Geld-Diebstahl per NFC
Immer mehr Zahlungskarten werden mit NFC-Chips für kontaktloses Zahlen ausgerüstet. Zugleich wächst die Sorge vor Missbrauch der eigentlich komfortablen Technik. Welche Risiken bestehen tatsächlich?
Kartendaten lassen sich einfach auslesen
Karte kurz ans Terminal halten, Biep, bezahlt – immer mehr Kredit- und Girokarten besitzen einen NFC-Chip für die kontaktlose Zahlung an der Kasse. Der Bezahlvorgang wird dadurch nicht nur erleichtert, sondern auch beschleunigt. Bis zu einem bestimmten Betrag, meist 25 Euro, ist dazu nicht einmal eine PINEingabe erforderlich. Nun gibt es immer wieder Berichte in den Medien, die davon handeln, wie leicht von den Karten per Funk heimlich Daten ausgelesen und missbraucht oder gar vom Eigentümer unbemerkt ganze Zahlungen ausgelöst werden können. Doch wie wahrscheinlich sind solche Szenarien, und wie kann man sich davor schützen?
Die NFC-Technik in Zahlungskarten
Bei NFC (Near Field Communication) handelt es sich um Nahfunktechnik. Damit ausgestattete Karten besitzen neben dem üblichen Smartcard-Chip zur Zahlung noch einen Mikrocontroller mit Antenne für die drahtlose Übertragung. Dieser Mikrocontroller ist im Prinzip ein winziger Computer, der durch die elektromagnetischen Wellen des Lesegerätes mit Energie versorgt wird. Gefunkt wird mit 424 Kilobit pro Sekunde auf einer Frequenz von 13,56 Megahertz. NFC ist ausgelegt auf eine Reichweite von bis zu zehn Zentimetern. Das bedeutet allerdings nicht, dass es unmöglich ist, größere Distanzen zu überbrücken. So hat der Bayerische Rundfunk Ende 2016 in einem Beitrag gezeigt, wie Zahlungskarten mittels Smartphone und Zusatzantenne aus einem Abstand von 17 Zentimetern ausgelesen werden konnten. Forschern an der britischen University of Surrey ist dies sogar über eine Strecke von rund 80 Zentimetern gelungen, allerdings unter Laborbedingungen. Prof. Dr. Gerd Beuster, Leiter des MasterStudiengangs IT-Sicherheit an der Fach-
hochschule Wedel, hält die Risiken für überschaubar: „Eine Kette ist bekanntlich immer so stark wie ihr schwächstes Glied, und meine Einschätzung ist, dass dieses Glied mit der kontaktlosen Zahlung nicht so besonders schwach ist.“Unmöglich sei es etwa, den Datenverkehr bei einer Transaktion aufzuzeichnen und für einen weiteren Vorgang zu verwenden. Die Kommunikation bei der Bezahlung erfolge verschlüsselt, und die übertragenen Daten seien nur einmalig gültig. Auch die Chips in den Smartcards ließen sich nicht auslesen, denn die Technik sei sehr sicher.
Freimütige Datensender
Was die funkfreudigen Plastikkarten dennoch im Klartext preisgeben, ist bei Kreditkarten die Kartennummer und bei Debitkarten die Kontonummer. Dazu gibt es das jeweilige Ablaufdatum und in manchen Fällen noch eine Kaufhistorie. Der Name des Karteninhabers ist so allerdings nicht zu ermitteln, ebenso wenig die auf die Karte aufgedruckte Sicherheitsnummer ( CVC). Wie auskunftsbereit Ihre eigenen Karten sind, können Sie leicht herausfinden. Alles, was Sie benötigen, ist ein Android-Smartphone mit NFC und die App Contactless Credit Card Reader. Darin einfach auf Scan tippen, Karte an die Rückseite des Handys halten, und einen Augenblick später werden die ausgelesenen Infos angezeigt.
Einkaufstour mit gestohlenen Daten
Mit den ausgelesenen Daten besitzen die Diebe zwar eigentlich zu wenig Informati- onen, dennoch soll es Händler geben, bei denen ein Kauf möglich ist, wenn Kartennummer und Ablaufdatum stimmen, aber ein falscher Name eingetragen ist. Der Sicherheitscode, der CVC, wird ohnehin oft gar nicht abgefragt, selbst bei Amazon nicht. Möglicherweise möchten die Firmen damit vermeiden, dass Kunden wegen des großen Aufwandes kurz vor dem Kaufabschluss abspringen. Laut Mastercard sind für eine Zahlung im Internet aber eigentlich all diese Daten notwendig. „Verzichtet ein Händler auf die Abfrage aller Sicherheitsfaktoren, haftet er im Schadensfall.“Wichtig sei, sich bei Betrugsverdacht sofort an die kartenausgebende Bank oder Sparkasse zu wenden. Laut Rechtsanwalt Christian Solmecke von der Kölner Kanzlei Wilde Beuer Solmecke haften Karteninhaber nach EU-Recht seit 13.1.2018 bis zur Kartensperrung für höch- stens 50 Euro. Die Mithaftung des betroffenen Bankkunden sei aber ausgeschlossen, wenn das Opfer nicht in der Lage war, die missbräuchliche Verwendung vor einer Zahlung zu bemerken, was bei NFC-Betrugsfällen regelmäßig der Fall sein dürfte. Darüber hinaus sollte umgehend Anzeige bei der Polizei erstattet werden. Das sei nicht nur wichtig wegen der Verfolgung der Täter, sondern diene auch als Nachweis gegenüber der Bank, wenn es um die Erstattung des Geldes geht.
Unbemerkt bezahlt?
Eine verbreitete Sorge unter NFC-Kartenbesitzern ist auch, dass beim Vorbeigehen an einem Kassenterminal versehentlich der Kassenbon einer anderen Person bezahlt werden könnte. Bei einer Reichweite von höchstens vier Zentimetern ist es allerdings unwahrscheinlich, dass eine Verbindung zu einer in der Tasche und zumeist noch im Portemonnaie steckenden Karte zufällig entsteht. Sie müsste zudem mindestens eine halbe Sekunde lang bestehen bleiben. Des Weiteren häufen sich Gerüchte über Kriminelle, die sich mit mobilen Zahlungsterminals auf Raubzug begeben und arglosen Menschen in der U-Bahn oder im Wartezimmer Beträge bis 25 Euro einfach per Funk aus der Tasche stehlen. Rein technisch ist das natürlich möglich. Um damit wirklich an Geld zu kommen, ist jedoch neben einem zertifizierten Terminal noch ein Vertrag mit einem Zahlungsdienstleister erforderlich. Wer einen solchen Vertrag schließen möchte, benötigt eine gültige Gewerbeanmeldung und muss seine Identität nachweisen. Einfach nur falsche Angaben zu machen, genügt dabei aber nicht. „Der Kunde muss schon einiges über sich preisgeben“, so ein Pressesprecher des Dienstleisters Wirecard, „und wir prüfen die Daten sehr genau.“Darüber
hinaus ist ein Konto für die Auszahlung der Beträge erforderlich, das ebenfalls unter falscher Identität eröffnet werden müsste, um es für kriminelle Zwecke zu nutzen.
Magere Gewinnaussichten
Hast jemand nun diese Hürden tatsächlich überwunden, sind die Erfolgschancen noch von weiteren Faktoren abhängig. Befinden sich beispielsweise mehrere Karten im Portemonnaie, kommt es zum Card Clash. Das Terminal erkennt dann mehr als einen Chip und verweigert die Funktion, um Fehlbuchungen zu vermeiden. Des Weiteren muss die Position der Karte zum Gerät stimmen und die Übertragung sollte nicht durch metallische Gegenstände, etwa Münzgeld, gestört oder durch Folien abgeschirmt sein. Zu alldem kommt noch die geringe Reichweite der Geräte. Diese könnte unter Umständen zwar gesteigert werden, doch die Erfolgsquote würde das nicht wesentlich beeinflussen. Vor allem geht es dabei um relativ kleine Beträge. Auch Dr. Reto Schölly, Technikfolgenabschätzer an der Universität Freiburg, sieht hier kein großes Geschäft. „Selbst wenn jemand einen solchen Aufwand betreibt, ist der Lohn dafür gering“, so der Wissenschaftler. „Wer so gut ist, sollte lieber als IT-Spezialist arbeiten, damit lässt sich wesentlich mehr verdienen.“Und sogar Taschendiebstahl sei am Ende vermutlich weit lohnender. Die größte Gefahr sieht Dr. Schölly letztlich darin, dass hilfreiche neue Technik wegen zu hoch eingeschätzter Risiken nicht genutzt wird. Das größte Hindernis für Kriminelle ist also das Aufwand-Nutzen-Verhältnis, denn Verbrechen soll ja am Ende lohnen. Tatsächlich gibt es bislang auch noch keinen bestätigten Fall dieser Art.
Wie kann man sich schützen?
Dennoch gibt es natürlich eine gewisse Restunsicherheit, der sich aber leicht begegnen lässt. Eine Möglichkeit sind spezielle Kartenhüllen, die das NFC-Signal blockieren. Diese werden oft von den Banken herausgegeben und sind auch im Handel erhältlich. Außerdem sind mittlerweile zahlreiche Geldbörsen mit einer Abschirmung versehen. Andreas Riepen, Vice President DACH des IT-Sicherheitsunternehmens F5 Networks, schlägt vor, einfach Alufolie ins Portemonnaie zu stecken. Wir haben es getestet, und ein ausreichend breiter Streifen im Scheinefach hat sich tatsächlich als wirkungsvoll erwiesen. Um im Betrugsfall schnell handeln zu können, lässt sich bei den Kartenherausgebern in der Regel ein Benachrichtigungsservice per SMS oder App einrichten, der über jede Buchung informiert. Mehrere Karten mit NFC-Chip im Portemonnaie zu haben, bietet leider weniger Schutz als oft angenommen. Eine unserer Kreditkarten ließ sich selbst in Gesellschaft zweier weiterer NFC-Zahlungskarten sowie des elektronischen Personalausweises noch per Smartphone auslesen. Es ist auch möglich, die NFC-Zahlungsmöglichkeit der Karten durch das ausgebende Institut deaktivieren zu lassen. Allerdings betrifft das nicht die Technik in der Karte und bietet keinen Schutz gegen das kontaktlose Auslesen.