Die neuen Kreditkarten sind auf der Vorderseite durch ein Signet mit vier Funkwellen zu erkennen. Mit ihnen kann man seit November beispielsweise an den Kassen der Migros zahlen. Bei Einkäufen bis 40 Franken genügt es, die Karte nahe ans Zahlterminal zu halten. Dabei werden die Kartendaten vom Terminal aus gelesen. Eine Autorisierung mit PIN-Code oder Unterschrift ist nicht nötig. Das kontaktlose Zahlen ist etwa auch bei McDonald’s, Ikea oder an Valora-Kiosken möglich.
Grundlage dafür ist ein NFC-Chip (Near Field Communication). Darauf sind Daten wie der Name des Besitzers oder die Kartennummer abgespeichert. Sie werden per Funk abgelesen. Laut der Kreditkartenherausgeberin Swisscard waren Ende 2013 in der Schweiz bereits 1,8 Millionen solcher Karten in Umlauf.
NFC-taugliche Visa- und Mastercard-Karten sind praktisch, für die Inhaber aber auch riskant. Die Kreditkarte im Portemonnaie ist wie Bargeld: Bis sie gesperrt wird, kann ein Dieb eine gestohlene Karte wiederholt für Einkäufe benutzen. Die Kartenunternehmen beteuern zwar, dass ab gewissen Grenzwerten auch bei Beträgen unter 40 Franken die Eingabe eines PIN-Codes verlangt werde. Details verraten sie aber nicht. Bis der Sicherheitsmechanismus greift, kann ein Dieb schon für viel Geld eingekauft haben.
Noch problematischer ist: Unter Verwendung eines Lesegerätes mit NFC-Technik kann ein Datendieb die Informationen von fremden Kreditkarten heimlich ablesen und missbrauchen. Am einfachsten geht das mit einem Mobiltelefon mit NFC-Leser sowie einem entsprechenden Programm.
Kartennummer, Typ, Name und Verfalldatum einfach zu erfahren
saldo machte den Test: Auf einem Smartphone wurden drei Programme installiert. Dann wurde das Handy über sechs Kreditkarten gehalten – darunter zwei von Visa und zwei von Mastercard. Bei allen Karten zeigte das Smartphone Kartentyp und -nummer sowie das Verfalldatum an. Bei den Visa-Karten auch den Namen des Inhabers.
Beim Test stellte saldo fest, dass die Reichweite des NFC-Chips im Smartphone etwa 4 Zentimeter beträgt. Diese verschlechtert sich, wenn die Karte durch Kleider oder Portemonnaie abgeschirmt ist. Ein Datendieb muss mit seinem Handy also nahe an die Zielperson herantreten und wissen, wo die Kreditkarte versorgt ist. Das ist bei engen Verhältnissen etwa in öffentlichen Verkehrsmitteln leicht möglich.
Mit einer leistungsfähigeren Ausrüstung lassen sich Kreditkartendaten aber auch auf grössere Distanz ablesen. Walt Augustinowicz leitet in Florida das auf Sicherheitsdienstleistungen spezialisierte Unternehmen Identity Stronghold. Er hat NFC-Daten bis zu einer Distanz von 20 Zentimetern gelesen. Steckt die Kreditkarte in einem Portemonnaie und dieses in einer Tasche, verringert sich die Reichweite.
Augustinowicz versichert gegenüber saldo, dass dann das Lesen der Daten immer noch in einem Abstand von 3 bis 5 Zentimetern möglich ist, ohne dass die ausgespähte Person berührt werden muss. Für den Amerikaner steht fest: «Elektronischer Taschendiebstahl ist eine reale Bedrohung.»
Für seine Versuche verwendet Augustinowicz ein batteriebetriebenes Kontaktlos-Lesegerät mit Antenne, ein Bluetooth-Übertragungsgerät sowie ein Smartphone, um die fremden Daten zu empfangen. Als Software setzt er ein selbstgeschriebenes Programm für Lesegeräte ein. Eine solche Ausrüstung kann sich jeder kaufen. Entsprechende Lesesoftware gibt es im Internet.
Die IT-Sicherheitsfirma Scip in Zürich hat unter Laborbedingungen mit einer Spezialapparatur ebenfalls Kreditkartendaten gelesen. Sie ist dabei auf geringere Reichweiten gekommen als Augustinowicz. Scip-Experte Stefan Friedli hält aber die gemessenen Reichweiten und Aussagen für plausibel.
Die Informationen, die ein Datendieb ablesen kann, reichen aus, um Bestellungen über das Internet auszuführen. Einige Internetshops wie Amazon verlangen weder die dreistellige Kartenprüfnummer noch ein Passwort. saldo konnte so mit einer Visa-Karte und einer Mastercard bei Amazon auf fremde Rechnung Waren bestellen. In einem Fall genügte es, Nummer und Verfalldatum der Karte sowie einen erfundenen Namen an einer Geschäftsadresse anzugeben.
Auch Internetshops, die eine dreistellige Kartenprüfnummer verlangen, stellen für Datendiebe kein grosses Hindernis dar. Mit Geduld können sie die Nummern knacken.
Kartenherausgeber versprechen eine gewisse Kulanz
Die Herausgeber bestreiten nicht, dass bei Karten mit NFC-Technik ein Missbrauch möglich ist. Doch sie versprechen gegenüber saldo, sich kulant zu verhalten, sollte es nach dem Diebstahl einer Kreditkarte mit NFC-Chip oder dem heimlichen Ablesen von Daten zu Missbräuchen kommen. Die Cembra Money Bank – Herausgeberin der Cumulus-Mastercard der Migros – schreibt, sie trage das Risiko bei betrügerischen Transaktionen, sofern der Kunde die Sorgfaltspflichten einhalte. Dazu zählt die Bank die Meldung betrügerischer Transaktionen bis 30 Tage nach Rechnungsdatum sowie die unverzügliche Sperrung der Karte bei Diebstahl.
Wer eine Kreditkarte ohne NFC-Chip will, kann einzig bei der UBS eine Karte ohne diese Technologie bestellen. Gegen das Ausspähen der Kreditkarteninformationen kann man sich aber mit speziellen Portemonnaies und Hüllen schützen. Deren Beschichtung verunmöglicht ein Lesen der Daten. Ebenfalls wirkungsvoll: eine Alufolie, die man um die Karte wickelt.
Keine zusätzliche Sicherheit: Dreistellige Kartenprüfnummer geknackt
Wer im Internet per Kreditkarte bezahlt, muss meist die dreistellige Kartenprüfnummer angeben. Die Zahl befindet sich auf der Rückseite der Karte und ist nicht auf dem NFC-Chip gespeichert. Bei einem dreistelligen Code ergeben sich tausend Code-Varianten. Trotzdem soll das System gemäss Mastercard und Visa sicher sein. Denn die Herausgeberin sperre eine Kreditkarte nach zwei bis drei fehlerhaften Code-Eingaben.
Kreditkartenbesitzer sollten sich trotzdem nicht in falscher Sicherheit wiegen. Mit genügend Zeit lässt sich der Code knacken. Das hat das deutsche IT-Sicherheitsunternehmen SySS GmbH in Tübingen im Auftrag von saldo bewiesen. saldo hat SySS Kreditkartennummer und Verfalldatum einer Cumulus-Mastercard der Cembra Money Bank und einer SBB-Visa-Karte der Herausgeberin Bonus Card mitgeteilt. Mit den Angaben fütterte SySS-Mitarbeiter Micha Borrmann ein Programm. Dieses versuchte damit bei einem Internetshop eine Transaktion durchzuführen. Wurde bei Eingabe eines falschen Codes die Zahlung verweigert, liess das Programm eine Viertelstunde verstreichen und unternahm dann erneut einen Versuch – bis alle Möglichkeiten durchprobiert waren.
Resultat: Die Prüfziffer der Mastercard konnte Borrmann nach einer Woche knacken, ohne dass die Karte gesperrt wurde. Zur Probe führte er eine Zahlung über 5 Euro durch. Bei der Visa-Karte wurde die Herausgeberin Bonus Card nach einigen Stunden aufmerksam und veranlasste die Sperrung der Karte. Laut Borrmann erschien bei der Visa-Karte jeweils die Fehlermeldung «Manipulationsverdacht», bei der richtigen Prüfziffer hiess es «Zahlung wurde abgelehnt». «Das spricht für die Bank», urteilt er.
