wechselnd bewölkt11°
DE | FR
burger
Digital
Online-Sicherheit

Kreditkartenfirma der Schweizer Banken von IT-Schwachstelle betroffen

Viseca-Hauptquartier in Zürich.
Das Hauptquartier des betroffenen Finanzdienstleisters in Zürich.screenshot: viseca-payment.ch

Zehntausende Schweizer Kreditkarten-Abrechnungen im Internet abrufbar

Zwischen Juni 2021 und November 2022 waren Monatsabrechnungen von Zehntausenden Geschäfts­kunden wegen einer Sicherheitslücke über das Internet zugänglich. Der Schaden ist laut Viseca minim.
20.03.2023, 18:2821.03.2023, 14:22
Mehr «Digital»

Zehntausende Schweizer Kreditkarten-Abrechnungen waren längere Zeit offen im Internet zugänglich, wie das Online-Magazin Republik am Montag enthüllte.

Gemäss Recherche stiess die Schweizer IT-Sicherheitsfirma Pentagrid bei der Kreditkartenfirma Viseca zufällig auf eine entsprechende Server-Schwachstelle. Diese Schwachstelle ermöglichte es, durch einfaches Ändern einer Internetadresse (URL) auf die fremden Daten zuzugreifen.

«Jede Internet­nutzerin konnte ‹von aussen› dank Kenntnis der URL auf Daten zugreifen und brauchte weder technische Kenntnisse noch ein Log-in.»

Potenziell betroffen: Zehntausende kleine und mittlere Unternehmen (KMU), die bei Viseca eine Mastercard- oder Visa-Kreditkarte haben und über ihre Bank abrechnen.

Die Republik schreibt:

«Die gefundenen Informationen waren höchst vertraulich. Aus den Abrechnungen liess sich herauslesen, welche Unternehmen wann wo was einkauften oder in welcher Cloud sie ihre Daten speicherten. Hätte jemand die Daten massenhaft aus dem Internet herunter­geladen, wären einige der Geschäfts­beziehungen der Firmen vollständig rekonstruierbar gewesen.»

Im Besitz der Banken

Viseca ist im Besitz der grössten Schweizer Kantonal- und Retailbanken. Dazu gehören alle Kantonalbanken, die Raiffeisen-Gruppe, Entris Banking, Migros Bank, Bank Cler, Regionalbanken sowie Privat- und Handelsbanken.

Auf Anfrage von watson bestätigte Viseca-Sprecher Nicolas Kucera, dass während 17 Monaten eine entsprechende IT-Schwachstelle bestanden habe. Man habe aber «keinerlei Hinweise auf missbräuchliche Zugriffe» gefunden – weder in den Server-Log-Dateien noch durch Darknet-Monitoring.

Die Schwachstelle sei im November 2022 innert einer Woche (nach Meldung durch Pentagrid) geschlossen worden.

Das Fazit der Republik:

«Viseca ist mit einem blauen Auge davon­gekommen. Zum einen, weil die Sicherheits­lücke offenbar nicht ausgenutzt worden ist. Zum anderen, weil sich für den Fall keine Behörde zuständig fühlt und deshalb auch keine Sanktionen drohen.»

Was einige Kundinnen und Kunden irritieren dürfte: Die meisten erfahren vom Sicherheitsvorfall erst durch die Berichterstattung: Viseca und die Banken hatten darauf verzichtet, alle potenziell Betroffenen eigenhändig zu informieren.

Quellen

(dsc)

Nach Attacken aus Russland: Microsoft warnt vor schwerer Sicherheitslücke bei Outlook
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Themen
Nordkoreas berüchtigte Hacker – so arbeitet die Lazarus Group
1 / 24
Nordkoreas berüchtigte Hacker – so arbeitet die Lazarus Group
Die Lazarus Group schlägt weltweit zu...
Auf Facebook teilenAuf X teilen
Lehrerin zeigt Geheimversteck im Klassenraum - TikTok dreht durch
Video: watson
Das könnte dich auch noch interessieren:
5 Kommentare
Zum Login
user avatar
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Linda Diaz
21.03.2023 00:34registriert Januar 2020
Alles was digital in der Schweiz geschieht, wird früher oder später öffentlich, geleakt, oder landet im Darknet. Vielleicht sollte man mit der übermassigen Digitalisierung ein bisschen auf die Bremse treten, bis man das nötige Know-How dazu hat.
306
Melden
Zum Kommentar
avatar
Alyssea
20.03.2023 23:04registriert Januar 2020
Das ist in meiner Branche normal. Das Internet ist selbst für die meisten Branchengrössen noch immer Neuland.
273
Melden
Zum Kommentar
5
Meistgelesen
1
Diese (relativ) einfache Geografie-Frage hätte 125'000 Euro eingebracht, aber ...
2
Ein E-Auto fährt in der Schweiz allen Benzin-Autos davon – und es ist nicht Teslas Model 3
3
Pro-Russland-Blogger sterben gerade reihenweise – und jetzt ist Alina Lipp verschwunden
4
Das steckt hinter den merkwürdigen Tonband-Anrufen, die Tausende Schweizer erhalten
5
Du siehst richtig: Die lustigsten Fails der Woche sind da!
Meistkommentiert
1
Arne Slot kündet an: «Ich will Liverpool-Trainer werden» +++ Butscher übernimmt in Bochum
2
Untersuchung entlastet UNRWA: Verändert sich so alles? Ein Überblick
3
«Israel wird die Hamas nicht zerstören»
4
Wenn du für den Rest deines Lebens nur noch eine Serie schauen könntest – welche wäre es?
5
Prämienentlastung etc. – bei 3 Abstimmungsvorlagen zeichnet sich ein Ja ab
Meistgeteilt
1
Zweifacher Totschlag: Herzmediziner der Berliner Charité zu vier Jahren Haft verurteilt
2
Der «Pink Moon» im April: 13 spannende Fakten zum Vollmond
3
«Unterirdische Hölle» – Hamas veröffentlicht Video von 24-jähriger verstümmelter Geisel
4
Spanien lässt aus Versehen Drogenboss laufen, der Prinzessin Amalia entführen wollte
5
Das Kondom alleine reicht nicht: Dieser Test des Bundes zeigt, ob du «ready!» für Sex bist
Internetadressen mit Domain .swiss frei verfügbar
Personen mit Schweizer Staatsangehörigkeit oder Wohnsitz in der Schweiz können seit Mittwoch den Domain-Namen .swiss erwerben.

Internetadressen mit der Domain .swiss waren bisher nur öffentlichen oder privaten Unternehmen und Organisationen vorbehalten.

Zur Story