Bezahlung mit NFC-Kreditkarten – wie sicher ist diese Methode?

Julius S. Schoor
4 min.

Kontaktloses Bezahlen verspricht einen schnellen und unkomplizierten Zahlungsvorgang an der Kasse. Es befinden sich bereits mehrere Millionen Karten von Visa, Master und Giro im Umlauf, die diese Funktion unterstützen. Eine solche Karte muss beim Bezahlen im Geschäft nur kurzzeitig wenige Zentimeter über ein Lesegerät gehalten werden. Fertig. Zahlungen bis 25 Euro werden anschließend sogar ohne PIN-Eingabe durchgeführt. Das ist doch praktisch, aber wie steht es um die Sicherheit?

Ausgangssituation – die Technologie und ihre Anwendung in der Praxis

Zunächst ist eine kurze Begriffsklärung nötig, um die Gefahren, die sich aus der Benutzung einer Kredit- oder Girokarte ergeben, richtig einordnen zu können. NFC steht für „Near Field Communication“ (Nahfeld-Kommunikation) und bezeichnet eine Funktechnologie, bei der Daten über kurze Strecken kontaktlos übertragen werden. NFC ermöglicht den Datenaustausch in zwei Richtungen: Das Lesegerät kann einerseits Daten auslesen und andererseits auch zurück an die Karte übermitteln. Neben dem bargeldlosen Bezahlen bei neuen Bankkarten oder mit dem Smartphone kommt die NFC-Technik zum Beispiel bei elektronischen (Jahres- und Monats-)Fahrscheinen im öffentlichen Personennahverkehr zum Einsatz.

Der Einzelhandel stellte seine Bezahlterminals bereits um. Aldi Nord, Edeka, Galeria Kaufhof, Netto, Rewe und viele weitere haben ihre Kassensysteme seit letztem Jahr mit NFC aufgerüstet. Der neue, seit 2011 ausgegebene Personalausweis unterstützt ebenfalls diese Technologie. Theoretisch könnte er als Geldkarte oder digitaler Schlüssel genutzt werden, doch es gibt noch keine praxisrelevante Anwendung.

Die NFC-Bankkarte im Einsatz

Wird der Bezahlvorgang mit Hilfe einer NFC-Bankkarte abgewickelt, fallen dabei erst einmal nicht mehr Daten an als beim herkömmlichen Einsatz der Bankkarte mit PIN oder Unterschrift. Die Karte muss nicht mit einem bestimmten Betrag aufgeladen werden, sondern die Summe wird direkt vom (Kreditkarten-)Konto abgebucht. Der einzige Unterschied besteht in der kontaktlosen Auslesemöglichkeit: Ausgelesen werden kann die Karte in einem Abstand von bis zu 4 Zentimetern zum Lesegerät, womit ein versehentliches Zahlen ausgeschlossen werden soll. Mit der CVC-Prüfziffer oder der normalen Karten-PIN kann der Händler betrügerische Zahlungen ausschließen. Sie wird aber nicht immer abgefragt. Bei einem Bezahlvorgang bis zu 25 Euro fällt die Eingabe einer PIN völlig weg. Der Kartenherausgeber haftet grundsätzlich für die Zahlungen wie bei einer Kreditkarte. Das heißt, dass Kunden ihre Kontoauszüge regelmäßig kontrollieren und ggf. nicht autorisierte Abbuchungen melden müssen. Ebenfalls besteht für den Kunden jederzeit die Möglichkeit der Kartensperrung. Einige Banken verlangen eine PIN, wenn Zahlungen unter 25 Euro schnell aufeinander folgen. Auf den NFC-Karten werden nicht mehr Daten gespeichert als auf der herkömmlichen Bankkarte. Gespeichert werden beispielsweise die letzten fünfzehn Zahlungsvorgänge mit der Terminalnummer des Händlers sowie Datum und Betrag des Kaufs. Überdies können das Jugendschutzmerkmal „unter/über 18 Jahre“, der Kartentyp und die Kartennummer ausgelesen werden.

Kritik

Die Grundidee besteht in der Vereinfachung der Zahlungsvorgängen für den Kunden (denn dieser muss bei Beträgen von weniger als 25 Euro keine PIN mehr eingeben) und einer Beschleunigung für den Händler (denn eine Bezahlung ohne PIN-Eingabe und Überprüfung geht wesentlich schneller). Es klingt gut, doch die Nebenwirkungen aus Gesichtspunkten des Datenschutzes sind alarmierend. Drei Punkte sind dabei besonders problematisch:

  1. Ein grundsätzliches Problem ergibt sich aus der Tatsache, dass bei kleineren Beträgen (bis 25 Euro) keinerlei Authentifizierung stattfindet. Es genügt die physische Gewalt über die Bankkarte mit NFC. Wer diese in seinem Besitz hat, kann shoppen gehen. Ob es sich um den rechtmäßigen Besitzer der Karte handelt, wird wohl nur selten (durch Überprüfung eines Ausweises) nachgewiesen; denn wenn bei jeder Bezahlung mit NFC-Bankkarte der Ausweis überprüft werden würde, wäre der zeitliche Vorteil gegenüber der klassischen EC-Zahlung mit PIN-Eigabe obsolet.
  2. Das zweite gravierende Problem ergibt sich aus der Technologie selbst. Während immer mehr Geschäfte mit NFC aufrüsten, wird dieser Standard auch bei Smartphones immer verbreiteter. Dass bereits Apps existieren, die über NFC den gesamten Datenbestand der Bankkarten mit dieser Funktion auslesen können, überrascht also nur wenig. Einige Fernsehbeiträge illustrieren sehr deutlich, wie einfach es geht: App installieren, NFC aktivieren, Handy auf die Karte oder die Geldbörse legen (denn 4 cm Abstand genügen), kurz warten und schon zeigt das Smartphone alle Daten der Karte – inkl. der sensiblen Kartennummer sowie dem Ablaufdatum der Karte. Diesen beiden Angaben genügen bereits, um sich beispielsweise bei Amazon auf Shoppingtour begeben.
  3. Der letzte Kritikpunkt richtet sich an die Kreditinstitute, die die Karten (mittlerweile im großen Stil) ausgeben. Die Gefahren der unberechtigten Benutzung oder kriminellen Auslesung der Daten sind bekannt. Gegenmaßnahmen lassen sich jedoch nicht erkennen. Dabei würde es schon helfen, wenn man bei jeder NFC-Kartenzahlung unter 25 Euro eine kurze SMS und/oder E-Mail bekäme – auf diese Weise könnte ein Missbrauch der Karte und/oder der Kartendaten wenigstens frühzeitig bemerkt und die Karte gesperrt werden. Des Weiteren findet eine unzureichende Informationspolitik über die Gefahren seitens der Geldhäuser statt.

Schutzempfehlung und Fazit

Wer sich weiterhin an den Vorteilen der NFC-Kartenzahlung erfreuen will, der sollte seine Karte – insbesondere im Lichte des zweiten Kritikpunktes – schützen. Es werden bereits spezielle Kartenhüllen angeboten, die ein unberechtigtes Auslesen verhindern, indem sie die physische Übertragung der NFC-Technik abschirmen und damit im Ergebnis einen Datenaustausch unterbinden.

Momentan haben diese Hüllen noch einen stolzen Preis. Wenn man sich aber überlegt, wie einfach sich die Daten mithilfe einer App und einem dazugehörigen Smartphone auslesen lassen, dann sollten Sie in den Schutz Ihrer Bank- und Zahlungsdaten investieren. Schlussendlich könnte auch eine Nachfrage bei Ihrer Bank dazu führen, dass Ihnen eine solche „Abschirmhülle“ zur Verfügung gestellt wird.

 

Benutzen Sie NFC-Bankkarten? Bietet Ihre Bank eine entsprechende Hülle zum Schutz vor unberechtigten Dritten an?

Ich bin auf Ihre Erfahrungen gespannt. Kommentieren Sie einfach diesen Beitrag.

__

Titelbild (CCO Public Domain)

__

Über den Autor

Mein Name ist Julius S. Schoor. Ich bin Rechtsanwalt und spezialisiert auf IT-Vertragsrecht. Seit 2011 bin ich als Datenschutzbeauftragter TÜV-zertifiziert und bereits für mehrere Unternehmen als solcher offiziell bestellt.

1 Kommentar

You can post comments in this post.


  • Sehr geehrter Herr Julius S. Schoor,

    danke für diese ausführliche Berichterstattung außerhalb von Wikipedia.

    Ich werde mich jetzt nach einem Kreditkartenschutz kümmern.

    All your best.

    Stewart

    Steve Stewart Anderson 4 Monaten ago Reply


Kommentieren Sie diesen Beitrag!

Die Daten werden nur dafür verarbeitet, die Kommentarfunktion des Blogs zu ermöglichen.
Soweit Sie mir eine persönliche Nachricht schreiben wollen, nutzen Sie bitte die Seite Kontakt.
Im Übrigen gelten meine Datenschutzhinweise.