Kreditkarte funkt Inhaberdaten
Wissenschaftler der Universität von Massachusetts haben nachgewiesen, dass es ein Leichtes ist, mit RFID-Transpondern versehene Kreditkarten durch geschlossene Briefumschläge hindurch auszulesen. Die Erfolgsquote des Post-Versuchs lag bei 100 Prozent.
Wer von seiner Bank einen Brief mit Geldkarte oder PINs zur EC- oder Kreditkarte zugeschickt bekommt, findet darauf die tollsten Druck-Muster, die verhindern sollen, dass Gauner Daten per Durchleuchtungsgerät ausspionieren. Völlig sinnlos sind solche Maßnahmen allerdings, wenn der Umschlag eine Kreditkarte mit RFID-Transponder enthält. Dies konnten Mitarbeiter des Informatikprofessors Kevin Fu an der Universität von Massachusetts beweisen. Laut New York Times (NYT) ist diese Karten-Ausstattung zumindest in den USA bereits durch Visa, Mastercard, American Express sowie JPMorgan zig-millionenfach in Umlauf gebracht worden; allerdings nehmen diese Geldinstitute in unterschiedlichem Ausmaß starke Verschlüsselung für sich in Anspruch, um den Datenschutz ihrer Kunden zu gewährleisten. Die Gruppe um Fu hat diese Behauptung auf die Probe gestellt und einen Bericht (PDF-Datei) veröffentlicht, demzufolge 20 von 20 geprüften Karten auf alle erdenkliche Arten angreifbar waren. "Angreifbar" heißt, dass die Forscher mit billigstem Bastlergerät Informationen über den Karteninhaber auch durch einen ungeöffneten Briefumschlag lesen konnten, den Datenaustausch zwischen Karte und Lesegerät anzapfen und die aufgeschnappten Daten zu anderem Zeitpunkt und in anderem Kontext erneut abspielen konnten.
Die betroffenen Geldinstitute spielen den Befund nach Kräften herunter: "Eine interessante technische Übung, aber ohne reale Bedrohung für Konsumenten", erklärte Visa-Sprecher Brian Triplett gegenüber der NYT, und Mastercard-Manager Art Kranzley argumentierte, die 20 untersuchten Kreditkarten seien ja nur eine kleine Stichprobe. Das sei, "als schreie jemand 'Feuer' in einem Theater, bloß weil sich jemand anderes eine Zigarette angesteckt habe". Die Verbraucherschützer der Anti-RFID-Initiative CASPIAN sehen das erwartungsgemäß anders. Vorkämpferin Liz McIntyre, ehemalige Bankinspektorin, erläutert: "Wir haben die Firmen vor individuell numerierten RFID-Markierungen gewarnt und sie haben nicht auf uns gehört. Jetzt steht die Kreditkartenbranche vor einer noch nie da gewesenen Finanz- und PR-Katastrophe". Dabei zielt sie auf die "astronomischen Kosten" zum Ersatz der indiskreten Funkkarten ab, ganz zu schweigen von verlorenem Kundenvertrauen und Geldverlusten durch Missbrauch und Prozesskosten. Thomas Heydt-Benjamin aus der Forschergruppe um Fu bringt die Sache mit anderen Worten auf den Punkt: "Würden Sie sich in einem T-Shirt wohlfühlen, auf dem Ihr Name, Ihre Kreditkartennummer und deren Gültigkeitsdatum abgedruckt ist?" (hps)
