Weiterlesen mit NEWS. Jetzt testen.
Lesezeit ca. 6 Min.

REPORT: Gelddiebstahl per NFC: KONTAKTLOS KLAUEN?


PC Go - epaper ⋅ Ausgabe 4/2019 vom 01.03.2019

Immer mehr Zahlungskarten werden mit sogenannten NFC-Chips für kontaktloses Bezahlen ausgerüstet. Zugleich wächst die Sorge der Bankkunden vor einem Missbrauch der eigentlich komfortablen Technik. Wir haben nachgeforscht, welche Risiken tatsächlich bestehen.


Artikelbild für den Artikel "REPORT: Gelddiebstahl per NFC: KONTAKTLOS KLAUEN?" aus der Ausgabe 4/2019 von PC Go. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: PC Go, Ausgabe 4/2019

Karte kurz ans Terminal halten, Biep, bezahlt – immer mehr Kredit-und Girokarten besitzen einen NFC-Chip für die kontaktlose Zahlung an der Kasse. Bis zu einem bestimmten Betrag, meist sind es 25 Euro, ist dazu nicht einmal eine PIN-Eingabe erforderlich. Nun gibt es aber immer wieder Berichte in den Medien, wie leicht von diesen Karten per Funk ...

Weiterlesen
epaper-Einzelheft 2,99€
NEWS Jetzt gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von PC Go. Alle Rechte vorbehalten.
Lesen Sie jetzt diesen Artikel und viele weitere spannende Reportagen, Interviews, Hintergrundberichte, Kommentare und mehr aus über 1000 Magazinen und Zeitungen. Mit der Zeitschriften-Flatrate NEWS von United Kiosk können Sie nicht nur in den aktuellen Ausgaben, sondern auch in Sonderheften und im umfassenden Archiv der Titel stöbern und nach Ihren Themen und Interessensgebieten suchen. Neben der großen Auswahl und dem einfachen Zugriff auf das aktuelle Wissen der Welt profitieren Sie unter anderem von diesen fünf Vorteilen:

  • Schwerpunkt auf deutschsprachige Magazine
  • Papier sparen & Umwelt schonen
  • Nur bei uns: Leselisten (wie Playlists)
  • Zertifizierte Sicherheit
  • Freundlicher Service
Erfahren Sie hier mehr über United Kiosk NEWS.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 4/2019 von NOTEBOOK: PREISWERT MOBIL FÜR DIE REISE. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
NOTEBOOK: PREISWERT MOBIL FÜR DIE REISE
Titelbild der Ausgabe 4/2019 von SICHERHEIT: NEWS. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
SICHERHEIT: NEWS
Titelbild der Ausgabe 4/2019 von IT Leser wahl 2019. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
IT Leser wahl 2019
Titelbild der Ausgabe 4/2019 von Windows endlich stressfrei: ANTI NERV DVD: WINDOWS STRESSFREI. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Windows endlich stressfrei: ANTI NERV DVD: WINDOWS STRESSFREI
Titelbild der Ausgabe 4/2019 von WINDOWS TIPPS UND TRICKS. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
WINDOWS TIPPS UND TRICKS
Titelbild der Ausgabe 4/2019 von E-Mail-Konten einrichten : E-MAIL-KONTEN RICHTIG EINRICHTEN. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
E-Mail-Konten einrichten : E-MAIL-KONTEN RICHTIG EINRICHTEN

... heimlich Daten ausgelesen und missbraucht oder gar vom Eigentümer unbemerkt ganze Zahlungen ausgelöst wer-den können. Doch wie wahrscheinlich sind solche Szenarien?

Die NFC-Technik in Zahlungskarten
NFC (Near Field Communication) ist eine Nahfunktechnik. Damit ausgestattete Karten besitzen neben dem üblichen Smartcard-Chip zur Zahlung noch einen Mikrocontroller mit Antenne für die drahtlose Übertragung. Dieser Mikrocontroller ist im Prinzip ein winziger Computer, der durch die elektromagnetischen Wellen des Lesegerätes mit Energie versorgt wird. Gefunkt wird mit 424 Kilobit pro Sekunde auf einer Frequenz von 13,56 Megahertz. NFC ist ausgelegt auf eine Reichweite von bis zu zehn Zentimetern.
Das bedeutet aber nicht, dass es unmöglich ist, größere Distanzen zu überbrücken. So hat der Bayerische Rundfunk Ende 2016 in einem Beitrag gezeigt, wie Zahlungskarten mittels Smartphone und Zusatzantenne aus einem Abstand von 17 Zentimetern ausgelesen werden konnten. Forschern an der britischen University of Surrey ist dies sogar über eine Strecke von rund 80 Zentimetern gelungen, allerdings unter Laborbedingungen.

Prof. Dr. Gerd Beuster, Leiter des Master-Studiengangs IT-Sicherheit an der Fachhochschule Wedel, hält die Risiken für überschaubar: „Eine Kette ist bekanntlich immer so stark wie ihr schwächstes Glied, und meine Einschätzung ist, dass dieses Glied mit der kontaktlosen Zahlung nicht so besonders schwach ist.“ Unmöglich sei es etwa, den Datenverkehr bei einer Transaktion aufzuzeichnen und für einen weiteren Vorgang zu verwenden. Die Kommunikation bei der Bezahlung erfolge verschlüsselt, und die übertragenen Daten seien nur einmalig gültig. Auch die Chips in den Smartcards ließen sich nicht auslesen, die Technik sei sehr sicher.

Die AppContactless Credit Card Reader deckt auf, was NFC-Karten über sich preisgeben.


Auch Amazon verzichtet auf die Angabe der auf die Karte aufgedruckten Sicherheitsnummer.


Freimütige Datensender

Was die funkfreudigen Plastikkarten im Klartext preisgeben, ist bei Kreditkarten die Kartennummer und bei Debitkarten die Kontonummer. Dazu gibt es das jeweilige Ablaufdatum und manchmal eine Kaufhistorie. Der Name des Karteninhabers ist so aber nicht zu ermitteln, ebenso wenig die auf die Karte aufgedruckte Sicherheitsnummer (CVC ). Wie auskunftsbereit Ihre eigenen Karten sind, können Sie leicht selbst herausfinden. Sie brauchen dafür ein Android-Smartphone mit NFC und die AppContactless Credit Card Reader . Darin einfach auf Scan tippen, Karte an die Rückseite des Handys halten, und die ausgelesenen Infos werden angezeigt.

Einkaufstour mit gestohlenen Daten

Mit den ausgelesenen Daten besitzen Diebe eigentlich zu wenig Informationen; dennoch soll es Händler geben, bei denen ein Kauf möglich ist, wenn Kartennummer und Ablaufdatum stimmen, aber ein falscher Name eingetragen ist. Die CVC wird dabei oft gar nicht abgefragt, selbst bei Amazon nicht. Vielleicht möchten die Firmen vermeiden, dass Kunden wegen des großen Aufwandes kurz vor dem Kaufabschluss abspringen. Laut Mastercard sind für eine Zahlung im Internet aber eigentlich all diese Daten notwendig. „Verzichtet ein Händler auf die Abfrage aller Sicherheitsfaktoren, haftet er im Schadensfall.“ Laut Rechtsanwalt Christian Solmecke von der Kölner KanzleiWilde Beuer Solmecke haften Karteninhaber nach EU-Recht seit 13.1.2018 bis zur Kartensperrung für höchstens 50 Euro. Die Mithaftung des betroffenen Bankkunden sei aber ausgeschlossen, wenn das Opfer nicht in der Lage war, die missbräuchliche Verwendung vor einer Zahlung zu bemerken, was bei NFC-Betrugsfällen regelmäßig der Fall sein dürfte. Darüber hinaus sollte umgehend Anzeige bei der Polizei erstattet werden. Das sei nicht nur wichtig wegen der Verfolgung der Täter, sondern diene auch als Nachweis gegenüber der Bank, wenn es um die Erstattung des Geldes geht.

Unbemerkt bezahlt?

Eine verbreitete Sorge unter NFC-Kartenbesitzern ist, dass beim Vorbeigehen an einem Kassenterminal versehentlich der Kassenbon einer anderen Person bezahlt werden könnte. Bei einer Reichweite von höchstens vier Zentimetern ist es allerdings unwahrscheinlich, dass eine Verbindung zu einer in der Tasche und zumeist noch im Portemonnaie steckenden Karte zufällig entsteht. Sie müsste zudem mindestens eine halbe Sekunde lang bestehen bleiben.
Des Weiteren häufen sich Gerüchte über Kriminelle, die sich mit mobilen Zahlungsterminals auf Raubzug begeben und arglosen Menschen Beträge bis 25 Euro einfach per Funk aus der Tasche stehlen. Rein technisch ist das möglich.

Um damit wirklich an Geld zu kommen, ist jedoch neben einem zertifizierten Terminal noch ein Vertrag mit einem Zahlungsdienstleister erforderlich. Wer einen solchen Vertrag schließen möchte, braucht eine gültige Gewerbeanmeldung und muss seine Identität nachweisen. „Der Kunde muss schon einiges über sich preisgeben“, so ein Pressesprecher des Dienstleisters Wirecard, „und wir prüfen die Daten sehr genau.“ Darüber hinaus ist ein Konto für die Auszahlung der Beträge erforderlich, das ebenfalls unter falscher Identität eröffnet werden müsste.

Ein Streifen Alufolie im Scheinefach des Portemonnaies schirmt NFC-Karten zuverlässig ab.


Magere Gewinnaussichten

Hast jemand nun diese Hürden tatsächlich überwunden, sind die Erfolgschancen noch von weiteren Faktoren abhängig. Befinden sich beispielsweise mehrere Karten im Portemonnaie, kommt es zumCard Clash . Das Terminal erkennt dann mehr als einen Chip und verweigert die Funktion, um Fehlbuchungen zu vermeiden. Des Weiteren muss die Position der Karte zum Gerät stimmen, und die Übertragung sollte nicht durch metallische Gegenstände, etwa Münzgeld, gestört oder durch Folien abgeschirmt sein. Zu alldem kommt noch die geringe Reichweite der Geräte. Diese könnte unter Umständen zwar gesteigert werden, doch die Erfolgsquote würde das nicht wesentlich beeinflussen. Vor allem geht es dabei um relativ kleine Beträge. Auch Dr. Reto Schölly, Technikfolgenabschätzer an der Universität Freiburg, sieht hier kein großes Geschäft. „Selbst wenn jemand einen solchen Aufwand betreibt, ist der Lohn dafür gering. Wer so gut ist, sollte lieber als IT-Spezialist arbeiten; damit lässt sich wesentlich mehr verdienen.“ Die größte Gefahr sieht Dr. Schölly letztlich darin, dass hilfreiche neue Technik wegen zu hoch eingeschätzter Risiken nicht genutzt wird. Tatsächlich gibt es bislang auch noch keinen bestätigten Fall dieser Art von Gelddiebstahl.

Wie kann man sich schützen?

Eine Möglichkeit sind spezielle Kartenhüllen, die das NFC-Signal blockieren. Außerdem sind mittlerweile zahlreiche Geldbörsen mit einer Abschirmung versehen. Andreas Riepen, Vice President DACH des IT-SicherheitsunternehmensF5 Networks , schlägt vor, Alufolie ins Portemonnaie zu stecken. Wir haben es getestet: Ein ausreichend breiter Streifen im Scheinefach hat sich tatsächlich als wirkungsvoll erwiesen. Um im Betrugsfall schnell handeln zu können, lässt sich bei den Kartenherausgebern oft ein Benachrichtigungsservice per SMS oder App einrichten, der über jede Buchung informiert.
Mehrere Karten mit NFC-Chip im Portemonnaie zu haben, bietet leider weniger Schutz als angenommen. Eine unserer Kreditkarten ließ sich selbst in Gesellschaft zweier weiterer NFC-Zahlungskarten sowie des elektronischen Personalausweises noch per Smartphone auslesen. Es ist auch möglich, die NFC-Zahlungsmöglichkeit der Karten durch das ausgebende Institut deaktivieren zu lassen. Allerdings betrifft das nicht die Technik in der Karte und bietet keinen Schutz gegen das kontaktlose Auslesen.

So schützen Sie sich

Behalten Sie jederzeit die Kontrolle über die Nutzung Ihrer Karten.

X Sichern Sie Ihre Karten vor heimlichem Auslesen, indem Sie eine spezielle Hülle verwenden oder einfach Ihr Portemonnaie mit eingelegter Alufolie vor den Funkwellen abschirmen.

X Viele im Handel erhältliche Portemonnaies besitzen mittlerweile eine abschirmende Einlage, die zuverlässig vor kontaktlosem Kartenzugriff schützt.

X Richten Sie, falls möglich, beim Herausgeber Ihrer Karte einen Benachrichtigungsservice ein, der Sie über jede Transaktion per SMS oder App informiert. Im Betrugsfall können Sie dann sofort reagieren.

INFO Das drahtlose Zahlungssystem

1 Karte oder Smartphone wird an das Zahlungsterminal gehalten.
2 Signalton bestätigt den Startdes Zahlungsvorgangs.
3 Übersteigt der Betrag eine festgelegte Grenze, wird die PIN abgefragt.
4 Sind alle Anforderungen erfüllt, wird die Transaktion abgeschlossen. Nach fünf aufeinanderfolgenden Transaktionen ohne Eingabe der PIN wird diese zwingend abgefragt.

INFO Wie sicher ist das Bezahlen mit dem Smartphone?

Mobile Payment ist mindestens genauso sicher wie das Zahlen mit der Plastikkarte. Der Schutz vor Datenmissbrauch oder ungewollten Transaktionen ist sogar höher.
Das Smartphone steht der physischen Karte beim Bezahlen in puncto Sicherheit nicht nach. Geht es um den Schutz der bei der Transaktion übertragenen Daten, hat es der Handyzahler sogar besser: Denn anders als die Plastikkarte gibt das Mobilgerät weder die echte Kreditkartennummer noch das korrekte Ablaufdatum preis. Stattdessen wird für die Zahlung ein Token verwendet. Das ist ein Platzhalter, der lediglich wie eine richtige Kartennummer aussieht. Erst im Zahlungsnetzwerk wird es entschlüsselt und daraus die korrekte Zahlenfolge generiert. Im Test ließ sich sowohl ein iPhone mit Apple Pay als auch ein Android-Smartphone mit Google Pay zwar wie eine Kreditkarte per NFC auslesen, doch die Informationen hatten nichts mit den echten Kartendaten zu tun.
Anders als bei den Plastikkarten, ist das heimliche Auslesen an der Tasche oder gar das unbemerkte Auslösen einer Zahlung bei den Mobilgeräten ohnehin nicht so einfach möglich. Das iPhone lässt Transaktionen je nach Einrichtung nur mit Touch ID, Face ID oder Entsperrcode zu. Mit Google Pay ist für Beträge bis 25 Euro nur das Display zu aktivieren, für höhere Summen muss es entsperrt werden. Beide Zahlungssysteme kommen ohne PIN-Eingabe am Terminal aus. Bei alternativen Zahlungs-Apps unter Android kann diese aber erforderlich sein. Zum Schutz vor Missbrauch sollte auf jeden Fall eine sichere Displaysperre eingerichtet werden. Geht das Gerät verloren oder wird gestohlen, ist es wichtig, sofort den Kartenaussteller zu informieren. Er kann die mobile Zahlungsmöglichkeit getrennt von der Karte sperren, wodurch diese weiterhin nutzbar bleibt.

Das iPhone erwartet bei der Zahlung mit Apple Pay immer die Authentifzierung.


Das iPhone lässt sich wie eine NFC-Kreditkarte auslesen, die Daten sind aber nutzlos.