka, Kik, DM, NKD und Teppich-Domäne etwas geschrieben. Aldi Süd, Lidl und die Rewe-Gruppe (Rewe, Penny, Toom) sind laut eigener Aussage nicht betroffen (es sei denn, irgendwo in einer Filiale liegt noch ein altes H5000 herum und ist an der Kasse im Einsatz).
Anzeige
Technisches Problem, Details unklar
Zum heutigen 29. Mai 2022 ist bekannt, dass die oben berichtete und seit dem 24. Mai 2022 auftretende Störung wohl länger andauert. Betroffene Geräte sind bisher für die Händler nicht so einfach in einen funktionsfähigen Zustand zurücksetzbar. Schalten die Betroffenen das Gerät aus und wieder ein, verweigert dieses die weitere Funktion und zeigt nachfolgenden sogenannten Boot-Fehler beim Start.
Dann geht nichts mehr – bereits im Artikel Probleme mit Kartenzahlung im Handel: Softwarefehler schuld (24.5.2022) davor gewarnt. So weit so schlecht. Unschön ist aus meiner Sicht aber die Informationspolitik des Herstellers, so wie sich die Sachlage für mich darstellt. Daher hier noch ein kurzer Abriss der mir vorliegenden Informationen zur Einordnung.
Geräte finden keine Zertifikate
Mir sind von einem Entwickler, der über ein Verifone H5000 EC-Kartenlesegerät verfügt, und mit der Implementierung bestimmter Zahlungsschnittstellen befasst ist, einige Informationen zugegangen. Dessen Gerät meldet (siehe nachfolgendes Foto), dass es keine Zertifikate – die zur Abwicklung von Zahlungstransaktionen mit Zahlungs- oder Finanzdienstleistern erforderlich sind – findet.
Zertifikate fehlen auf H5000-Terminals, Quelle: Cedric Fischer
Im Blog-Beitrag Störung der Verifone H5000 EC-Kartenlesegeräte, einige Insights zur Zertifikateproblematik hatte ich einige Details zum Fehlerbild genannt. Warum diese Zertifikatdateien nicht gefunden werden (Zertifikate abgelaufen, Zertifikate gelöscht, oder Zertifikate wegen eines Softwarefehlers nicht lesbar) lässt sich vom betreffenden Entwickler nicht beurteilen.
Erklärung des Herstellers Verifone
Verifone blendet aktuell auf seiner Support-Webseite nachfolgende Erklärung als Popup ein, die ein abgelaufenes Zertifikat oder eine Sicherheitslücke negiert. Gleichzeitig wird angegeben, dass seit dem 27. Mai 2022 (letzten Freitag) eine Lösung angeboten werden könne. Es werde an deren Bereitstellung gearbeitet – was immer das heißt. Hier sollte jedem Leser klar sein, dass dies eine juristische Erklärung ist, die eine grobe Fahrlässigkeit negieren soll.
(Erklärung Verifone, Zum Vergrößern klicken)
Ich bin meinen Text im Blog-Beitrag Störung der Verifone H5000 EC-Kartenlesegeräte, einige Insights zur Zertifikateproblematik nochmals durchgegangen – es steht dort, dass Zertifikate fehlen, sprich, die EC-Terminal-Firmware findet keine. Ob diese gelöscht oder abgelaufen sind oder schlicht nicht gelesen werden können, lässt sich nicht feststellen. Hier hätte Verifone mit einer transparenten Mitteilung aufklären können.
So ist das Ganze schlicht als Nebelkerze zu werten, die eine Null-Information bereitstellt – dass eine Fehlfunktion vorliegt, ist jedem Benutzer des Geräts klar. Dass sich diese auf Software, und nicht auf Hardware bezieht, ergibt sich implizit aus den Hinweisen des Herstellers und der Zahlungsdienstleister, dass man sich um eine neue Softwareversion bemühe (so etwas schließt einen Hardware-Serienfehler, der alle Geräte betrifft i.d.R. aus).
Die einzige Aussage, die noch einen Sinn ergibt, ist der Hinweis, dass es seit Freitag, den 27.5.2022 eine Lösung gäbe. Aber gleich der Nachsatz ist wieder Nebelkerze, da keine Hinweise auf die konkrete Ausgestaltung (muss ein Techniker kommen, können Kunden selbst aktiv werden) erfolgen. Ich fasse mal zusammen:
- Sehe ich mich in Foren und bei Betroffenen um, wird dort die Frage nach Schadensersatz gestellt.
- Es deutet sich an, dass die Störung quasi nicht auf "Knopfdruck" behoben werden kann.
Aus Sicht eines Händlers spitz auf den Punkt gebracht: Mit solchen "Freunden" brauchst Du keine Feinde mehr – der Hersteller lässt die Betroffenen aus meiner informationsmäßig ziemlich im Nebel stehen.
Nachtrag: Inzwischen lässt sich festhalten, dass beim H5000 Terminal wohl alle Transaktionen ohne PIN (also ELV/SEPA offline und NFC mit Apple/Google Pay) funktionieren – dort erfolgt keine Verifizierung mit dem Zahlungsdienstleister. Zumindest ist es daher naheliegend, dass das DK-Zertifikat in den Geräten (DK = Deutsche Kreditwirtschaft) möglicherweise "verschwunden" ist, so dass die Zahlungsauthentifizierung per PIN nicht mehr abgewickelt werden kann. Warum das jetzt auftritt (Zertifikat abgelaufen, Software-Fehler etc.) bleibt offen.
Verbocktes Update die Ursache?
Im Sinne von Verschwörungsmythen und als Spiegelung der obigen Herstellererklärung noch ein kleiner Schlenker. Oben im Text hatte ich ja erklärt, dass das Verifone H5000 EC-Terminal abgekündigt ist und aus dem Support fällt. Der Hersteller erklärt in diesem PDF-Dokument vom 19. November 2020, das Lesegeräte die den PCI 3 Standard verwenden, bald aus dem Support fallen. Das End-of-Service-Datum wurde auf April 2023 festgelegt. In diesem Zusammenhang relevant: Am 30. April 2021 ist der PCI 3-Standard (PCI ist ein Payment Card Industry Data Security Standard) ausgelaufen.
Produkte mit abgelaufenen PCI 3-Zulassungen dürfen nicht mehr verkauft oder neu eingesetzt werden, außer zur Reparatur und zum Ersatz von gleichartigen Produkten. Es sei akzeptabel, Geräte vor dem Ablaufdatum von PCI 3 zu erwerben, jedoch sollte jeder, der abgelaufene Geräte kauft oder eine große Anzahl von Geräten nach dem Ablaufdatum einsetzt, die Haftung mit seinem Erwerber besprechen. Ziemlich klare Aussagen des Herstellers, die aber wohl eher nicht an Endkunden, sondern an die Vertriebsleute und Lösungsanbieter gingen.
Beim Schreiben dieses Beitrags war bei mir im Hinterkopf noch ein "da war doch noch was". Irgendwo hatte ich mal aufgeschnappt, dass es am 25. Dezember 2021 ein Software-Update für die Verifone H5000-Terminals gegeben hat, was aber wohl nicht wirklich komplett ausgerollt wurde.
Es muss erinnerungsmäßig der obige Tweet gewesen sein, der da ein Erinnerungsbit gesetzt hatte. Ich habe dann mal recherchiert, und bin auf eine Reihe von Tweets von Jan Wildeboer gestoßen (er scheint in diesem Thema drin zu sein), die ähnliches suggerieren.
Dort wird ebenfalls der Umstand erwähnt, dass es Ende 2021 ein Update für das H5000 gegeben habe, welches aber nicht auf alle Geräte verteilt worden sei (ob jemand vergessen hat, das Update auszurollen, oder ob technische Probleme die Aktualisierung der H5000-Terminals verhinderten, konnte ich in der Kürze der Zeit nicht eruieren). Verifone H5000-Geräte, die das Update erhalten haben, scheinen nach dem 24. Mai 2022 weiter zu funktionieren, während bei allen nicht aktualisierten EC-Terminals die Zertifikate nicht mehr auffindbar sind – so ist jedenfalls meine Interpretation der Tweets. Auf Threadreaderapp.com ist das Ganze zusammengefasst.
Spekulation meinerseits: Die für die Zahlungsabwicklung verantwortliche Clearing-Stelle hat das Zertifikat zum Stichtag für ungültig erklärt und die nicht aktualisierten Geräte konnten das Ersatzzertifikat dann nicht mehr finden bzw. besaßen dieses wegen des fehlenden Updates nicht. Das muss jetzt durch ein Firmware-Update vor Ort an den Geräten behoben werden.
Egal wie man das dreht und wendet – in der ganzen Geschichte ist so ziemlich alles falsch gelaufen, was falsch laufen kann. Das fängt bei der Kommunikation des Herstellers der Kartenterminals an (die Nebelkerzen hatte ich ja oben erwähnt), geht über die Zahlungs-/Finanzdienstleister weiter und reicht bis zu den Verantwortlichen, die diese Lesegeräte im Handel großflächig einsetzen. Ich kann verstehen, wenn ein kleiner Händler nicht mitbekommt, dass sein einzelnes Verifone H5000-EC-Lesegerät aus dem Support fällt. Aber dass das Problem bei der IT von Aldi-Nord oder vielen weiteren Ketten nicht auf dem Radar war, lässt tief blicken. Bleibt jetzt abzuwarten, wie die technische Verifone-Lösung zur Wiederinbetriebnahme der Geräte konkret ausschaut – also: ob ein Techniker vor Ort die EC-Terminals flashen muss oder ob es eine Anleitung für die Händler gibt.
Bezüglich "Anleitung für die Händler": heise schreibt hier zwar, dass ein manueller Eingriff vor Ort entweder durch den Einzelhändler oder durch einen Techniker nötig sei. Das basiert auf einer Mitteilung von Payone, die sich dabei auf Verifone als Hersteller berufen. Ich habe aber noch die Aussage zum "Techniker-Passwort" aus meinem Artikel Störung der Verifone H5000 EC-Kartenlesegeräte, einige Insights zur Zertifikateproblematik im Hinterkopf. Der Hersteller will also nicht, dass jeder die Kartenleser manipulieren kann. So ganz aus dem hohlen Bauch heraus würde ich unter diesem Blickwinkel sagen, dass es keine Anleitung des Herstellers für Händler (zum Flashen des Geräts) geben wird. Mir springt nämlich sofort auch der Sicherheitsteufel im Hinterkopf hervor und meint "Wäre ja super, irgendwo gibt es einen Download und eine Anleitung zum Flashen – und dann manipulieren wir den Download, so dass die Skimmer direkt im Terminal sitzen". Der Hersteller dürfte zwar einiges zur Verifikation gültiger Firmware-Versionen in den Geräten getrieben haben, um manipulierte Firmware beim Flashen zu erkennen und zu blockieren. Aber man wird imho den Daumen drauf halten, wer da die Geräte zur Reaktivierung aktualisieren darf und "Techniker-Passwörter" oder ähnliches nicht breit streuen. Und ein Remote-Auto-Update wird es imho nicht geben (siehe meinen Beitrag zu den Insights und hier). Wir werden sehen, wie es schlussendlich ausgeht.
Ich gestehe, die Verfechter des "Bargeld muss bleiben" haben jetzt wieder gewichtige Argumente an die Hand bekommen – und das ist auch gut so. Ich möchte nicht mit jeder Transaktion bei zig Zahlungsabwicklern transparent in meinen Einkaufs- und Lebensgewohnheiten rückverfolgbar sein. Old school hin, old school her.
Ähnliche Artikel:
Datenleck bei Arztpraxis und Schwachstelle bei der Telekom Digitalisierungsbox
Probleme mit Kartenzahlung im Handel: Softwarefehler schuld (24.5.2022)
Störung der Verifone H5000 EC-Kartenlesegeräte, einige Insights zur Zertifikateproblematik
Verifone-Stellungnahme zum H5000-Kartenleser-Ausfall (14.6.2022)
Anzeige
Scheint wohl nicht jedes EC-Terminal dieses Typs zu betreffen, hab gestern in drei Geschäften an so einem H5000 bezahlt. Habe aber im Vorrübergehen in einer Apotheke die Schilder an den Kassen gesehen, dass dort derzeit nur Bargeld geht.
siehe meine Hinweise zum Update vom 25.12.2021, was das erklärt
Bei DM habe die das teilweiße über die Payback Pay App gelöst. War gestern bei einem lokalen Fahrradhändler und dort konnte ich dann mit EC Karte und Lastschrift bezahlen,obwohl das auch ein H5000 war.
Nichtsdestotrotz glaube ich dass einige Händler nun 2 verschiedene Geräte von verschiedenen Herstellern verbauen wollen 😅
Zertifikate müssen zertifiziert werden.
Das erfolgt durch eine übergeordnete Zertifierungs-Autoritat. (root-CA).
Deren Cert ist auf dem Gerät gespeichert.
Wahrscheinlich ist (das einzige.? .) abgelaufen…
Es ist nichts vorgesehen, daß dieses sich von selbst erneuern kann (geplante Obsoleszenz?)
Wäre es nur dss Cert für den Geld transfer, dann wäre unklad, warum kein Update mehr geht.
Es sei denn, man hat nur 1 Cert für alles erzeugt oder alle Certs mit dem gleichen Ablaufdatum versehen, was ein Kardinal Fehler wäre…
Am einfachsten wird es wohl sein dass der Kunde das Gerät gegen ein anderes Gerät austauscht und der Dienstleister bzw der Verkäufer des Gerätes eben die Kosten dafür zu tragen hat bzw. von verifon versucht zurück zu bekommen.
Wird auf Grund der Masse der zu tauschenden Geräte nicht praktikabel sein.
Die Geräte haben doch angeblich einen USB Anschluß unten?
Uber den wird man das Gerät komplett löschen könnten und dann ein neues Image mit neuen Keys einspielen können…aber ich lass auch:
Zu dem kann man das Gerät problemlos öffnen (skimming war damals noch kein Thema..) und das gesteckte Crypto Modul (ähnlich einer SIM) tauschen.
Es könnte aber durchaus srin, das dieses Modul nicht mehr hergestellt wird…was zu den Problemen führt…
Oder es ist halt dss rootCA im Bios abgelaufen, so daß auch ein neuer Chip nicht angenommen wird..
Neu brennen wird man es nicht mehr können…es ist schade das einem nur Spekulation bleibt.
Vermutlich fürchtet der Hersteller – zu revct – Regress Forderungen und seine Versicherung hat ihm die Texte diktiert. (ähnlich wie bei Ärzten, die ja auch keinen Kunstfehler zugeben dürfen)
Und genau deswegen Apple Pay oder Google Pay.
Das Thema hatten wir doch schon mal im Vorgängerbeitrag, wo ich auf deinen Kommentar geantwortet hatte.
Ich hatte mal kurz was im Beitrag Hintergründe und Infos zum Cookie-Hinweis hier im Blog geschrieben – und diesen Screenshot gepostet.
Es ist eine Option "Informationen auf einem Gerät speichern oder abrufen" die man wählen sollte – und die entscheidet, ob kontextbasierende Werbung ausgespielt werden könnte (ist imho bei allen Webseiten so, die TCF an Google weiterreichen). Eine Auswahl einzelner Anbieter ist (auch bei vielen anderen Seiten) imho nie erforderlich gewesen. Der hier im Blog verwendete Dialog wird von meinem Dienstleister – nach Abstimmung mit Datenschützern – gestaltet.
Da ich 2022 wohl gut mit der Finanzierung durchkomme, werde ich aktuell nicht weiter graben und möchte das Thema hier damit auch abschließen. Wie sich das Ganze 2023 entwickelt (da blockt Google im Chrome Drittanbieter Cookies, die müssen also reagieren – und die Datenschützer haben geklagt, es könnte also ein Urteil geben, ob Cookie-Consent zulässig ist), muss man abwarten. Sind diesbezüglich bewegte Zeiten ;-).
Aber man kann allerorten feststellen, dass bei Webseiten Paywalls und Registrierungszwang zum Lesen zunehmen. Aus meiner Sicht keine unbedingt erwünschte Entwicklung – und ich möchte da eigentlich nicht hin (das Rad wird mir einfach zu groß), sondern würde vorher die Aktivitäten in den Blogs einfrieren und diese auslaufen lassen.
Warum wird mir das nicht angezeigt?
Entweder 'I don't Care about cookies' installiert, oder alle Cookies zugelassen. Einfach die Seite des Blogs zum Testen im Inkognito Modus aufrufen und dann die Schaltfläche für individuelle Einstellungen wählen.
Habe es garade ausprobiert. Ein scharf gestellter Ublock regelt. ;)
"Aber man kann allerorten feststellen, dass bei Webseiten Paywalls und Registrierungszwang zum Lesen zunehmen. Aus meiner Sicht keine unbedingt erwünschte Entwicklung – und ich möchte da eigentlich nicht hin (das Rad wird mir einfach zu groß), sondern würde vorher die Aktivitäten in den Blogs einfrieren und diese auslaufen lassen. "
Verständlich und gleichzeitig traurig.
Ist halt wie bei fast allem, was mal gut angefangen hat: Irgendwann entwickelt sich fast alles in eine nicht mehr so gute und sinnvolle Richtung. Auch deshalb wohl, da man nie mit etwas mal zufrieden ist und alles immer irgendwie "verbessert" werden muss, oder es "auf die Spitze getrieben wird". Hinzu kommen noch die üblichen "bösen Jungs" (und auch Mädels) die immer alles für ihre Zwecke missbrauchen müssen und es dann dadurch vollends kaputt machen … Vom ursprünglichen Internetgedanke der 90er- und 00er-Jahre ist leider nicht mehr viel übrig geblieben … Es hat sich von einer hoffnungsvollen, guten Vision, inzwischen eher zu einer weltweiten Bedrohung entwickelt … :-( Schade!
Genau so ein dämlicher Kommentar wie "Digitalisierung first – Bedenken second" vom FDP-Lindner (unser jetziger Finanzminister, der sich ja auch voller Inbrunst auf diesem "Clubhouse" ohne Hemmungen ausgequatscht hat).
Man muss doch so langsam mal merken, dass man sich mit diesem ganzen irrsinnigen Digitalisierungswahn nur noch mehr und vor allem auch ständig neue Probleme heranzüchtet. Und explizit diese "Wanze und Peilsender" Smartphone, ist doch eine Schlinge, die wir uns alle freiwillig um den Hals gelegt haben – und die sich nun so langsam aber sicher schleichend (>> siehe auch das ganze Pandemie-Gedöns diesbzgl.) immer mehr zuzieht … Je mehr Digitalisierung, desto mehr "Gläsernheit"! Das muss doch jedem klar sein; egal ob "Datenschutz" hin oder her, mit jedem Schritt der Digitalisierung setzt jeder seinem persönlichen "Mosaikbild" ein Steinchen hinzu und lässt es zu einem Gesamtbild erwachsen. Derjenige, der dieses Gesamtbild irgendwann "besitzen" darf, wird sich freuen … Chinesische Verhältnisse (nein danke, ich will diese hier eigentlich wirklich nicht!) werden auch bei uns kommen. Ist doch nur eine Frage der Zeit und die ganze "freiwillige" Entwicklung läuft doch auch darauf hinaus …
OK, Boomer. Ich dachte die Pandemie hätte auch *euch* mal endlich gezeigt, das man im Jahre 2022 nicht mehr mit Papier und Stift einen Staat am Laufen halten kann. Aber nein, alles Neue ist pfui, ihr wollt so leben wie 1985. Und jeder Furz der passiert, wird hochgejazzt und alles Digitale zum Teufel gejagt. Macht doch was ihr wollt und kramt euer Kleingeld raus an der Kasse aber verstopft mir nicht den Kassenbereich und stiehlt damit meine Zeit. Ihr solltet eure eigene Schlange bekommen. Ihr hockt da rum und blockiert jeglichen Fortschritt. Widerlich. Und wenn ihr die Petunien von unten zählt, dürfen wir uns mit den Folgen eurer Party herumplagen.
Es gibt intelligente Kommentare und saudämliche Kommentare. Suche dir aus, in welche Kategorie der Kommentar mit deinem Duktus einsortiert werden wird.
Ich würde sogar noch einen Schritt weiter gehen. Wer bar bezahlt soll gefälligst eine Gebühr pro Bezahlvorgang für die verschwendete Zeit der MA entrichten. Dann gibt es plötzlich keine Barzahler mehr.
Leider stellt sich immer wieder heraus Boomer sind Fortschrittsverweigerer. Aus Prinzip und nicht wegen der Logik.
Blutdrucksenkertabletten vergessen – oder wie?!?! Falls ja = gefährlich! 😂
Interessante Vermutung am Rande (kann es leider natürlich nicht beweisen):
Als "Anonymous" über "Antalus" und dann auch noch als "Jester" posten …
Nun gut, ich kann's nicht beweisen, aber es würde passen; denn man kennt "euch" ja … (Nix für ungut – alles guuut! – locker bleiben … 😘)
Ich habe an der Kasse mitbekommen, als jemand mit der Karte zahlen wollte, dass der Kassierer einen anderen Mitarbeiter nach einen Token gefragt hat, erst danach konnte gezahlt werden.
Gibt es einen Token der die Zahlung freigibt?
Ist mir nichts bekannt. Könnte ein Code für das Kassensystem sein, um den Leser freizugeben.
>>> Ich gestehe, die Verfechter des "Bargeld muss bleiben" haben jetzt wieder gewichtige Argumente an die Hand bekommen – und das ist auch gut so.
Auch ich sehe logischerweise die Vorteile von Digitalisierung, aber bei ALLEN kritischen Anwendungen (KRITIS +) – da gehört ein Supermarkt dazu – wird es niemals ohne analoges Backup gehen. Alles andere ist russisch Roulette.
Ich halte die Aussage, dass ein Zertifikat abgelaufen ist, für nicht richtig (auf Twitter z.B.). Es mag sein, dass das eine Rolle spielt, aber dafür passt die ganze Situation nicht.
Beim dm gingen Zahlungen mit Girocard. Bei netto funktionierte dagegen eine Google Pay Zahlung mit Visa-Debit-Karte, andere Karten nicht. Ich vermute tatsächlich, dass es ein komplexeres Thema ist und der Gerätehersteller nicht alles in eine Erklärung packen wollte. Mehr Transparenz würde ich mir dennoch wünschen.
Betr. "Techniker-Passwort":
Ich kann gar nicht so viel fressen, wie ich kotzen möchte. Gut, das H5000 kam schon Anfang der 2010er Jahre auf den Markt. Dass aber im sicherheitssensiblen Umfeld von Bezahl-Kartenterminals vor dem Hintergrund von /1/ nichts besseres implementiert wurde als Passwort-Authentisierung, stinkt mir gewaltig. Und dann hat sowas auch noch den Segen des BSI!
Dass Verifone mit der Tatsache ungenügender Absicherung offen umgeht, macht die Sache nicht besser. Zitat von /2/, S. 30: "Das Service-Passwort wird nur vom Servicetechniker benutzt. Es schützt eine Reihe von Systemfunktionen vor unberechtigtem Zugriff."
/1/
Passwordless authentication
https://en.wikipedia.org/wiki/Passwordless_authentication
Zitat:
"The notion that passwords should become obsolete has been circling in computer science since at least 2004. Bill Gates, speaking at the 2004 RSA Conference predicted the demise of passwords saying "they just don't meet the challenge for anything you really want to secure."
Mein Gedanke: Wenn schon der Hersteller von Windows derlei äussert, müssen für die Finanzindustrie tätige Hersteller erst recht Vorsicht/Umsicht walten lassen.
/2/
H5000 Bedienungsanleitung (PDF)
November 2012 DOC450-003-GE-A Rev. 00
VeriFone GmbH, 36251 Bad Hersfeld
Die Anmeldung an Zahlgeräten für offline-Maintenance ist mit passwordless authentication nicht wirklich sicherer als ein Passwort. Da die Geräte die nötigen Zertifikate offline dabei haben müssten, brauchst du dann auch nur den zwangsweise statischen Schlüssel zum Reinkommen.
Im Übrigen ist im aktuellen Fall auf den Geräten gar kein Zertifikat mehr zu finden, diese wären ohne Passwort-Zugang in jedem Fall Ziegelsteine.
Verzeihe mir einen kleinen Ausflug, der wieder zu den H5000 zurück führen wird:
Der Passwordless-Login sollte grundsätzlich nicht zu einem unterschiedslosen Einsatz in der Praxis führen. In wirklich sicherheitskritischen Bereichen sollte es wenigstens MFA sein, zur Not auch passwordless MFA.
Wobei man nicht vergessen sollte,.dass man hier immer die Login-Infrastruktur zentralisieren muss, mit den entsprechenden Konsequenzen.
Facebook kann davon ein Lied singen und ist mit einem Milliardenschaden noch gut weggekommen, als ihnen diese Zentralisierung letztes Jahr selbst um die Ohren geflogen ist.
Dann braucht es eine Möglichkeit, mit physischem Zugang und relativ einfacher Authentifizierung noch an die Geräte zu kommen. Macht dann den Unterschied zwischen Schadensfall und "das wars" aus. Siehe auch wieder Facebook 10/2020, ist aber eigentlich eine Trivialerkenntnis.
So. Und jetzt sind wir wieder bei den H5000 und dem Ansinnen, dass man da irgendwie auch dann ran können muss, wenn die zentrale Infrastruktur nicht läuft oder die nicht mehr drauf zugreifen können.
Sonst ist das auch hier der Unterschied zwischen einem Schadensfall und "das wars". Und das wäre dann ein sicheres Passwort. Eher kein Zertifikat, das man in einem Fall wie jetzt ja auch tausendfach für den Support rausgeben müsste. Und wo das Master-Cert ja fest ins Gerät geflasht sein müsste. Ganz sicher kein OTP oder Ähnliches, weil es einfach gar nicht funktioniert. Und auch der ganz andere Schnick und Schnack nicht, der Dienste im Netz voraussetzt.
Die allgemeine Berichterstattung zu Sicherheitsthemen finde ich seit Jahren katastrophal. Allenthalben wird eine neue Sau durchs Dorf getrieben, ohne die man angeblich nicht mehr verantwortlich mit IT umgehen würde. Dabei werden die Eigenheiten der angeblichen Mindestanwendungsverfahren schlichtweg ignoriert und den Fachleuten gerne die Kompetenz abgesprochen, das für ihre Szenarien anders zu regeln. So funktioniert das aber nicht.
Ich stand schon vor einem Serverraum und schaute einem Handwerker beim Aufflexen der Tür zu. Was übrigens eine ziemliche Aktion ist, weil man genau das nicht können soll. Ich schaute da zutiefst amüsiert zu, während die Aufregung sonst wirklich groß war.
Denn genau das hatten wir vorausgesagt, aber es wurde wider unserer Empfehlung Schema F von Authentifizierung und Schließlogik umgesetzt, obwohl die Besonderheiten erheblich waren.
Und dann steht man halt vor der Tür, hinter der man die Systeme in Ordnung bringen muss, wegen denen die Türen nicht aufgehen.
Oder man schmeißt ein Gerät weg, weil Einstellungen der Firmware sich nicht mehr ändern lassen, wenn die Festplatte mit dem Key im Gerät defekt ist und kein Teiletausch mehr hilft.
Ist immer das Selbe. Kommt eine gute Idee, wird von fachfremden unter Weglassung der erforderlichen Rahmenbedingungen zum Nonplusultra gehyped, genügend Leute fallen dann wegen Nichtbeachtung der Rahmenbedingungen auf die Nase, dann wird es zu einem normalen Abwägungsgegenstand in der Nutzungsauswahl der verfügbaren Techniken … und dann kommt eine gute Idee…
usw.
Tip:
Neben der Tür (durch eine Wand) kommt man oft viel einfacher und viel geringeren Schaden rein… Und ist billiger repariert…
Bosch Hammer rulez :-)
Der Krach stört in diesem Fall ja keinen…
Ich denke, damit hast du recht, wäre bei unserem "Zwischenfall" sicher auch so gewesen. Zum Nebenraum wäre eine relativ dünne Betonwand zu durchbrechen gewesen.
Und dann die Tür von innen einfach aufklinken.
Aber, wie es so ist: wir hatten die Firma für die Verschlusssysteme durch die Leitung gezogen und die kann halt Türen. ;)
War übrigens das einzige Mal, bei dem umfangreiche Arbeiten keinen Streit ums Geld auslösten, weil die alle Arbeiten und Material auf ihre Kappe genommen haben.
Fand ich in dem Ärger klasse: eigenen Fehler eingeräumt, nicht diskutiert, in Ordnung gebracht.
Mit der Firma arbeiten wir heute noch zusammen und haben diverse größere Projekte durchgezogen. War vielleicht sone Art Feuer-Taufe. *g*
Betr. "Die Anmeldung an Zahlgeräten für offline-Maintenance ist mit passwordless authentication nicht wirklich sicherer als ein Passwort. …":
Danke für die Einsichten. Das Wissen haben Sie wohl durch ihre berufliche Praxis erworben. Insofern gehe ich davon aus, dass Ihre Darstellung durchaus den Stand verbreiteter Technik wiedergibt. Ich mag es aber immer noch nicht glauben, dass selbst im Spitzenbereich auf dem Markt erhältlicher Implementationen nicht mehr/besseres geboten wird als Passwort-Authentisierung.
Müssen wir aber nicht hier lösen.
Was noch relativ weit verbreitet ist ist statt einem Passwort eine hartcodierte Liste (bzw. natürlich Hashes davon), und jeder Supportmitarbeiter bekommt genau eines. Wenn das leakt kann man das bei Updates gezielt sperren.
Zusätzlich wird gerne die Seriennummer des Gerätes als Eingabe für einen Hash verwendet, um noch ein gerätespezifisches Passwort zu produzieren – gerne auch z.B. an den aktuellen Tag gekoppelt. Da müssen dann berechtigte Techniker erstmal beim Hersteller anrufen. Ist zwar wieder zentralisiert, aber Low-Tech. Und letzteres ist das, was man gerade in solchen Szenarien oft haben will.
Die zweite Variante kann man auch gut mit einer PKI (Geräteserienspezifisch, ohne Ablaufdatum der Rootzertifikate) kombinieren. Solange man die Seriennummer nicht manipulieren kann ist bei einem Leak eines Endzerts nur das Gerät selbst betroffen. Der private Schlüssel sollte dem Hersteller natürlich nicht abhanden kommen, aber gut, das ist bei Passwörtern auch der Fall^^ Und letztere sind deutlich exponierter.
Aber ja, das ist ein komplexes Thema – mit vielen Henne-Ei Problemen und vielen Gelegenheiten, sich selbst in den Fuß zu schießen.
Danke!
Solche Varianten kenne ich aus hochwertigen Installationen z.B. für Authentifizierung und Meldung. Die dritte Variante klingt nach LANCOMs, mit denen ich mal zertifizierte Standortvernetzung betrieben habe. War bisl anstrengend, klappte aber erstaunlich gut und war zuverlässig. Da wäre aber viel Raum zum Vergeigen gewesen, wenns ein fintec gemacht hätte. ;)
Auch unsere Meldeanlagen arbeiten ähnlich, also bei der Auslieferung gibt es einen Satz Keys für genau das Gerät und deren Verbleib ist fest geregelt. Halt nicht beim Endnutzer.
In diesen Umfeldern sind das imho erprobte, potente und verlässliche Lösungen.
Bei so Tischgeräten, die millionenfach an die Endkunden gehen, ist das den Herstellern schon schlichtweg zu aufwendig und teuer.
Und ich weiß noch ziemlich genau, wie wir mal an die H5000 gekommen sind. Die konnten alles und waren billig… *g*
Aber unabhängig davon: bei Zutrittsystemen sah man auch schnell, was mit hartgecodeten Zertifikaten o.ä. passieren kann. Da ist dann das Verfahren geknackt und es bleibt teils nur noch der Austausch, weil man sonst schnell keinen Schutz mehr hat. Und da waren es auch nicht unbedingt längere Zeiträume als 10 Jahre, bis es broken war. Da half dann auch Gerätespezifik nichts…
Das Thema des sicheren Zugangs wird uns bei kleineren Geräten, auch im Zahlungsverkehr, wohl noch sehr lange begleiten.
Auch wegen des Zielpublikums fur den Verkauf.
Ich persönlich fand das damals bei der Vernetzung nicht schlimm, dass es klar hieß: wenn du die Karten verbastelst, kannst du es wegschmeißen. War halt so und war angemessen. Das kriegst du aber nicht an den Händler verkauft und der Zahlungsdienstleister würde bei solchen Geräten auch die Kneifzange raus holen.
Hier könnte eine schmerzhafte Regulierung natürlich helfen. Wenn mannes wirklich wollte, weil die Zahlungssicherheit des Kunden wirklich abgehobene Priorität hätte. Dem ist aber imho nicht so.
Wir haben selbst ein H5000 von Concardis im Einsatz nach Mehrmaligem Neustart gleich am ersten tag bevor was bekannt war und auch später nochmal läuft unser Gerät normal hoch und lässt sich Bedienen allerdings können keine Zahlungen getätigt werden.
Komisch eigentlich ich dachte immer entweder oder. Wir haben aber aktuell auch keinerlei neue infos
Eben an der Tanke… Ein H5000 EC geht nur wenn ins Gerät gesteckt. Das schließt die Zertifikat Problematik ja aus.
Es gibt wohl mehrere Zustände :
Geräte die das Update 25.12.2021 bekommen haben(arbeiten normal)
Geräte die nicht neu gebootet worden sind (können noch Stammdaten der Karte lesen, aber nicht mehr selbst einziehen)
Geräte die gebootet wurden und kein Update haben
sind gebrickt, unbrauchbar.
Geräte die keine Zahlungen mehr tätigen können aber noch ins Linux booten.
(emm. Ist noch ein 2. Zertifikat kaputt oder hat der Dienstleister diese Geräte gesperrt?)
"es steht dort, dass Zertifikate fehlen, sprich, die EC-Terminal-Firmware findet keine…" nicht schon abgelaufene….
Da es wurscht ist warum das mit dem Cert nicht geklappt hat, kommt nur ein -"open failed" oder "invalid"
Und dem agilen Java-Programmierer reicht das.
Im Logfile des hypercom-abysys-wrlinux steht aber klar und deutlich :
Verify cert chain: Certificate expired.
(wo haben die eigentlich die open source Lizenzen veröffentlicht?vGerd… )
Witziger Weise sucht das Teil vor dem verify chain nach Updates und will etwas downloaden.
Aber vermutlich ist kein Internet angeschlossen oder die Firewall dicht, das falsche Gateway eingragen wie die Meldung "no root to host" eindeutig sagt…
Zum datum
Die verwenden den crypto chip BCM5682.
Der kam Jan 2011 auf dem Markt.
So kannn das mit den 10 Jahren gut hinkommen.
Noch mal zum logfile
wrlinux steht wohl für "Wind River embedded linux"
Bekannter, uralter Name, kein Billig Teil. Sie bieten
(min) 10 Jahre Support. (10 Jahre, wies kommt mir die Zahl bekannt vor?)
Um 17:32 wird klar gemeldet
Verify Cert Chain: error 11 depth 0 : certificate expired.
Ich vermute mal, das depth root cert steht…
Problem ist, das die dlls(linux und dll?) mit der selben CA abgesichert sind, die abgelaufen ist.(sagte Günther ja auch, nur anders) ind darum nicht geladen werden.
Das ist kein Software Fehler, das ist so gewollt.
Das hat auch noch nichts mit Zahlungsvorgängen zutun.
Das linux kriegt einfach den Windows Manager nicht mehr hoch. Das was man im Display sonst sieht wird wohl aus einer xwindow App kommen. Da bleibt nur die BIOS-Screen…
Am Ende 2. Logs soll noch (nochmal) ein service proxy gestartet werden.
Distribution day: am 23. April 2012 18:00 BST dgrstby
Woher kenne ich das Datum?
Meiner Meinung und dieserm Logfile nach sieht es extrem danach aus, das "nur" root CA abgelaufen ist. Evtl. wurde das von Wind River im SDK geliefert und kann wohl nicht so einfach zu erneuern sein.
Ich glaube die haben da wohl wirklich ein echtes Problem…
Sie scheinen nicht validiert zu haben, ob alle Kisten das Update vom 25.12.2012 bekommen haben.
Warum verifon das logfile nicht selbst veröffentlicht hat ist mir unverständlich.
There is not security thru obscurity.
Und wenn man Sch* gebaut hat, sollte man die Größe haben, dazu zu stehen.
So ein Fehler (Cert vergessen) kommt oft vor.
Rs sind alles Menschen.
HTH
Und vielen Dank für deinen Report!
Super!
Für Mitleser – Paul bezieht sich u.a. auf diesen log-Auszug, den ich im verlinkten Beitrag publiziert habe.
Betr. "linux und dll?", slightly off-topic, nicht näher geprüft:
Ja, geht. Eine Art ist /1/.
/1/
Porting Windows Dynamic Link Libraries to Linux
By Tavis Ormandy | Project started in 2017
https://github.com/taviso/loadlibrary/blob/master/README.md
Zitat:
"This repository contains a library that allows native Linux programs to load and call functions from a Windows DLL. As a demonstration, I've ported Windows Defender to Linux."
Zwei Meldungen von Lesern über eine geschlossene Facebook-Gruppe zum Thema.
Nutzer A: "Wir haben von PayOne schon im Frühling 2021 ein Schreiben bekommen dass das Verifone H5000 veraltet ist und möglichst bald ersetzt werden soll. Herbst 2021 kam nochmal ein Schreiben mit Angebot für ein neues Terminal … "
Es gab also Informationen
Nutzer B: "Wir haben bei Defekt-Meldungen (Tamper Error) von den Geräten (H5000) von Payone auch in den letzten Wochen H5000 Geräte [als Ersatz] geschickt bekommen, vorkonfiguriert mit der TID vom def. Gerät. Bei der letzten Inbetriebnahme eines Ersatzgerätes (Fehlercode 82) wurde mir nach Stunden mitgeteilt das sich der Port für den Zahlungsverkehr geändert hat. Nach der Änderung im Gerät und der Freigabe im Firewall hat das Gerät Verbindung aufgenommen und die Inbetriebnahme erfolgreich abgeschlossen. An der Kasse angeschlossen am 23.5.2022 ist genau eine Kartenzahlung durchgegangen. Danach Kartenzahlungen nicht mehr möglich."
Einen hab ich noch(glaube aber hier nicht wirklich dran)
Es gab doch Anfang des Jahres ein Problem mit Viren Signaturen, weil ein Schlauchen meinte, es sei schlau, den string 20210202 in einen 32bit wert zu schreiben und dann in einem if einfach anzufangen, leider vergessend, das das if automatisch auf signed castet, was bei Werte über rund 2021 Millionen zu einem negativen Wert führt…
Das passt 10 Jahre + 1 Monate wesentlich besser.
Ich möchte mal den Fokus auf die Deadline für das Update setzen: 25 Dezember 2021. Das ist Weihnachten!
Wie kann man Händler in in der Weihnachtszeit das Herumfummeln an für das Weihnachtsgeschäft absolut kritischer Gerätschaften zumuten? Wie kann man als Hersteller so unsensibel und ungeschickt sein? Wie kann man seine Endkunden so wenig kennen?
Natürlich haben viele das in der Zeit nicht eingespielt, weil es einfach nicht geht. Wenn es sich dann in Januar nicht mehr einspielen ließ, dann werden sich viele gedacht haben dass es dann nicht so wichtig sein kann und demnächst was funktionierendes kommen wird.
Der 25.12. war aber auch ein Samstag :-)
Vermutlich wollten die den Sonntag zum Reparieren haben :-)
Nö, da wurde das Update released. Man hatte noch 6 MONATE Zeit.
Noch ein Beitrag bezüglich der Rolle der "Deutsche Kreditwirtschaft" (Oberbau der Verbände der Banken) in diesem Zusammenhang (von den Kollegen von finanz-szene.de):
Wie es zum Terminal-GAU kam – und die fatale Rolle der DK
Interessanter Abriss – irgend etwas muss auf jeden Fall mit der deutschen Ausgabe der H5000 Kartenterminals passiert sein. Ich habe jetzt mehrfach im Web gesucht, ob da auch im Ausland ähnliches passiert ist – Fehlanzeige, außer englischsprachigen Beiträgen (u.a. von mir), die sich auf Deutschland beziehen, ist da nichts greifbares.
EDV Ermtraud, die diese Terminals u.a. in Kommunen etc. betreuen, hat hier einen Abriss zum Stand veröffentlicht. Dort heißt es, dass auch Kunden selbst ein manuelles Update der Geräte vornehmen können sollen – hier scheint sich meine Einschätzung, dass nur Techniker die Geräte neue flashen dürfen, nicht zu bewahrheiten. Zwischen den Zeilen lese ich aber, dass die Zahlungsdienstleister versuchen, möglichst viele Geräte im Handel auszutauschen.
Eine interessante Information habe ich am Wochenende in einem Forenkommentar von einem Händler gelesen. Der hat sich ein Sumup-Terminal (siehe hier) zugelegt.
Die haben wohl verschiedene Kartenterminals für kleines Geld, die wohl alle Kartentypen lesen können und teilweise per Mobilfunkanbindung arbeiten.
Sumup ist ein Milliarden schweres deutsch-britisches Fintech-Unternehmen (siehe auch), wobei ich gerade lese, dass die aktuell 100 Mitarbeiter (in Brasilien) gekündigt haben. Scheint ein heißes Pflaster zu sein, diese Szene, denn auch der schwedische Anbieter Klarna baut Mitarbeiter ab.
https://www.heise.de/news/Entlassungswelle-in-der-Fintech-Branche-geht-weiter-7126916.html
Hatte dies gesehen (Sumup ist auch irgendwo in einem meiner Artikel erwähnt) – trotzdem danke für den Link.
es steht dort, dass Zertifikate fehlen, sprich, die EC-Terminal-Firmware findet keine…"
Noe steht da nicht
Da steht
CERTIFICATES:
No CertFiles to display.
An Stelle sollten wohl die verwendeten, gültigen Certs angezeigt werden. Wenn das Root-CA abgelaufen ist, oder die Software ein year 2022 Problem hat(2^31=21…) hat, dann kommt da halt nichts.
Man hat sich mit der Fehlermeldung nicht viel Mühe gegeben. Sollte nie ja kommen.
Das Problem betrifft wohl nicht die Certs die die Kommunikation mit dem Zahlungsanbieter betreffen und der Zahlungsverkehr ist nicht betroffen, weil schon die App mangels Cert nicht gestartet werden kann.
Insofern dehnt die Presseabteilung nicht die Wahrheit.
Transparenz ist etwas anderes.
Aber vermutlich könnte es um einen erheblichen Schadensersatz gehen…(grobe Fahrlässigkeit?)
Wir haben hier vier H5000er von 2017 im Einsatz und keine Probleme.
https://www.heise.de/news/Aufatmen-nach-Ausfall-von-Kartenzahlungen-Haendler-tauschen-H5000-Terminals-aus-7126814.html
Das passt zum Datum doch wie die Faust. .
https://docs.microsoft.com/en-us/troubleshoot/windows-server/windows-security/microsoft-trusted-root-store-removal-of-us-federal-common-policy
Ich bin zu wenig in den Certificates drin, aber das sieht nach einem merkwürdigen Zufall aus. . Und es ist ja nicht nur in Deutschland. . sondern die Geräte stehen "überwiegend" in Deutschland. Esso ist Europaweit betroffen. .
Das Gerät hat sein offizielles Supportende im April 2023. Das ist in ungefähr 10 Monaten. Solang ein Gerät noch im erweiterten Support befindet sollte es auch problemlos funktionieren.
Geräte die das Update vom 25. Dezember 2021 Installiert haben funktionieren ja noch.
Da es ein Softwareupdate gibt würde ich sagen das die Geschäfte, Ketten, und Dienstleister für Kassensysteme die ihre IT nicht richtig warten selbst das Problem verursacht haben.
Unter diesen Voraussetzungen würde ich Schadensersatzklagen gegen Verifone nur geringe Erfolgschancen einräumen. Der Fehler wäre ja durch richtige Wartung der IT vermeidbar gewesen.
Zitat:"Die Geräte streiken deutschlandweit…", also Österreich ist auch dabei. Drei Tankstellen wo nur Bares genommen werden, 2x AP und 1x BP.