Abgelegt unter: Tagesthemen
Seit man Einwegplastikflaschen ĂŒberall abgegeben kann, ganz gleich, wo man sie gekauft hat, haben immer mehr GeschĂ€fte Automaten zum Sammeln der leeren Flaschen aufgestellt.
FĂŒr eine leere Einwegflasche bekommt man 25 Cent - das ist mitunter mehr, als der Flascheninhalt gekostet hat, und fordert Manipulationsversuche geradezu heraus.
Ein Hacker, der als IT-Berater arbeitet, hat die Pfandautomaten einigen Tests unterzogen - und dabei erstaunliche MĂ€ngel des Systems entdeckt:
“Wenn man einmal verstanden hat, wie es geht, ist es leicht zu exploiten”, sagt er im typischen Hackerjargon.
Seine Zuhörer auf dem 24. Chaos Communication Congress, der noch bis zum Sonntag in Berlin stattfindet, verstehen ihn sofort: Ein Exploit ist eine kleines Programm, dass LĂŒcken in einer Software gezielt ausnutzt.
Dabei erfordert der von dem Pfand-Hacker genutzte Exploit nicht mal Programmierkenntnisse - er hat schlicht Etiketten von Einweglaschen fotografiert, ausgedruckt und die Ausdrucke auf andere pfandfreie, in Deutschland gekaufte Flaschen aufgeklebt.
Das habe oft funktioniert, berichtet der Hacker. “Die Automaten nutzen keine aufwendigen Sicherungssysteme.”
Die Flaschen werden in den Automaten nach innen befördert, gedreht und dabei gescannt.
Die Automaten erfassen unter anderem das Einwegpfand-Logo, den aufgedruckten Barcode sowie Gewicht, Form und Farbe der Flasche.
Soweit die Theorie.
In der Praxis scheinen zumindest einige der untersuchten Automaten weniger genau hinzuschauen: Waren entweder das Pfandflaschenlogo oder der Barcode abgeklebt, wurden die Flaschen trotzdem hÀufig anstandslos akzeptiert.
“Die meisten GerĂ€te sind sehr liberal”, sagt der Pfandflaschen-Hacker. Es seien aber noch genauere Untersuchungen an unterschiedlichen GerĂ€ten nötig.
KopfschĂŒtteln löst beim ihm vor allem das Einwegpfand-Logo aus, das mit einer speziellen Farbe und nur von zertifizierten Herstellern gedruckt werden darf.
“Das ist eines der zentralen Sicherheitsmerkmale”, sagt der IT-Berater, doch erstaunlicherweise könne man es sich auf der Webseite der Deutsche Pfandsystem GmbH ( DPG) in sehr hoher QualitĂ€t herunterladen.
Die DPG koordiniert das deutsche Einwegpfandsystem und ĂŒbernimmt unter anderem das sogenannte Clearing - also den Ausgleich der Pfandeinnahmen und -ausgaben zwischen den SupermĂ€rkten.
Wie leicht das System zu ĂŒberlisten ist, hatten bereits im Juni 2007 zwei Berliner Blogger demonstriert.
Sie klebten nach eigener Aussage einfach einen Etikettausdruck auf eine pfandfreie Flasche und bekamen die 25 Cent anstandslos am Automaten ausgezahlt. “Dass es so einfach geht, hĂ€tten wir wirklich nicht gedacht”, schreiben Luca DuMont und Larry LaSalle.
Ein bisschen schlechtes Gewissen hĂ€tten sie dann schon gehabt, als ihnen der nette junge Mann an der Kasse ein fröhliches “noch’n schönen Tag” hinterher gerufen habe.
Auch der Pfand-Hacker fĂŒhlte sich nach seinem Pfandbetrug nicht ganz wohl in seiner Haut: Die mit manipulierten Flaschen erzielten Einnahmen habe er gespendet, sagt er auf dem Hackertreffen in Berlin.
Zumindest ein gröĂerer Betrugsversuch mit Einwegflaschen in Deutschland ist bereits dokumentiert.
Im Oktober 2006 nahm die Polizei in Itzehoe (Schleswig-Holstein) drei OsteuropÀer fest, die 150.000 neu produzierte PET-Flaschen in einer Halle gelagert hatten.
Einwegpfland-Logos und Barcodes waren nach Polizeiangaben gefÀlscht. Wert: 37.500 Euro.
Freilich wĂ€re das Abgeben der Flaschen wohl aufgefallen: WĂŒrde man pro Flasche eine Sekunde brauchen, um sie in den Automaten zu stecken (was eine sehr optimistische Annahme ist), dann brĂ€uchte eine Person fĂŒr alle 150.000 Flaschen ĂŒber 40 Stunden.
FĂŒr die ganz groĂen Gaunereien ist das System wohl nicht geeignet.
Wohl auch deshalb hĂ€lt der Pfand-Hacker die MĂ€ngel bei den Pfandautomaten fĂŒr einkalkuliert: Gelegentlicher Betrug werde durch groĂe Mengen nicht zurĂŒckgegebener Flaschen kompensiert, sagt er. Mehrere Milliarden Pfandflaschen kursieren in Deutschland - doch nicht alle werden nach dem Kauf zurĂŒckgegeben, manche landen stattdessen im MĂŒll. So entstĂŒnden beim DPG ĂberschĂŒsse.
Ăber die Höhe dieser Schwundquote existieren keine offiziellen Statistiken. Die Deutsche Pfandsystem GmbH (DPG) hat SchĂ€tzungen, die Quote liege zwischen fĂŒnf und 20 Prozent, ausdrĂŒcklich widersprochen. “Dies kann ich nicht bestĂ€tigen”, sagte GeschĂ€ftsfĂŒhrer Frank Strebe im GesprĂ€ch.
Der DPG-Manager rĂ€umte ein, dass Automaten bei der Erkennung mitunter groĂzĂŒgig vorgehen:
“Da es unterschiedliche Automatenhersteller im Markt gibt, wissen wir auch von unterschiedlichen Lese-Toleranzen”, sagte Strebe. Diese Unterschiede seien jedoch “marginal” und hielten die vom DPG-System vorgegebenen Grenzwerte und Auslesequoten ein. BetrugsfĂ€lle auĂer jenem in Itzehoe seien dem Unternehmen nicht bekannt.
________________
Quelle: H.Dambeck
Keine Kommentare so far
Leave a comment
Einen Kommentar hinterlassen
Zeilen und Absätze brechen automatisch um, E-Mail-Adresse wird nie angezeigt, HTML erlaubt:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <code> <em> <i> <strike> <strong>
