Hackerin liest RFID-Kreditkarten aus

Auf einer Konferenz demonstrierte Kristin Paget, wie einfach es ist, von Kreditkarten mit RFID-Chip zu bezahlen, ohne dass der Eigentümer etwas dazu tut.

In Pocket speichern vorlesen Druckansicht 210 Kommentare lesen
Lesezeit: 2 Min.

Die vor allem in den USA verbreiteten Kreditkarten mit RFID-Chip lassen sich durch Kleidung und Geldbeutel hindurch kontaktlos auslesen und dann mit Zahlungen belasten, die der Eigentümer eigentlich nicht freigegeben hat. Das demonstrierte Kristin Paget auf der Sicherheitskonferenz Shmoocon in der US-Hauptstadt Washington eindrucksvoll, wie das US-Wirtschaftsmagazin Forbes berichtet. Kreditkartenhersteller sehen jedoch kein gesteigertes Risiko.

Kreditkarten setzen immer schon die Sicherheit hinter den Komfort; Missbrauch ist ein kalkuliertes Risiko, das im Wesentlichen der Herausgeber der Karte trägt. So kann ein Kellner beim Bezahlen in einem Restaurant ohne Probleme alle für eine Transaktion erforderlichen Daten von einer Kreditkarte abschreiben und diese danach für eigene Einkäufe im Internet nutzen. Mit den etwa 100 Millionen bereits ausgegebenen RFID-Karten geht das nun auch, ohne dass der Besitzer die Karte aus der Hand gibt – unter Umständen sogar ohne sein Wissen.

Sicherheitsmaßnahmen wie eine Authentifizierung der Lesegeräte sind dabei nicht vorgesehen. Allerdings enthalten die RFID-Daten nicht die dreistellige CVV, die auf der Rückseite der Karte aufgedruckt ist und für Online-Transaktionen eigentlich benötigt wird. Statt dessen liefert der Chip eine Einmal-CVV, die nur für eine Transaktion gültig ist. Mehrfache Verwendung führt zur Sperrung der Karte.

Randy Vanderhoof von der Smart Card Alliance erklärte gegenüber Forbes, er sähe keine neue Gefahr durch kontaktlose Kreditkartenzahlungen; man habe in den sechs Jahren, die das Verfahren eingesetzt wird, noch keine Missbrauchsfälle beobachtet. Das liegt aus seiner Sicht vor allem daran, dass es für Kriminelle schwer wäre, aus diesem Angriffsszenario wirklich Profit zu schlagen.

Angesichts der Tatsache, dass gestohlene Kreditkartendaten typischerweise in Tausender-Stückzahlen verscherbelt werden und dabei eine einzelne nur wenige Dollar kostet, ist diese Einschätzung nicht ganz von der Hand zu weisen. Vor allem in den USA vermarktet etwa Visa RFID-Kreditkarten als payWave und MasterCard als PayPass; [Update: auch in Deutschland gibt es bereits erste Akzeptanzstellen unter anderem für PayPass.] (ju)