HOME

So unsicher sind unsere neuen Kreditkarten

Kontaktloses Bezahlen, das soll die Zukunft sein. Entsprechend sind die meisten Kredit- und Girokarten inzwischen mit einem Funkchip ausgestattet. Kaum jemand ahnt jedoch, dass die Geldbörse damit permanent funkt. Das könnte fatale Folgen haben, wie IT-Experte Tobias Schrödel zeigt.

Die meisten neuen Kreditkarten verfügen über einen eingebauten Chip für kontaktloses Bezahlen - zu erkennen an dem Funksymbol auf der Vorderseite.

Die meisten neuen Kreditkarten verfügen über einen eingebauten Chip für kontaktloses Bezahlen - zu erkennen an dem Funksymbol auf der Vorderseite.

Visa, Master oder Giro – mehr als vier Millionen Kreditkarten in Deutschland verfügen inzwischen über einen eingebauten Chip, der das so genannte kontaktlose Bezahlen ermöglicht: Der Kunde muss seine Karte im Geschäft nur wenige Zentimeter vor ein Lesegerät halten, dann erfolgt der Datenaustausch unmittelbar per Funksignal. Bei einem Kauf bis 25 Euro funktioniert das sogar ganz ohne Pin-Eingabe. Diese "Near-Field-Communication" (kurz: NFC) gilt als die Zukunft im Zahlungsverkehr. IT-Sicherheitsexperte Tobias Schrödel warnt jedoch: "Wo gefunkt wird, da kann man auch mitlesen. Denn nicht nur die dafür vorgesehenen Zahlterminals können das Funken anstoßen oder die Funksignale empfangen."  So gäbe es mittlerweile auch Apps fürs Smartphone, die entsprechende Kartendaten auslesen, so der IT-Experte.


Datenklau schon nach kurzem Kontakt

In einem stern TV-Test hat Tobias Schrödel mit seinem Smartphone und einer speziellen App ausprobiert, wie einfach es ist, die Kreditkartendaten ahnungsloser Passanten auszulesen. Im ersten Versuch hielt er sein Handy mit der App für wenige Sekunden an die Gesäßtasche eines fremden Mannes vor ihm – genau an die Stelle des Portemonnaies. Sofern das Funksignal der Kreditkarte darin ausreichen würde, könnte Schrödel die Daten auslesen und speichern. "Viele Menschen wissen gar nicht, dass ihre Kreditkarte funkt, und dass es ausreicht, lediglich mit einem normalen Handy und einer speziellen App kurz ganz nah an die Karte heranzukommen, um diese auszulesen", sagt der IT-Experte. Denn kaum jemand nutzt diese Technik bisher überhaupt oder ahnt, dass die Geldbörse die Signale permanent aussendet.

In einem Münchener Biergarten startete Tobias Schrödel den zweiten Versuch. Unter einem Vorwand sprach er die ahnungslosen Leute an, indem er mit ihnen über die Anzahl der Plastikkarten ins Gespräch kam, die man so mit sich herumschleppt. Binnen Minuten lagen zahlreiche Karten und Geldbeutel auf dem Tisch. Sobald der IT-Experte sein Smartphone mit der entsprechenden App in die Nähe der Kreditkarten brachte, hatte er die Daten ausgelesen – sehr zur Überraschung der Betroffenen. "Ich hätte nicht gedacht, dass das so schnell geht. Und ich habe auch nicht gewusst, dass es so eine Kartenlese-App überhaupt gibt", so Carolin Hauser, eine der Testpersonen. Aber würde Tobias Schrödel mit den Informationen jetzt überhaupt etwas anfangen können? "Und ob!", so Schrödel. "Natürlich versuchen die Anbieter der Kreditkartenfirmen so viel Sicherheit, wie möglich in diese Karten zu stecken. Deswegen ist es unmöglich die PIN-Nummer auszulesen oder auch die dreistellige Prüfnummer auf der Rückseite. Die kann man nicht lesen", erklärt der IT-Experte. "Was man allerdings bekommt, ist die vollständige Kreditkartennummer samt Ablaufdatum. Und das reicht, um bei einigen Online-Shops einkaufen zu gehen."

Wenige Karteninformationen reichen

Mit Erlaubnis der Opfer durfte Schrödel einen Testkauf machen – im Online-Shop Amazon: Dort reichen tatsächlich Kreditkartennummer und Ablaufdatum der Karte aus, um den Kauf abzuschließen. In zwei Fällen demonstrierte Schrödel, wie er vor den Augen der verdatterten Biergartenbesucher etwas an seine Adresse bestellen konnte. Er benötigte weder PIN- noch Prüfnummer der Kreditkarte. Auch den eingegebenen Namen des vermeintlichen Karteninhabers überprüft man bei diesem Shop offenbar nicht. stern TV hat Amazon dazu um Stellungnahme gebeten. In der Antwort heißt es: Bei der Erfassung neuer Kreditkarten als Zahlungsart bei Amazon.de wird der Kunde gebeten Kartentyp, Kreditkartennummer, Name und Gültigkeitsdatum anzugeben, was dem deutschen Standard im eCommerce entspricht. Diese Daten können zur Überprüfung von Transaktionen verwendet werden. Der Name kann Bestandteil von Amazon’s internen Prüfungsprotokollen sein.

In keinem der Fälle im Test wurden die Angaben der verwendeten Kreditkarte durch Amazon überprüft oder verifiziert. Noch schlimmer: Über das Bezahlsystem Amazon Pay ließe sich mit diesen Kreditkarteninformationen bei tausenden Online-Shops einkaufen – ohne dass das Datenopfer vorerst etwas merken würde. Es sei denn, man lässt sich über jeden Kauf per SMS informieren. Das Fazit von Tobias Schrödel: "Das Auslesen von fremden Kreditkartendaten funktioniert tatsächlich", so der IT-Experte. An der Hosentasche des Passanten war Schrödel mit der Handy-App nicht erfolgreich – dafür bräuchte es ein spezielles Gerät, das jedoch ebenso für jedermann zu kaufen ist. "Aber wenn ein Geldbeute aber mal offen auf dem Tisch liegt, dann wäre es ein Leichtes. Dann reicht es, das Handy mit einer entsprechenden App eine Sekunde darauf zu legen und man hat die Daten und kann online einkaufen. Und was wir auch festgestellt haben: Die wenigsten Leute wissen das!"


Das könnte Sie auch interessieren