Kreditkartenklau per Smartphone
Die ARD-Sendung Report München hat eine Android-App entwickeln lassen, mit der man unbemerkt Daten von NFC-fähigen Kreditkarten auslesen kann.
- Ronald Eikenberg
Report München hat in der am gestrigen Dienstagabend ausgestrahlten Sendung demonstriert, dass die Daten bestimmter Kreditkartentypen unbemerkt über das Nahfunkverfahren NFC ausgelesen werden können. Zur Veranschaulichung hat das Magazin eine Android-App entwickeln lassen, welche die Kreditkartendaten mit Hilfe des NFC-fähigen Smartphones Galaxy Nexus einsammelt.
So konnten die Reporter unter anderem Kreditkartennummern und Ablaufdaten auslesen, nicht aber die dazugehörigen Sicherheitscodes (CVV). Die Entfernung zwischen Smartphone und Kreditkarte darf dabei maximal vier Zentimeter betragen – das reicht aus, um etwa in einer Menschenmenge auf Datenfang zu gehen.
Das Auslesen funktioniert, weil die Daten unverschlüsselt auf dem NFC-Chip gespeichert werden, Sicherheitsmaßnahmen wie eine Authentifizierung der Lesegeräte sind nicht vorgesehen. Bereits im Februar hatte eine Hackerin auf einer Sicherheitskonferenz gezeigt, wie leicht man mit einem externen Lesegerät an diese Daten kommt.
Randy Vanderhoof von der Smart Card Alliance erklärte damals, er sehe keine neue Gefahr durch kontaktlose Kreditkartenzahlungen; in den sechs Jahren, die das Verfahren eingesetzt wird, seien noch keine Missbrauchsfälle beobachtet worden. Das liegt aus seiner Sicht vor allem daran, dass es für Kriminelle schwer wäre, aus diesem Angriffsszenario wirklich Profit zu schlagen. Der Handel mit geklauten Kreditkartendaten ohne CVV ist nämlich ein wenig ertragreiches Geschäft. Der Datendieb muss schon sehr viele Datensätze abgreifen, um nennenswerte Summen damit zu verdienen – und mit jedem Mal wächst die Gefahr, erwischt zu werden.
NFC-fähige Kreditkarten werden hierzulande bereits seit einer Weile ausgeben. Bei Visa tragen sie ein payWave-Logo, bei Mastercard heißt die Funktion PayPass. Ein zusätzliches Risiko entsteht für die Kunden durch den NFC-Chip jedoch kaum: Kreditkarten setzen immer schon die Sicherheit hinter den Komfort; Missbrauch ist ein kalkuliertes Risiko, das im Wesentlichen der Herausgeber der Karte trägt. So kann ein Kellner beim Bezahlen in einem Restaurant ohne Probleme alle für eine Transaktion erforderlichen Daten von einer Kreditkarte abschreiben und diese danach für eigene Einkäufe im Internet nutzen.
EC-Karten mit der Bezahlfunktion girogo sind ĂĽbrigens nicht betroffen. Zwar basiert auch girogo auf NFC, die im Klartext auslesbaren Daten eigenen sich jedoch nicht, um damit Zahlungen durchzufĂĽhren. Und bei Transaktionen kommt stets eine VerschlĂĽsselung zum Einsatz. (rei)