Bankomatkarte Sicherheitsproblem Scanner-Apps für Handy machen auch den Datendiebstahl berührungsfrei

© KURIER/Gilbert Weisbier

Risiko
12/09/2016

Warnung vor Cyber-Taschendieben

KURIER-Test zeigt: Kreditkarten-Daten lassen sich mit einer Handy-App berührungsfrei auslesen.

von Gilbert Weisbier

Regelmäßig vor Weihnachten warnen die Sicherheitsbehörden, weil Gedränge in Einkaufszentren oder auf Weihnachtsmärkten Dieben das Leben erleichtert. Doch die müssen inzwischen nicht einmal mehr Geldbörsen entwenden, um sich zu bereichern. Möglich macht das eine Technik, die seit etwa zwei Jahren in jeder Kredit- oder Bankomatkarte steckt: Die kontaktlose Bezahlfunktion NFC (Near Field Communication). Sie erlaubt, Daten zu stehlen, die sich indirekt zu Geld machen lassen. Wenn man bis auf wenige Zentimeter an die Karte herankommt. Banken haben bereits 2014 versprochen, Sicherheitslücken zu schließen. Ein KURIER-Test zeigt aber: Das ist längst noch nicht gelungen.

Datenklau

Der KURIER machte den Test mithilfe des Datensicherheits-Experten Andreas Ortner aus Krems. Er hat eine kostenlose App auf sein Handy geladen und hält das Gerät kurz an eine Bankomatkarte. Binnen zwei Sekunden sind folgende Daten ausgelesen: Kartennummer, Ausstellungs- und Gültigkeitsdatum, die ausgebende Stelle, das Quick-Guthaben und die jüngsten Transaktionen. Den Namen des Karteninhabers erfährt man auf anderen Wegen.

Die Firma Payment Services Austria, Spezialist für Bankomatkarten und Automaten, erklärt dazu: "Daten wie Kartennummer und Ablaufdatum (die man auch physisch auf allen Bankomatkarten lesen kann) sind nicht relevant für den eigentlichen Zahlungsprozess."

Mag sein. Allerdings gelang es Ortner mit den erhaltenen Daten problemlos, einen Internet-Einkauf zu tätigen.

"Solche Delikte wurden bisher nicht angezeigt", erklärt Rudolf Unterköfler, Leiter der Abteilung Wirtschaftskriminalität im Bundeskriminalamt. Er gibt allerdings zu, dass Betroffene das auch kaum merken würden.

"Der Chip hat keinen Speicher, der Zugriffe dokumentiert", bestätigt Computerfachmann Ortner. Also ist es schwer, den Zusammenhang nachzuweisen oder Bankhaftung einzufordern.

Wie vorbeugen? Eine Möglichkeit sind Hüllen, die Karten abschirmen. Neuerdings gibt es sogenannte Schutzkarten, die Kreditkarten in der Geldbörse abschirmen. "Wir sind mit mehreren österreichischen Banken in Verhandlung, die sehr daran interessiert sind", sagt Alexander Hauser, Österreich-Chef der US-Sicherheitsfirma Lionheart, die solche Karten um 25 Euro pro Stück verkauft.

Opfer

Eine seiner ersten Kundinnen ist Johanna Mangl aus Krems: "Bei mir dürfte jemand die Kartendaten abgesaugt haben. Seither werde ich mit Phishing-Mails überschwemmt, die mit meinen Daten arbeiten und daher extrem echt wirken", erklärt sie. Und nimmt in Kauf, eine von den Banken geöffnete Sicherheitslücke auf eigene Kosten zu schließen.

Wirtschaftskammer-Bankensprecher Franz Rudorfer meint, das Risiko sei laut Aussage seiner Techniker minimal. Auch der KURIER-Test beunruhigt ihn nicht: "Die NFC-Funktion bedeutet grundsätzlich eine deutliche Vereinfachung beim Bezahlen. Ein gewisses Risiko gibt es immer. Aber wenn es dem subjektiven Sicherheitsbedürfnis von Kunden guttut, kann man auch Schutzkarten ausgeben."

"Der Datenschutz ist nicht umfassend bedroht, aber man sollte schon überlegen, wie man Informationen, die einem wichtig sind, schützt", meint Ortner. Schließlich stecken NFC-Chips mittlerweile auch in vielen Hotel-Schlüsselkarten und Ausweisen.

Auch Walter Seböck, Zentrumsleiter für Infrastrukturelle Sicherheit an der Donauuni Krems, meint: "Kontaktloses Bezahlen beschleunigt den Zahlungsvorgang und trägt zu höherem Komfort bei. Allerdings wäre es seitens der Banken freundlich gewesen, den Kundinnen und Kunden die Wahlfreiheit zu geben, ob sie dieses Service annehmen wollen."

Bequemlichkeit kontra Risiko

„Die NFC-Technologie, die kontaktlose elektronische Zahlungen an Bankomatkassen bis zu einem Wert von 25 Euro ohne PIN-Eingabe ermöglicht, wird aktuell kontroversiell diskutiert. Bedenken hinsichtlich Sicherheit und Datenschutz stehen dem Vorteil einer raschen Zahlungsabwicklung gegenüber“, liest man auf der Homepage www.onlinesicherheit.gv.at, die von Finanzministerium, Bundeskanzleramt und Zentrum für sichere Informationstechnologie betrieben wird.

In Österreich werden NFC-basierte Zahlungen unter den Markennamen paypass (Maestro/Bankomatkarte bzw. Mastercard-Kreditkarten) und payWave (Visa-Kreditkarten) bzw. auch als kontaktlose Quick-Wertkarte (PayLife) angeboten.

Ein grundlegender Unterschied zwischen Funkübertragung und traditioneller Kartenzahlung ist, dass die Funkübertragung leichter abgehört werden kann. Im Fall von NFC wird die Karte aktiv, sobald irgendein Sender sie mit Energie versorgt.

Damit sind für kontaktlose Lesegeräte alle nicht verschlüsselten Daten zugänglich – also jene, die das Terminal zur Entscheidung über die Durchführung einer Transaktion benötigt, das heißt Kartentyp und Kartennummer und bei Wertkarten auch das aktuelle Guthaben. Inwieweit dies als unkritisch einzustufen ist, bleibt weiter Gegenstand der öffentlichen Diskussion.

Inzwischen kann man bei den Banken die Karten meist gegen solche ohne NFC-Funktion austauschen.

eine Newsletter Anmeldung Platzhalter.

Wir würden hier gerne eine Newsletter Anmeldung zeigen. Leider haben Sie uns hierfür keine Zustimmung gegeben. Wenn Sie diesen anzeigen wollen, stimmen sie bitte Piano Software Inc. zu.

Jederzeit und überall top-informiert

Uneingeschränkten Zugang zu allen digitalen Inhalten von KURIER sichern: Plus Inhalte, ePaper, Online-Magazine und mehr. Jetzt KURIER Digital-Abo testen.