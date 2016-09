Visa, Master oder Giro – mehr als vier Millionen Kreditkarten in Deutschland verfügen inzwischen über einen eingebauten Chip, der das so genannte kontaktlose Bezahlen ermöglicht: Der Kunde muss seine Karte im Geschäft nur wenige Zentimeter vor ein Lesegerät halten, dann erfolgt der Datenaustausch unmittelbar per Funksignal. Bei einem Kauf bis 25 Euro funktioniert das sogar ganz ohne Pin-Eingabe. Diese "Near-Field-Communication" (kurz: NFC) gilt als die Zukunft im Zahlungsverkehr. IT-Sicherheitsexperte Tobias Schrödel warnt jedoch: "Wo gefunkt wird, da kann man auch mitlesen. Denn nicht nur die dafür vorgesehenen Zahlterminals können das Funken anstoßen oder die Funksignale empfangen." So gäbe es mittlerweile auch Apps fürs Smartphone, die entsprechende Kartendaten auslesen, so der IT-Experte.



Bezahlkarten mit Funkchip So schützen Sie sich vor einem Datendiebstahl Habe ich eine solche Funk-Kredit- oder Girokarte? Falls dem so ist, erkennen Sie das an einem Symbol auf der Vorderseite, das dem Wlan-Symbol ähnelt.





Sofern Sie den Funkchip Ihrer Karte nicht zum kontaktlosen Bezahlen nutzen und benötigen, bitten Sie Ihre Bank, Ihnen eine Karte ohne den entsprechenden Chip auszustellen.





Nutzen Sie eine spezielle Schutzhülle, in der Sie Ihre Karte bewahren. Sie verhindert, dass Funkwellen nach außen dringen. Die Hüllen gibt es in Onlineshops und im Elektrofachhandel. Auch Aluminiumfolie hilft, ist aber natürlich unpraktisch. Nachteil beim manuellen Abschirmen: Das kontaktlose Bezahlen geht dann auch nicht mehr.





Alternativ können Sie spezielle Karten-Boxen oder –Börsen benutzen. Sie schirmen die Funkwellen ab, geben die Karten zum kontaktlosen Bezahlen aber schnell per Knopfdruck heraus.





Stecken Sie Ihre Kredit- und/oder Girokarte mit Funkchip in der Geldbörse auf jeden Fall immer zwischen andere Karten, so dass die Funkwellen möglichst abgeschirmt werden.





Sorgen Sie dafür, dass niemand leichten Zugang zu Ihrer Karte hat. Sofern Sie sie aus dem Geldbeutel nehmen, halten Sie Teile der Kartennummer möglichst vor Blicken anderer geschützt.





Denn: Wie beim stern TV-Test herauskam, ist es über Amazon und Amazon Pay möglich, alleine über Kartennummer und Ablaufdatum der Karte Bestellungen aufzugeben. Mit diesen Informationen könnten Unbefugte auf Ihre Kosten einkaufen. Ein Name oder die Prüfziffer werden offensichtlich nicht zur Verifizierung benötigt oder überprüft.





Weitere Falle: Beträge unter 25 Euro bedürfen beim kontaktlosen Bezahlen keiner weiteren Verifikation. Mit entsprechender Technik kann es Unbefugten somit gelingen, jeweils einen Betrag von 24,99 Euro abzubuchen, sobald sie mit einem Lesegerät nahe genug in die Nähe einer funkenden Karte kommen (Hosentasche, Rucksack, etc.).





Datenklau schon nach kurzem Kontakt

In einem stern TV-Test hat Tobias Schrödel mit seinem Smartphone und einer speziellen App ausprobiert, wie einfach es ist, die Kreditkartendaten ahnungsloser Passanten auszulesen. Im ersten Versuch hielt er sein Handy mit der App für wenige Sekunden an die Gesäßtasche eines fremden Mannes vor ihm – genau an die Stelle des Portemonnaies. Sofern das Funksignal der Kreditkarte darin ausreichen würde, könnte Schrödel die Daten auslesen und speichern. "Viele Menschen wissen gar nicht, dass ihre Kreditkarte funkt, und dass es ausreicht, lediglich mit einem normalen Handy und einer speziellen App kurz ganz nah an die Karte heranzukommen, um diese auszulesen", sagt der IT-Experte. Denn kaum jemand nutzt diese Technik bisher überhaupt oder ahnt, dass die Geldbörse die Signale permanent aussendet.

In einem Münchener Biergarten startete Tobias Schrödel den zweiten Versuch. Unter einem Vorwand sprach er die ahnungslosen Leute an, indem er mit ihnen über die Anzahl der Plastikkarten ins Gespräch kam, die man so mit sich herumschleppt. Binnen Minuten lagen zahlreiche Karten und Geldbeutel auf dem Tisch. Sobald der IT-Experte sein Smartphone mit der entsprechenden App in die Nähe der Kreditkarten brachte, hatte er die Daten ausgelesen – sehr zur Überraschung der Betroffenen. "Ich hätte nicht gedacht, dass das so schnell geht. Und ich habe auch nicht gewusst, dass es so eine Kartenlese-App überhaupt gibt", so Carolin Hauser, eine der Testpersonen. Aber würde Tobias Schrödel mit den Informationen jetzt überhaupt etwas anfangen können? "Und ob!", so Schrödel. "Natürlich versuchen die Anbieter der Kreditkartenfirmen so viel Sicherheit, wie möglich in diese Karten zu stecken. Deswegen ist es unmöglich die PIN-Nummer auszulesen oder auch die dreistellige Prüfnummer auf der Rückseite. Die kann man nicht lesen", erklärt der IT-Experte. "Was man allerdings bekommt, ist die vollständige Kreditkartennummer samt Ablaufdatum. Und das reicht, um bei einigen Online-Shops einkaufen zu gehen."

Wenige Karteninformationen reichen



Mit Erlaubnis der Opfer durfte Schrödel einen Testkauf machen – im Online-Shop Amazon: Dort reichen tatsächlich Kreditkartennummer und Ablaufdatum der Karte aus, um den Kauf abzuschließen. In zwei Fällen demonstrierte Schrödel, wie er vor den Augen der verdatterten Biergartenbesucher etwas an seine Adresse bestellen konnte. Er benötigte weder PIN- noch Prüfnummer der Kreditkarte. Auch den eingegebenen Namen des vermeintlichen Karteninhabers überprüft man bei diesem Shop offenbar nicht. stern TV hat Amazon dazu um Stellungnahme gebeten. In der Antwort heißt es: Bei der Erfassung neuer Kreditkarten als Zahlungsart bei Amazon.de wird der Kunde gebeten Kartentyp, Kreditkartennummer, Name und Gültigkeitsdatum anzugeben, was dem deutschen Standard im eCommerce entspricht. Diese Daten können zur Überprüfung von Transaktionen verwendet werden. Der Name kann Bestandteil von Amazon’s internen Prüfungsprotokollen sein.

In keinem der Fälle im Test wurden die Angaben der verwendeten Kreditkarte durch Amazon überprüft oder verifiziert. Noch schlimmer: Über das Bezahlsystem Amazon Pay ließe sich mit diesen Kreditkarteninformationen bei tausenden Online-Shops einkaufen – ohne dass das Datenopfer vorerst etwas merken würde. Es sei denn, man lässt sich über jeden Kauf per SMS informieren. Das Fazit von Tobias Schrödel: "Das Auslesen von fremden Kreditkartendaten funktioniert tatsächlich", so der IT-Experte. An der Hosentasche des Passanten war Schrödel mit der Handy-App nicht erfolgreich – dafür bräuchte es ein spezielles Gerät, das jedoch ebenso für jedermann zu kaufen ist. "Aber wenn ein Geldbeute aber mal offen auf dem Tisch liegt, dann wäre es ein Leichtes. Dann reicht es, das Handy mit einer entsprechenden App eine Sekunde darauf zu legen und man hat die Daten und kann online einkaufen. Und was wir auch festgestellt haben: Die wenigsten Leute wissen das!"

Kontaktloses Bezahlen Die Technik des kontaktlosen Bezahlens gibt es seit etwa fünf Jahren. Bei Visa heißt sie "PayWave", Master nennt sie beispielsweise "Paypass". In Deutschland kann man mittels des in die Kredit- oder Girokarte eingebauten NFC-Chips (NFC = Near Field Communication) bereits an rund 100.000 Terminals bezahlen, unter anderem in Filialen von Rewe, Aldi, Kaufland, Galeria Kaufhof, Douglas und anderen mehr. Und die Zahl der NFC-fähigen Kassen wächst. In Deutschland ist die Bindung an Bargeld allerdings traditionell größer, als in anderen europäischen Ländern wie England oder Italien, wo sich dieser Zahlungsverkehr deutlicher durchsetzt. Laut der Banken sollen langfristig neben Kreditkarten auch alle 45 Millionen Giro- bzw. EC-Karten mit Funkchips (Prepaid-Funktion) ausgestattet werden. Noch gibt es aber Karten ohne, nach denen man bei seiner Bank fragen kann.