Bezahlen per Funk ist bei Kreditkarten zwar sehr praktisch, allerdings weist die Technologie derzeit noch Sicherheitmängel auf: Wichtigte Daten der Karten können von Handys ausgelesen werden.
Mit Hilfe einer Software können Handys eine Sicherheitslücke beim Bezahlen per Funk ausnutzen und wichtigte Daten von Kreditkarten ausspionieren.
Die neue Funktechnik NFC (Near Field Communication), die inzwischen nicht nur bei Handys, sondern auch bei Kreditkarten eingesetzt wird, weist offenbar Sicherheitslücken auf. Das haben Recherchen von Journalisten ergeben, Verbraucherschützer schlagen Alarm. Beim Bezahlvorgang per Funk mit einer Kreditkarte können demnach mit einem Handy die Daten ausgelesen werden.
Einsatz von NFC bei der Kreditkarte
NFC, das praktisch eine Weiterentwicklung von RFID darstellt, wurde gezielt für die drahtlose Übertragung von Daten im absoluten Nahbereich von wenigen Zentimetern entwickelt. Die Vorzüge sind zunächst bestechend: Ein mit NFC ausgerüstetes Handy (seit 2012 auf dem Markt) muss nur noch vor einen Fahrkarten- oder Bankautomaten gehalten werden, um die entsprechenden Vorgänge auszulösen. Entsprechende Feldversuche gibt es seit 2010 weltweit, in Deutschland probieren einige Sparkassen derzeit an Bankautomaten die Technologie aus.
Zwangsläufig kam man auch auf die Idee, Kreditkarten mit NFC-Chips auszurüsten – neue Kartenlesegeräte funktionieren damit berührungslos. Diese Technik hat offensichtlich Tücken, denn die Daten können mit ebenfalls NFC-fähigen Handys ausgespäht werden. ARD-Reporter wiesen das bei Master- und Visa-Kreditkarten nach: Es konnten die Kreditkartennummer und das Verfallsdatum abgegriffen werden. Hierzu näherte sich ein von den Journalisten beauftragter Sicherheitsexperte bis auf vier Zentimeter der Kreditkarte. Mit den ausgelesenen Daten konnten im Internet Waren bestellt werden.
Verschlüsselung gefordert
Die Daten dürfen nach Meinung von Verbraucherschützern nicht per Funk auslesbar sein. Damit könne eine Kreditkarte nicht mehr als sicher gelten. Alles, was über Funk übertragen wird, müsse also verschlüsselt werden.
Die Anbieter der Kreditkarten weisen darauf hin, dass der dreistellige Sicherheitscode einer Kreditkarte nicht über Funk ausgelesen werden kann. Bei Online-Händlern wird dieser Code jedoch längst nicht in jedem Fall abgefragt.
Die Übertragung per Funk stellt die Grundlage für das NFC-Verfahren und gleichzeitig dessen Achillesferse dar, wobei die ausspähenden Handys immer noch mit einer speziellen Software ausgerüstet werden müssen – die es wohl schon im Internet geben wird.
Die Anbieter der Kreditkarten verweisen indes auf einen weiteren juristischen Fakt: Wenn Online-Händler auf Prüfziffern einer Kreditkarte verzichten, tragen sie selbst das Betrugsrisiko. Der Kunde bleibe damit auf der sicheren Seite.