Kreditkartenfirma der Schweizer Banken von IT-Schwachstelle ...

Das Hauptquartier des betroffenen Finanzdienstleisters in Zürich.screenshot: viseca-payment.ch

Zwischen Juni 2021 und November 2022 waren Monatsabrechnungen von Zehntausenden Geschäfts­kunden wegen einer Sicherheitslücke über das Internet zugänglich. Der Schaden ist laut Viseca minim.

Zehntausende Schweizer Kreditkarten-Abrechnungen waren längere Zeit offen im Internet zugänglich, wie das Online-Magazin «Republik» am Montag enthüllte.

Gemäss Recherche stiess die Schweizer IT-Sicherheitsfirma Pentagrid bei der Kreditkartenfirma Viseca zufällig auf eine entsprechende Server-Schwachstelle. Diese Schwachstelle ermöglichte es, durch einfaches Ändern einer Internet-Adresse (URL) auf die fremden Daten zuzugreifen.

Potenziell betroffen: zehntausende kleine und mittlere Unternehmen (KMU), die bei Viseca eine Mastercard- oder Visa-Kreditkarte haben und über ihre Bank abrechnen.

Die «Republik» schreibt:

Viseca ist im Besitz der grössten Schweizer Kantonal- und Retailbanken. Dazu gehören alle Kantonalbanken, die Raiffeisen-Gruppe, Entris Banking, Migros Bank, Bank Cler, Regionalbanken sowie Privat- und Handelsbanken.

Auf Anfrage von watson bestätigte Viseca-Sprecher Nicolas Kucera, dass während 17 Monaten eine entsprechende IT-Schwachstelle bestanden habe. Man habe aber «keinerlei Hinweise auf missbräuchliche Zugriffe» gefunden – weder in den Server-Log-Dateien, noch durch Darknet-Monitoring.

Die Schwachstelle sei im November 2022 innert einer Woche (nach Meldung durch Pentagrid) geschlossen worden.

Das Fazit der «Republik»:

Was einige Kundinnen und Kunden irritieren dürfte: Die meisten erfahren vom Sicherheits-Vorfall erst durch die Berichterstattung: Viseca und die Banken hatten darauf verzichtet, alle potenziell Betroffenen eigenhändig zu informieren.

(dsc)