HOME

Datendiebstahl per Funk: So unsicher sind unsere neuen Kreditkarten

Kontaktloses Bezahlen, das soll die Zukunft sein. Entsprechend sind die meisten Kredit- und Girokarten inzwischen mit einem Funkchip ausgestattet. Kaum jemand ahnt jedoch, dass die Geldbörse damit permanent funkt. Das könnte fatale Folgen haben, wie IT-Experte Tobias Schrödel zeigt.

Die meisten neuen Kreditkarten verfügen über einen eingebauten Chip für kontaktloses Bezahlen - zu erkennen an dem Funksymbol auf der Vorderseite.

Die meisten neuen Kreditkarten verfügen über einen eingebauten Chip für kontaktloses Bezahlen - zu erkennen an dem Funksymbol auf der Vorderseite.

Visa, Master oder Giro – mehr als vier Millionen Kreditkarten in Deutschland verfügen inzwischen über einen eingebauten Chip, der das so genannte kontaktlose Bezahlen ermöglicht: Der Kunde muss seine Karte im Geschäft nur wenige Zentimeter vor ein Lesegerät halten, dann erfolgt der Datenaustausch unmittelbar per Funksignal. Bei einem Kauf bis 25 Euro funktioniert das sogar ganz ohne Pin-Eingabe. Diese "Near-Field-Communication" (kurz: NFC) gilt als die Zukunft im Zahlungsverkehr. IT-Sicherheitsexperte Tobias Schrödel warnt jedoch: "Wo gefunkt wird, da kann man auch mitlesen. Denn nicht nur die dafür vorgesehenen Zahlterminals können das Funken anstoßen oder die Funksignale empfangen."  So gäbe es mittlerweile auch Apps fürs Smartphone, die entsprechende Kartendaten auslesen, so der IT-Experte.


Datenklau schon nach kurzem Kontakt

In einem stern TV-Test hat Tobias Schrödel mit seinem Smartphone und einer speziellen App ausprobiert, wie einfach es ist, die Kreditkartendaten ahnungsloser Passanten auszulesen. Im ersten Versuch hielt er sein Handy mit der App für wenige Sekunden an die Gesäßtasche eines fremden Mannes vor ihm – genau an die Stelle des Portemonnaies. Sofern das Funksignal der Kreditkarte darin ausreichen würde, könnte Schrödel die Daten auslesen und speichern. "Viele Menschen wissen gar nicht, dass ihre Kreditkarte funkt, und dass es ausreicht, lediglich mit einem normalen Handy und einer speziellen App kurz ganz nah an die Karte heranzukommen, um diese auszulesen", sagt der IT-Experte. Denn kaum jemand nutzt diese Technik bisher überhaupt oder ahnt, dass die Geldbörse die Signale permanent aussendet.

In einem Münchener Biergarten startete Tobias Schrödel den zweiten Versuch. Unter einem Vorwand sprach er die ahnungslosen Leute an, indem er mit ihnen über die Anzahl der Plastikkarten ins Gespräch kam, die man so mit sich herumschleppt. Binnen Minuten lagen zahlreiche Karten und Geldbeutel auf dem Tisch. Sobald der IT-Experte sein Smartphone mit der entsprechenden App in die Nähe der Kreditkarten brachte, hatte er die Daten ausgelesen – sehr zur Überraschung der Betroffenen. "Ich hätte nicht gedacht, dass das so schnell geht. Und ich habe auch nicht gewusst, dass es so eine Kartenlese-App überhaupt gibt", so Carolin Hauser, eine der Testpersonen. Aber würde Tobias Schrödel mit den Informationen jetzt überhaupt etwas anfangen können? "Und ob!", so Schrödel. "Natürlich versuchen die Anbieter der Kreditkartenfirmen so viel Sicherheit, wie möglich in diese Karten zu stecken. Deswegen ist es unmöglich die PIN-Nummer auszulesen oder auch die dreistellige Prüfnummer auf der Rückseite. Die kann man nicht lesen", erklärt der IT-Experte. "Was man allerdings bekommt, ist die vollständige Kreditkartennummer samt Ablaufdatum. Und das reicht, um bei einigen Online-Shops einkaufen zu gehen."

Wenige Karteninformationen reichen

Mit Erlaubnis der Opfer durfte Schrödel einen Testkauf machen – im Online-Shop Amazon: Dort reichen tatsächlich Kreditkartennummer und Ablaufdatum der Karte aus, um den Kauf abzuschließen. In zwei Fällen demonstrierte Schrödel, wie er vor den Augen der verdatterten Biergartenbesucher etwas an seine Adresse bestellen konnte. Er benötigte weder PIN- noch Prüfnummer der Kreditkarte. Auch den eingegebenen Namen des vermeintlichen Karteninhabers überprüft man bei diesem Shop offenbar nicht. stern TV hat Amazon dazu um Stellungnahme gebeten. In der Antwort heißt es: Bei der Erfassung neuer Kreditkarten als Zahlungsart bei Amazon.de wird der Kunde gebeten Kartentyp, Kreditkartennummer, Name und Gültigkeitsdatum anzugeben, was dem deutschen Standard im eCommerce entspricht. Diese Daten können zur Überprüfung von Transaktionen verwendet werden. Der Name kann Bestandteil von Amazon’s internen Prüfungsprotokollen sein.

In keinem der Fälle im Test wurden die Angaben der verwendeten Kreditkarte durch Amazon überprüft oder verifiziert. Noch schlimmer: Über das Bezahlsystem Amazon Pay ließe sich mit diesen Kreditkarteninformationen bei tausenden Online-Shops einkaufen – ohne dass das Datenopfer vorerst etwas merken würde. Es sei denn, man lässt sich über jeden Kauf per SMS informieren. Das Fazit von Tobias Schrödel: "Das Auslesen von fremden Kreditkartendaten funktioniert tatsächlich", so der IT-Experte. An der Hosentasche des Passanten war Schrödel mit der Handy-App nicht erfolgreich – dafür bräuchte es ein spezielles Gerät, das jedoch ebenso für jedermann zu kaufen ist. "Aber wenn ein Geldbeute aber mal offen auf dem Tisch liegt, dann wäre es ein Leichtes. Dann reicht es, das Handy mit einer entsprechenden App eine Sekunde darauf zu legen und man hat die Daten und kann online einkaufen. Und was wir auch festgestellt haben: Die wenigsten Leute wissen das!"


Dachüberstand beim Gerätehaus und Mindestabstand Grenze zum Nachbarn
Ich wohne in Baden-Württemberg und plane auf meinem Grundstück einen alten Schuppen durch ein neues Gerätehaus (kein Aufenthaltsraum, keine Feuerstätte im Gebäude!) mit den Grundmaßen 3,50 m x 2,50 m und Firsthöhe von 2,21 m zu ersetzen. Da die neue Anlage etwa 60 cm in einer Geländestufe aufgestellt wird, ist die Wand gegenüber dem Nachbarn tatsächlich nur ca. 1,6 m gegenüber der OK des Gartens hoch. Es soll eine verfahrensfreie Umsetzung in einer Grenzbebauung durchgeführt werden. Auf dem Nachbargrundstück ist eine ca. 3m hohe Thuja Hecke, die geringfügig über die Grenze herüber ragt. Nun hat das geplante Gerätehaus einen umlaufenden Dachüberstand von ca. 20 cm, sodaß die Außenmasse des Fundaments etwa 20 cm von der Grundstücksgrenze entfernt ist. Damit ist sichergestellt, dass der Dachüberstand nicht mit dem Nachbargruzdstück überlappt. Wie sieht es nun entsprechend der LBO Baden-Würtenberg mit der Regelung zum Mindestabstand gegenüber der Grenze des Nachbarn aus? Ich sehe 3 Möglichkeiten: a) es gilt als Grenzbebauung. Die überhängende Thuja-Hecke stört mich nicht. b) es müssen 50 cm Mindestabstand eingehalten werden. c) der Überstand am Gerätehaus an der Grenze zum Nachbarn muss entfernt werden, damit der Aufbau als Grenzbebauung anerkannt wird. PS: Zusammen mit der Länge der Garage des Nachbarn wird eine Grenzbebauung von 9m nicht überschritten. Mit der Bitte um eine Rückmeldung, sodaß ich meinen Plan vernünftig abschließen kann. mfg
Buchtitel gesucht. Die Rückkehr ...
Der Titel des zweiten Bandes lautet "Die Rückkehr des <xyz>" Autor ist ein irischer Schriftsteller. Es geht um einen Mönch mit einem Sprachfehler. Als das Kloster von Dämonen angegriffen wird, kann er die Abwehr-Gebete, wegen seines Sprachfehlers, nicht so deutlich sprechen, wie seine Mönchsbrüder und der Geist einer Hexe geht deshalb auf ihn über. Seine Mönchsbrüder wollen ihn, um zumindest seine Seele zu retten, nun auf dem Scheiterhaufen verbrennen. Mit dem Geist der Hexe und etwas Flug-Salbe gelingt ihm aber die Flucht, auf einem Besen durch die Luft reitend. Zufällig belauscht er das Gespräch einer Frau, in die er sich verliebt hat und von der er sich ebenfalls geliebt fühlt. Dabei findet er heraus, dass sie ihn nicht als Mann liebt, sondern dass sie ihn für einen solchen Trottel hält, dass er ohne ihre mütterliche Fürsorge nicht lebenstüchtig sei und dass sie sich deshalb verantwortlich fühlt ihn mit ihrer Mutterliebe zu umsorgen. Tief verletzt hängt er seine Versuche, ein guter Mensch zu sein an den Nagel, will nun böse werden und schließt zu diesem Zweck einen Packt mit dem Teufel. Um den Packt zu besiegeln muss er ein mit Blut unterschriebenes Pergament mit dem Vertragstext verschlucken. Bei der anschließenden Überfahrt nach Frankreich wird er jedoch seekrank und kotzt sich seine Seele aus dem Leib. Dabei geht auch das Pergament mit dem Teufelspackt mit über Bord. Dadurch ist er an den Packt mit dem Teufel nicht mehr gebunden, plant aber weiterhin, mit Hilfe des Teufels ein böser Mensch zu werden. Dabei stellt er sich aber jedesmal so dusselig an, dass immer etwas Gutes dabei heraus kommt. Trotz der tiefen Verletzung durch die Frau, die er liebt, kann er sie doch nicht vergessen und schmachtet ihr auch weiterhin nach. Bei einem Hexenmeister lernt er einen Liebestrank zu brauen. Was er dann auch tut. Der Trank muss sehr lange ziehen. Während also der Trank auch während einer Abwesenheit weiter zieht, dringt eine Kuh in die Höhle ein, in der der Trank gebraut wird und säuft den Trank aus. Als der Mönch in die Höhle zurück kehrt, verliebt sich die Kuh augenblicklich in ihn und weicht ihm von da an nicht mehr von der Seite. Wie heißt der Mönch, der Held dieser Geschichte, und auch titel-gebend ist. Und wer ist der irische Autor?