Datenklau bei Kreditkarten: Leichter als man denkt
Ob Visa, Mastercard oder Diners: Fast in allen neuen Kreditkarten ist ein Funk-Chip eingebaut, der kontaktloses Bezahlen ermöglicht. Man erkennt solche Karten am WLAN-Symbol. Mit grossem Tamtam wurde dafür geworben. Der Kunde muss sie nur nahe ans Karten-Terminal oder Lesegerät halten, und schon ist der Einkauf bezahlt. Der Datenaustausch erfolgt unmittelbar per Funksignal. Transaktionen für Kleinbeträge bis 40 Franken brauchen weder PIN-Code noch Unterschrift.
Funksignale aus der Tasche
Allerdings hat dieses System eine gravierende Sicherheitslücke. Kriminelle können Kartendaten heimlich ausspionieren und auf Kosten ihrer Opfer online shoppen gehen. Wie einfach das ist, hat IT-Sicherheitsexperte Tobias Schrödel in der Sendung «Stern-TV» demonstriert.
Mit einer Schnüffel-App auf seinem Smartphone konnte Schrödel reihenweise Kreditkartendaten kopieren – ohne dass die ahnungslosen Opfer etwas merkten. Dazu musste das Handy keinen direkten Kontakt mit dem Portemonnaie haben. Sobald er wenige Zentimeter an die fremde Kreditkarte herankam, zeigte sein Handy die Nummer und das Ablaufdatum der Karte an – sehr zur Überraschung der Betroffenen. Denn kaum jemand weiss, dass es aus dem Portmonnaie permanent funkt. Und: «Wo gefunkt wird, da kann man auch mitlesen», warnt der IT-Spezialist, «denn nicht nur die dafür vorgesehenen Zahl-Terminals können die Funksignale empfangen.»
Kreditkarten-Herausgeber wissen Bescheid, aber verharmlosen
Das wissen auch die Herausgeber der Karten. So weist zum Beispiel die Viseca Card Services SA in ihrer «Datenschutzerklärung» explizit darauf hin: «Es ist jedoch möglich, dass auf dem Chip gespeicherte Kartendaten und die bei MasterCard-gespeicherten Daten zu den zehn letzten vorgenommenen Transaktionen mit Hilfe eines geeigneten Gerätes und entsprechender Software, aus dem Chip ausgelesen werden können, ohne dass der Karteninhaber dies merkt.»
Konsumentenorganisationen haben wiederholt auf das Sicherheitsleck hingewiesen und vor Betrug mit fremden Kartendaten gewarnt. Doch die Herausgeber verharmlosen das Problem. Auf ihren Webseiten verweisen sie auf «hohe Sicherheitsstandards» und darauf, dass PIN, Name des Inhabers sowie der dreistellige Sicherheitscode auf der Kartenrückseite nicht per Funk übertragen werden. Letzteres verlangen die meisten Online-Shops, wenn man mit Kreditkarte bezahlen will. Aber eben längst nicht alle.
Mit geklauten Kartendaten auf Einkaufstour
So genügen etwa beim Online-Riesen Amazon die Kreditkartennummer und das Ablaufdatum der Karte, um einen Kauf abzuschliessen. In zwei Fällen demonstrierte Schrödel in «Stern-TV», wie er mit den ausgespähten Daten Waren von Amazon an seine Adresse bestellen konnte. Er benötigte weder PIN noch Prüfziffer der Kreditkarte. Auch den eingegebenen Namen des vermeintlichen Karteninhabers verifizierte man bei Amazon offenbar nicht. Noch schlimmer: Sind die geklauten Kartendaten in einem Amazon-Konto erst einmal hinterlegt, kann man über das Bezahlsystem «Amazon Payments» bei Tausenden Online-Shops einkaufen – ohne dass der Kartenbesitzer etwas bemerkt.
Der Experte rät: Karte in Alufolie einwickeln
Das böse Erwachen kommt erst am Ende des Monats mit der Kreditkartenrechnung. Wer Unregelmässigkeiten feststellt, sollte am besten sofort die Bank oder den Kartenherausgeber kontaktieren und im Zweifel die Karte sperren lassen, rät «Stern-TV». Noch besser ist es natürlich, die Kreditkarte vor Datendieben zu schützen. Es gibt spezielle Hüllen und Portmonnaies, die den Funkkontakt blockieren. Ebenso wirksam und gratis: die Kreditkarte in ein Stück Alufolie einwickeln.
Themenbezogene Interessenbindung der Autorin/des Autors
Keine.
Die UBS avisiert mich per Mail sofort nach jeder Kreditkartenverwendung über CHF 40.–. Ich habe somit keine Überraschungen. Besser wäre es wenn alle Benutzungen avisiert würde, aber mein Risiko ist so ja ziemlich limitiert.
Herr Ackermann, vielleicht sollten Sie den Artikel nochmals durchlesen.
Wir haben es bei diesen Chips mit einer grobfahrlässigen Verletzung des Bankgeheimnisses zu tun, strafbar gemäss Artikel 47, Absatz 2, des Bundesgesetzes vom 8. November 1934 über die Banken und Sparkassen, Stand 2016 (BankG). Es ist eigentlich verwunderlich, dass die Bankenaufsicht und die Staatsanwaltschaften noch nicht tätig geworden sind und die Chips verbieten und gegen die Verantwortlichen ein Strafverfahren eingeleitet haben.
Als ich für meine Karte diese Funktion sperren lassen wollte, weil sie mir ungefragt untergejubelt worden war, erhielt ich als Antwort einen Brief, der das kontaktlose Bezahlen hochjubelte, und auf meine Rückfrage, wie es denn nun mit dem Sperren sei, ein noch ausführlicheres Loblied auf die neue Funktion.
Nicht zu vergessen, dass die Möglichkeit des
heimlichen Auslesens auf Distanz auch für den
häufig neben der Kreditkarte aufbewahrten Pass
oder die Identitätskarte gilt.
Von diesen amtlichen Dokumenten lässt sich dann
der in der Kreditkarte fehlende Name des Inhabers
auch gleich auslesen !
Unsere Exekutive hat vor einigen Jahren nichts
unversucht gelassen, um das äusserst knappe
Resultat der Abstimmung über die Einführung
mit solchen RFID (radio-frequency identification)
Chips ausgestatteten biometrischer Pässe
und IDs nach ihrem Wunsch zu beeinflussen.
Ein angstmacherisches Radiointerview von EWS
und die Seelenmassage, welche Oberpolizist
Knecht dem Ständerat vor dessen diesbezüglichen
Abstimmung verpasste, waren Beispiele der Verletzung
der in der Verfassung verankerten Gewaltentrennung.
Dies dürfte die Erklärung sein, wieso heute Bankenaufsicht
und Staatsanwaltschaften schlecht in Sachen
Sicherheitsgefährdung durch RFID tätig werden können.
Das wäre sonst ein Schuss ins eigene Bein. Also schweigen
sie, da bei Bürgerinnen und Bürgern sonst schwerwiegende
Zweifel an der Vernunft an von Organen der Exekutive gegebenen
Empfehlungen aufkommen würden.
Korrigendum: Der Oberpolzist im vorhergehenden Kommentar
heisst nicht Knecht sondern Käser.