Die erspähten Daten reichen aus, um im Internet auf Kosten der Bestohlenen einzukaufen.
Kunden müssen ihre Kreditkarte mit Chip an der Ladenkasse nicht mehr in ein Lesegerät stecken und den Pin eingeben. Es genügt, wenn sie die Karte kurz neben das Lesegerät halten. Ein Funkchip in der Karte sendet die Daten – und schon ist der Betrag abgebucht. Diese Zahlmethode ist möglich für Einkäufe bis zu 40 Franken. Alle funkenden Karten sind am Wellensymbol zu erkennen.
Kontaktloses Zahlen ist praktisch – für die Besitzer der Karten aber auch riskant. Der Berliner Sicherheitsexperte und Kriminologe Udo Hagemann sagt: «Das einfache Zahlen ist ein Sicherheitsrisiko. Denn die Karten funken Daten unverschlüsselt.» Laut Hagemann können Datendiebe die Kartensignale auch durch Kleider, Taschen und Portemonnaies abfangen.
Datenklau mit Laptop und Empfänger
Um Hagemanns Behauptung zu überprüfen, legte ihm der K-Tipp 50 verschiedene Kredit-, Debit- und E-Banking-Karten vor. Mit einem Empfänger von der Grösse eines Taschenrechners versuchte der Experte, die Daten abzulesen. Der Empfänger war an einen kleinen Laptop angeschlossen, der die Daten aufzeichnete. Diese Ausrüstung kostet nur rund 100 Franken.
Das Ergebnis: Bei keiner Karte mit Funkchip ist die Datenübermittlung verschlüsselt.
Hagemann konnte innert Sekunden von allen 50 Karten Daten ablesen.
Bei Kreditkarten liessen sich jeweils die Kartennummer und das Ablaufdatum ablesen. Der Name des Kartenbesitzers war nicht ablesbar. Doch so können Diebe problemlos im Internet einkaufen – etwa bei Amazon. Der Internethändler und viele andere Webshops prüfen nicht, ob der eingegebene Name zur Kreditkartennummer passt.
Das Ablesen funktioniert bis auf eine Distanz von fünf Zentimetern. Hagemann: «Damit genügt es, wenn der Datendieb dem Kartenbesitzer so nahe kommt wie auf einer Rolltreppe.» Laut dem Experten arbeiten professionelle Banden mit noch empfindlicheren Ablesegeräten. Sie sind als Laptoptaschen getarnt und zeichnen Daten bei einem Abstand von bis zu 20 Zentimetern auf.
Bei den Kreditkarten von Migros, Coop, SBB, Cornercard, Viseca und St. Galler Kantonalbank konnte der Experte früher getätigte Einkäufe und Bargeldbezüge ablesen.
Die EC- und E-Banking-Karten übermittelten ebenfalls Daten. Sie lassen sich aber nicht für Einkäufe missbrauchen.
Die meisten Banken sagen, für Einkäufe im Internet brauche es zusätzlich die dreistellige Prüfziffer auf der Rückseite der Karte. Doch diese Ziffer lässt sich von Profis problemlos knacken, wie ein «Saldo»-Test zeigte («Saldo» 4/2014). Dabei probiert ein Programm alle Kombinationen aus, bis die richtige gefunden wird.
Eine Untersuchung der Universität Newcastle (GB) belegt dieses Sicherheitsrisiko – vor allem bei Visa-Karten. Grund: Bei ihnen fehlt eine Sperre, die nach einer gewissen Anzahl falscher Eingaben die Karte blockiert. Bei 600 Webshops konnten Experten innert Sekunden Prüfziffer und Ablaufdatum ausspähen. Bei der Mastercard funktionierte dies nicht.
Die Kreditkartenherausgeber schieben den schwarzen Peter den Händlern zu. Nadine Geissbühler von Viseca, die alle Karten von Kantonalbanken und Raiffeisen herausgibt: «Wenn ein Betrüger bei Amazon mit einer gestohlenen Karte einkauft, muss der Bestohlene nichts zahlen, sofern er seine Sorgfaltspflichten einhält. Die Haftung liegt klar bei Amazon.»
Aber: Der Kunde muss einen Diebstahl zuerst melden. Deshalb gilt: Kreditkartenabrechnung immer genau prüfen und keinesfalls automatische Lastschrift (LSV) verwenden.
Kreditkarten: So können Sie sich schützen
Die günstigste und einfachste Massnahme: Verlangen Sie von Ihrer Bank eine Karte ohne Funkchip. So vermeiden Sie auch Diskussionen bei allfälligen Belastungen bis 40 Franken, die nicht von Ihnen stammen. Bei den meisten Banken, zum Beispiel bei den Kantonalbanken, Raiffeisen und UBS, kann man per Telefon eine neue Karte ohne Funkchip beantragen. Tipp: Viseca-Kunden können dies über www.ktipp.ch/dBa855 tun. Wer eine Postcard mit Chip besitzt, kann den Chip am Postomat ausschalten.
Weitere Möglichkeit: Das Signal der Funkchips in den Karten ist sehr schwach – daher genügt etwas Metall, um die Strahlen zu blockieren und so das Ablesen der Daten zu verhindern. In den Läden gibt es speziell beschichtete Hüllen (Bild) und Portemonnaies (K-Tipp 11/2016). Eine Alternative sind spezielle Kärtchen, die sich im Portemonnaie zwischen die Karten stecken lassen.
