Kreditkarte für Studenten

Neue Sicherheitslücken bei mindestens einer Million deutscher Kreditkarten

Donnerstag, 21. Juni 2012 um 12:55 Uhr

Nier field communicationDie neuerdings bei Kreditkarten eingesetzte Verschlüsselungstechnik NFC (Near Field Communication), die das berührungslose Auslesen von Daten ermöglicht, führt bei mindestens einer Million, vermutlich bei etlichen Millionen deutscher Kreditkarten zu einem massiven Sicherheitsrisiko. Das haben Journalisten des Bayerischen Rundfunks gemeinsam mit der Verbraucherzentrale des Bundeslandes Nordrhein-Westfalen recherchiert. Die Kartenbetreiber Visa und Mastercard weisen die Kritik zurück, doch das Verharmlosen könnte sich als Bumerang erweisen.

NFC als Nachfolger von RFID

Die Near Field Communication kann – pauschal erklärt – als ein Nachfolger von RFID gelten, jeder Funktechnologie, mit der schon seit den 1940er Jahren elektronische Geräte einander erkennen. Ursprünglich nur beim Militär eingesetzt, hat das Identifikationsverfahren per Funk seit Jahrzehnten die Industrie und den Alltag erobert. Mit RFID wurden im Zweiten Weltkrieg zum Beispiel auch auf große Entfernungen feindliche und eigene Panzer unterschieden, seit den 1950er Jahren setzten Transport- und Logistikfirmen die Funkchips ein. Inzwischen gehören sie zum Alltag etwa in Mautsystemen, Skipässen oder als Diebstahlsicherung in Kaufhäusern und Bibliotheken. Die „radio-frequency identification“ (RFID) ist heutzutage auch in Mikro-Anwendungen verfügbar, die Chips werden zum Beispiel Nutztieren unter die Haut implantiert. Ihr großer Vorteil und gleichzeitig einziger Nachteil sind die verwendeten Radiowellen: Diese verbreiten sich stets auch über große Entfernungen, wie schwach auch immer die Leistung eingestellt sein mag. Hier soll nun NFC Abhilfe schaffen, denn diese Nah-Kommunikation ist von vornherein so eingestellt, dass ab etwa vier bis fünf Zentimetern Entfernung Daten nicht mehr identifiziert werden können. Das wird vor allem über die Feldstärke der Energieübertragung und daneben durch bestimmte Frequenzbereiche realisiert. Die Betreiber von Smartphones wie Kreditkarten fanden die Idee bestechend und integrierten die Software in ihre Anwendungen, eine Normung nach ISO/IEC oder DIN steht indes aus. Auch wenn bislang eher darüber gemunkelt wurde, deutet sich spätestens seit der Diskussion um die Kreditkartensicherheit an: NFC ist möglicherweise nicht sicher genug.

NFC in Kreditkarten

Mit NFC können beispielsweise Smartphonebesitzer berührungslos eine U-Bahn-Fahrkarte oder ein Konzertticket buchen, Zugangskontrollen zu Sicherheitsbereichen wären unproblematischer möglich. Die meisten modernen Smartphones ab Ende 2011 sind daher mit NFC-Software ausgerüstet. Die Kreditkartenindustrie begann ebenfalls 2011 mit Tests und installierte ab Anfang 2012 Terminals im Einzelhandel, an denen eine NFC-bestückte Kreditkarte berührungslose Zahlvorgänge bis 20 Euro ausführen kann. Das klingt bequem und ist es auch, es soll allerdings nur der Anfang sein. Ein Testlauf wurde durch Sparkassen im Ruhrgebiet gestartet, dort sollen diese Kreditkarten auch am Geldautomaten berührungslos Bargeld zur Verfügung stellen. Inzwischen schlagen Verbraucherschützer und Journalisten Alarm, denn ein Smartphone mit NFC-Software kann eine Kreditkarte mit NFC-Chip auslesen – es muss nur nahe genug herangebracht werden. Das wäre im Gedränge von Geschäften, U-Bahnen oder auf der Straße ziemlich einfach. Die Daten könnten im Internet zum Bezahlen genutzt werden, in Deutschland wären inzwischen eine reichliche Million Nutzer betroffen. Weltweit hat der Betreiber Mastercard schon etwa 100 Millionen Kreditkarten mit der NFC-Technologie ausgerüstet. Die Betreiber spielen das Problem herunter und verweisen auf den juristischen Hintergrund: Wenn etwa ein Online-Shop nicht zusätzliche Sicherheitsabfragen zur Kartennummer starte, hafte er und nicht der Kunde für den Schaden. Karteninhaber dürfte diese laue Erklärung allerdings wenig beruhigen.

Auf einem You-Tube Video von Handy-mc wird mehr über die Near-field-communication erklärt: