Wie gefährlich sind kontaktlose Kreditkarten oder kontaktlose Bezahlkarten?

Ratgeber - Bankrecht Mehr zum Thema: Bankrecht, Skimming, kontaktlose, Kreditkarten, NFC-Technologie, Bezahlkarten

Kontaktlose Karten bieten für Täter mehr Angriffsmöglichkeiten als herkömmliche Kredit- oder Bezahlkarten

Kreditkartenunternehmen werben mit den so genannten Kontaktlos-Kreditkarten und mit dem Slogan „Bezahlen im Vorbeigehen“. Dabei soll das Bezahlen für Kunde und Händler erhebliche Vorteile bringen, da es nur wenige Sekunden dauert. Inzwischen gibt es diese kontaktlosen Bezahlkarten auch für Debitkarten (etwa der EC-Karte). Dabei warnen Medienberichte vor den mit den Karten verbundenen Sicherheitsmängeln.

Was sind kontaktlose Kredit- oder Bezahlkarten?

Mit den so genannten kontaktlosen Karten wird den Karteninhabern sekundenschnelles Bezahlen versprochen. Dabei muss der Nutzer beim Bezahlvorgang weder einen Beleg unterschreiben und bis zu einer gewissen Summe meist auch keine Persönliche Identifikationsnummer (PIN) eingegeben. Das Bezahlen erfolgt ganz einfach durch das Halten der Karte vor einem Bezahl-Lesegerät. In Deutschland werden aber neue Kreditkarten oder EC-Karten ggf. bereits automatisch mit dem für das kontaktlose Bezahlen notwendigen NFC-Chip ausgegeben. Besitzer erkennen die NFC-Funktion an den entsprechenden Logos auf ihrer Bank- oder Kreditkarte. Die kontaktlosen Kreditkarten werden in Deutschland von den Kreditkartenunternehmen Mastercard unter dem Begriff „Paypass“ und von Visa unter dem Begriff „Paywave“ angeboten. Die „Prepaid-Lösung“ der Sparkassen und der Volks- und Raiffeisenbanken mit der kontaktlosen Bezahlfunktion auf ihren Bankkarten nennt sich „girogo“. Auch Debitkarten, wie die EC-Karte, werden ggf. mit der „Maestro paypass“-Funktion ausgegeben. Diese müssen dann ähnlich wie beim „girogo“-System vorher aufgeladen werden.

Welches System steckt hinter den Karten?

Das Bezahlen mit der kontaktlosen Karte geschieht durch die so genannte NFC-Technologie. Dabei steht NFC für Near Field Communication, was übersetzt Nahfeldkommunikation bedeutet. Dazu enthält die Bezahlkarte einen goldfarbenen Chip, der die Daten gespeichert hat, die für die Zahlung notwendig sind. Mittels einer kleinen Antenne übermittelt der Chip die drahtlos gesendeten Daten per Funk an spezielle Lesegeräte, die die erforderlichen Daten kontaktlos auslesen und entschlüsseln.. Dazu muss der Bankkunde seine Bezahlkarte wenige Zentimeter vor das Lesegerät halten. Hat das Lesegerät die erforderlichen Daten verwertet, bestätigt es den Zahlungsvorgang durch ein akustisches und optisches Signal. Als Oberbegriff rund um das Thema Funktechnik fungiert im weiteren Sinn auch der Begriff RFID (Radio Frequency Identification).

Wie sicher sind die Kontaktkarten?

Laut Werbeaussagen soll das Zahlen mit den kontaktlosen Karten genauso sicher sein wie das herkömmliche Zahlen mit einer Bezahlkarte. Es wird argumentiert, dass selbst bei einem Diebstahl der Bezahlkarte in der Regel nur kleinere Beträge ohne die PIN-Funktion bezahlt werden können. Viele der kontaktlosen Karten besitzen nämlich ein Limit von 25 Euro (in der Schweiz 40 Franken). Soll ein größerer Betrag gezahlt werden, muss der Vorgang mit der Eingabe der PIN bestätigt werden. Technisch gesehen sind kontaktlose Karten, entgegen der Werbeaussagen, durchaus anfälliger für das Abgreifen von Bankzugangsdaten, als herkömmliche Zahlungsmethoden. So wurde bereits 2014 berichtet, dass es Forschern der Newcastle Universität in Großbritannien gelang, eine Sicherheitslücke in den kontaktlosen Karten auszuhebeln. Dabei ging es damals um ein Aushebeln einer Sicherheitsvorkehrung, die das Bezahlen ohne PIN auf einen Maximalbetrag beschränkte. Die Folge war, dass das Bezahlen ohne PIN durch den Angriff auf den Maximalbetrag ausgedehnt werden und eine nichtautorisierte Zahlungsanweisung lanciert werden konnte. Dazu musste der Täter nur im Vorbeigehen mit seinem Smartphone kurz die Tasche des Opfers anstoßen, in der sich üblicherweise die Geldbörse mit der Kreditkarte befindet, um die Transaktion abzuschließen. Das Smartphone der Täter diente dabei als Terminal. Umgehend hielten die Emittenten der kontaktlosen Karten entgegen, dass das Abgreifen der Daten auf der Bezahlkarte allein noch nichts nützen würde, da angeblich oft noch eine Sicherheitsabfrage erforderlich sei, etwa die Prüfziffer auf der Kartenrückseite oder eine zusätzliche Kennwortabfrage (3-D-Secure-Verfahren).

Was ist die Gefahr bei den kontaktlosen Karten?

Technisch versierte Täter benötigen nur Programmierkenntnisse und ein Smartphone mit der entsprechenden App, um an die auf der Karte gespeicherten Daten, wie den Namen des Karteninhabers, die Kreditkartennummer, das Verfallsdatum und den Name der die Zahlungskarte emittierenden Bank zu gelangen. Dann können die Täter anscheinend bei solchen Händlern im Internet einkaufen, die keine Sicherheitsabfragen nutzen, etwa die Prüfziffer von der Kartenrückseite oder die keine zusätzliche Kennwortabfrage tätigen bzw. bei denen beim Bezahlen mit kontaktlosen Karten kein gesonderter dynamischer Sicherheitscode erzeugt wird.

Welches System nutzen die Täter zum Abgreifen von Daten?

Genau wie das Kartenlesegerät besitzt auch ein Smartphone die NFC-Technologie. Bei Aktivierung einer kostenlos erhältlichen App kann das Smartphone mit einer Antenne, die sich zum Beispiel auf dem Akku befindet, die Kreditkarte anfunken und die Daten abgreifen. Dies funktioniert entweder über eine sehr geringe Distanz, indem die Betrüger unbemerkt ihr Smartphone an das Portemonnaie mit der darin enthaltenen kontaktlosen Zahlungskarte halten oder mit einer bestimmten Technik. Auch wenn der dreistellige Sicherheitscode (CVC) nicht zu den Daten gehört, die abgegriffen werden können, profitieren die Betrüger. Viele Online-Shops verzichten nämlich auf diese zusätzliche Sicherheitsvorkehrung, sodass eine Bestellung dort die Eingabe eines solchen Codes gar nicht erfordert.

Wie können sich Inhaber der Kontaktlos-Karten schützen?

Karteninhaber der kontaktlosen Karten können sich zumindest insoweit schützen, indem sie die Karte in einer RFID-Schutzhülle aufbewahren. Diese unterbindet den Funkverkehr, indem sie den in der Karte enthaltenden Chip wirksam abschirmt, solange die Karte darin aufbewahrt wird. Ebenso effektiv ist das Einwickeln der kontaktlosen Karte in Alufolie. Spätestens beim Bezahlen wird der Kartennutzer die Karte jedoch wieder hervorholen müssen. Allerdings muss ein Täter meist sehr dicht an die kontaktlose Karte herankommen, da die Datenübertagung meist nur funktioniert, wenn die Täter auf wenige Zentimeter an die kontaktlose Karte herankommen. Das wäre beim Bezahlvorgang an der Kasse im Supermarkt oder an der Tankstelle sicherlich nur dann möglich bzw. am wahrscheinlichsten, wenn es den Täter gelingt, ähnlich wie bei den Skimming-Angriffen, das Bezahlterminal an der Kasse selbst zu manipulieren. Dann hat der Bankkunde keine Chance, das Abgreifen von Daten zu verhindern, denn spätestens beim Bezahlvorgang muss er sich mittels seiner kontaktlosen Karten offenbaren.