Kreditkartenunternehmen werben mit sogenannten Kontaktlos-Kreditkarten und mit dem Slogan „Bezahlen im Vorbeigehen“. Das Bezahlen soll in nur wenigen Sekunden erfolgen und für Kunde und Händler erhebliche Vorteile bringen. Inzwischen gibt es diese kontaktlosen Bezahlkarten auch für Debitkarten (etwa der EC-Karte). Medienberichte warnen jedoch hin und wieder vor dem kontaktlosen Bezahlen und verweisen dabei auf angebliche Sicherheitsmängel. Was die Gefahren beim Bezahlen mit kontaktlosen Karten sind und wie man sich vor dem Abgreifen der Bankzugangsdaten schützen kann, erläutert ilex Rechtsanwälte.

Überblick:

• Was sind kontaktlose Karten?
• Wie funktionieren die kontaktlosen Karten?
• Wer profitiert von dem Bezahlen mit kontaktlosen Karten?
• Sind die kontaktlosen Karten sicher?
• Was ist zu den zusätzlichen Sicherheitsvorkehrungen zu sagen?
• Wie funktioniert das Abgreifen von Bankzugangsdaten technisch?
• Was können die Kartennutzer tun, um Missbrauch vorzubeugen?
  
  

Was sind kontaktlose Karten?

Mit den sogenannten kontaktlosen Karten wird den Karteninhabern sekundenschnelles Bezahlen versprochen. Beim Bezahlvorgang müssen weder ein Beleg unterschrieben, und bis zu einer bestimmten Summe meist auch keine Persönliche Identifikationsnummer (PIN) eingegeben werden. Das Bezahlen erfolgt ganz einfach durch das Halten der Karte vor einem Bezahl-Lesegerät. In Deutschland werden aber neue Kreditkarten oder EC-Karten ggf. bereits automatisch mit dem für das kontaktlose Bezahlen notwendigen NFC-Chip ausgegeben. Besitzer erkennen die NFC-Funktion an den entsprechenden Logos auf ihrer Bank- oder Kreditkarte. Die kontaktlosen Kreditkarten werden in Deutschland von den Kreditkartenunternehmen Mastercard unter dem Begriff „Paypass“ und von Visa unter dem Begriff „Paywave“ angeboten. Die „Prepaid-Lösung“ der Sparkassen und der Volks- und Raiffeisenbanken mit der kontaktlosen Bezahlfunktion auf ihren Bankkarten nennt sich „girogo“. Auch Debitkarten, wie die EC-Karte, werden ggf. mit der „Maestro paypass“-Funktion ausgegeben. Diese müssen dann ähnlich wie beim „girogo“-System vorher aufgeladen werden.

Wie funktionieren die kontaktlosen Karten?

Das Bezahlen mit der kontaktlosen Karte ermöglicht die NFC-Technologie. NFC steht dabei für Near Field Communication. Übersetzt bedeutet dies Nahfeldkommunikation. Die Bezahlkarte enthält dazu einen goldfarbenen Chip, der die Daten gespeichert hat, die für die Zahlung nötig sind. Mittels einer kleinen Antenne übermittelt der Chip die drahtlos gesendeten Daten per Funk an spezielle Lesegeräte, welche die erforderlichen Daten kontaktlos auslesen und entschlüsseln. Dies funktioniert jedoch nur über kurze Strecken von wenigen Zentimetern. Dazu muss der Bankkunde seine Bezahlkarte wenige Zentimeter vor das Lesegerät halten. Hat das Lesegerät die erforderlichen Daten verwertet, bestätigt es den Zahlungsvorgang durch ein akustisches und optisches Signal. Als Oberbegriff rund um das Thema Funktechnik fungiert im weiteren Sinn auch der Begriff RFID (Radio Frequency Identification).

Wer profitiert von dem Bezahlen mit kontaktlosen Karten?

Karteninhaber profitieren von den kontaktlosen Bezahlkarten vor allem dann, wenn in kurzer Zeit viele Menschen bezahlen wollen. Neben vollen Supermarktkassen, kann dies auch das Schlange stehen in Halbzeitpausen bei Sportveranstaltungen oder vor der Essensausgabe in Kantinen und Mensen erheblich verkürzen. Doch auch die Händler profitieren von der Zahlungsweise. Durch den schnelleren Zahlungsvorgang können in weniger Zeit mehr Kunden bedient werden, was sich positiv auf den Umsatz auswirkt.

Sind die kontaktlosen Karten sicher?

Glaubt man Werbeaussagen, so soll das Zahlen mit den kontaktlosen Karten genauso sicher sein, wie das herkömmliche Zahlen mit einer Bezahlkarte ohne Kontaktlos-Funktion. Es wird argumentiert, dass selbst bei einem Diebstahl der Bezahlkarte in der Regel nur kleinere Beträge ohne die PIN-Funktion bezahlt werden können. Viele der kontaktlosen Karten besitzen nämlich ein Limit von 25 Euro (in der Schweiz 40 Franken). Soll ein größerer Betrag gezahlt werden, muss der Vorgang mit der Eingabe der PIN bestätigt werden. Technisch gesehen sind kontaktlose Karten, entgegen der Werbeaussagen, durchaus anfälliger für das Abgreifen von Bankzugangsdaten, als herkömmliche Zahlungsmethoden. So berichteten Forscher der Newcastle Universität in Großbritannien bereits im November 2014, dass sie eine Sicherheitslücke in den kontaktlosen Karten aushebeln konnten. Dabei ging es damals um ein Aushebeln einer Sicherheitsvorkehrung, die das Bezahlen ohne PIN auf einen Maximalbetrag beschränkte. Die Folge war, dass das Bezahlen ohne PIN durch den Angriff auf den Maximalbetrag ausgedehnt werden konnte und eine nichtautorisierte Zahlungsanweisung lanciert werden konnte. Durch den Angriff war es möglich, das in Großbritannien geltende Limit von 20 Pfund auszuhebeln und die Karte mit einer Fremdwährung in Beträgen von bis zu 999.999,99 Euro oder einer anderen Währung zu belasten. Dazu war es notwendig, dass der Täter im Vorbeigehen mit seinem eigenen Smartphone kurz die Tasche des Opfers anstößt, in der sich üblicherweise die Geldbörse mit der Kreditkarte befindet, um die Transaktion abzuschließen. Die Forscher stellten in Tests mit einer Visa-Karte fest, dass die nichtautorisierte Transaktion in weniger als einer Sekunde bestätigt wurde. Das Smartphone der Täter diente dabei als Terminal. Umgehend hielten die Emittenten der kontaktlosen Karten entgegen, dass das Abgreifen der Daten auf der Bezahlkarte allein noch nichts nützen würde, da angeblich oftmals noch eine Sicherheitsabfrage erforderlich sei, etwa die Prüfziffer auf der Kartenrückseite oder eine zusätzliche Kennwortabfrage (3-D-Secure-Verfahren) bzw. weil beim Bezahlen mit kontaktlosen Karten ein gesonderter dynamischer Sicherheitscode erzeugt werden würde.

Was ist zu den zusätzlichen Sicherheitsvorkehrungen zu sagen?

Technisch versierte Täter benötigen nur Programmierkenntnisse und ein Smartphone mit der entsprechenden App, um an die auf der Karte gespeicherten Daten, wie den Namen des Karteninhabers, die Kreditkartennummer, das Verfallsdatum und den Name der die Zahlungskarte emittierenden Bank zu gelangen. Einkaufen können Betrüger mit diesen Daten dann offenbar bei solchen Händlern im Internet, die keine Sicherheitsabfragen nutzen, etwa die Prüfziffer von der Kartenrückseite oder die keine zusätzliche Kennwortabfrage tätigen (3-D-Secure-Verfahren) bzw. bei denen beim Bezahlen mit kontaktlosen Karten ein gesonderter dynamischer Sicherheitscode erzeugt wird. Sie können dann in fremden Namen Ware bestellen.

Wie funktioniert das Abgreifen von Bankzugangsdaten technisch?

Genau wie das Kartenlesegerät besitzt auch das Smartphone die NFC-Technologie. Bei Aktivierung einer kostenlos erhältlichen App kann das Smartphone mit einer Antenne, die sich zum Beispiel auf dem Akku befindet, die Kreditkarte anfunken und die Daten abgreifen. Dies funktioniert entweder über eine sehr geringe Distanz, indem die Betrüger unbemerkt ihr Smartphone an das Portemonnaie mit der darin enthaltenen kontaktlosen Zahlungskarte halten oder mit einer bestimmten Technik. Auch wenn der dreistellige Sicherheitscode (CVC) nicht zu den Daten gehört, die abgegriffen werden können, profitieren die Betrüger. Viele Online-Shops verzichten nämlich auf diese zusätzliche Sicherheitsvorkehrung, sodass eine Bestellung dort die Eingabe eines solchen Codes gar nicht erfordert.

Was können die Kartennutzer tun, um Missbrauch vorzubeugen?

Karteninhaber der kontaktlosen Karten können das Abgreifen der Daten zumindest in einigen Konstellationen verhindern, indem sie die Karte in einer RFID-Schutzhülle aufbewahren. Diese unterbindet den Funkverkehr, indem sie den in der Karte enthaltenden Chip wirksam abschirmt, solange die Karte darin aufbewahrt wird. Ebenso effektiv ist das Einwickeln der kontaktlosen Karte in Alufolie. Spätestens beim Bezahlen wird der Kartennutzer die Karte jedoch wieder hervorholen müssen. Allerdings muss ein Täter meist sehr dicht an die kontaktlose Karte herankommen, da die Datenübertagung meist nur funktioniert, wenn die Täter auf wenige Zentimeter an die kontaktlose Karte herankommen. Das wäre beim Bezahlvorgang an der Kasse im Supermarkt oder an der Tankstelle sicherlich nur dann möglich bzw. am wahrscheinlichsten, wenn es den Täter gelingt, ähnlich wie bei den Skimming-Angriffen, das Bezahlterminal an der Kasse selbst zu manipulieren. Dass hat der Bankkunde keine Chance das Abgreifen von Daten zu verhindern, denn spätestens beim Bezahlvorgang muss er sich mittels seiner kontaktlosen Karten offenbaren.