KOMMENTAR/ RANT3. Januar 2018

Per NFC Karten über 3 Meter auslesen? Das wirkliche Risiko bei kontaktlos-Karten ist technisches Halbwissen

Rudolf LinsenbarthRudolf Linsenbarth

In den verschiedensten Medien ist eine Initiative des Weißen Ring aufgenommen worden. In diesem Zusammenhang wird behauptet, das Auslesen von kontaktlosen Bankkarten aus 3 Metern Entfernung wäre per NFC Smartphone mittels App möglich. Stimmt das und gibt es neue Gefahren und Risiken mit den neuen kontaktlosen Karten von AMEX, Mastercard, VISA und der girocard der Deutschen Kreditwirtschaft?

von Rudolf Linsenbarth

Unbemerktes Auslesen der kontaktlosen Karte (z.B. per NFC-Smartphone-App)

Zunächst einmal ist NFC eine drahtlose Technologie auf Induktionsbasis. Das Smartphone als Initiator baut dazu ein elektromagnetisches Feld auf. Die Karte als Target selber funkt nicht aktiv, sondern verändert die Amplitude des Feldes. Diese Amplitudenänderungen liest der Initiator aus und bekommt somit seine Informationen vom Target. Die Frequenz dieses elektromagnetischen Feldes liegt bei 13,56 MHz, die spezifizierte Reichweite eines solchen Feldes ist 10 cm. Diesen Wert unterschreiten die meisten Lesegeräte deutlich. Bei einem Kartenterminal an der Kasse liegt er unter 4 cm. Das lässt sich ausprobieren, indem man bei einem kontaktlosen Zahlvorgang die Karte langsam nähert ,bis es Piep macht. Ein Smartphone dagegen schafft in der Regel nicht mehr als 2 cm.

Oder anders formuliert: Wer es schafft, mit einem Smartphone ein solches Feld zu erzeugen, das 3 Meter reicht, ist der nächste Anwärter für den Physik-Nobelpreis.”

Die NFC-Reicherweite ist etwa zwei Zentimeter
Mehr als zwei Zentimeter kann kaum ein NFC-Smartphone überbrücken (unter guten Bedingungen)Wincor Nixdorf

Auch das kann jedermann selber ausprobieren. Die dazu notwendige App heißt Scheckkartenleser und steht bei Google Play zum Download. Wer die App installiert, wird feststellen, dass es zwar möglich ist, eine Karte direkt an das Smartphone zu halten und dann Daten, die auch auf der Karte bereits ausgedruckt sind, kontaktlos auszulesen. Sobald aber die Karte im Geldbeutel steckt, wird es schon deutlich schwieriger. Das Metall der dort befindlichen Münzen oder eine andere kontaktlose Karte, wie zum Beispiel der neue Personalausweis, machen die Kommunikation mit Smartphone nahezu unmöglich, selbst wenn man das Smartphone direkt auf den Geldbeutel legt.

Es dürfte also wesentlich leichter sein, die Karte zu stehlen, dann muss man die Karte aber nicht mehr kontaktlos auslesen!”

Eine NFC-Transaktion muss über einen Betreiber laufen – anonym geht das nicht.fotokita/bigstock.com

Natürlich ist der „bessere“ Schutz, die Karte vorher in Alufolie einzuwickeln. Noch sicherer wäre es, die Karte gleich zu Hause zu lassen. Dann ist sie auch sicher vor Taschendieben (Ironie off!).

Unbemerktes Abbuchen?

Hartnäckig hält sich die Mär, dass es möglich wäre, unbemerkte Abbuchungen vorzunehmen. Was ist daran? Um von einer kontaktlosen Karte etwas abzubuchen, benötigt man ein zertifiziertes Zahlungsterminal mit Verbindung zu einem Zahlungsdienstleister. Damit ist man bekannt und nicht mehr in der Anonymität. Alle Transaktionen sind nachvollziehbar, betrügerische Versuche werden umgehend zurück abgewickelt. Der Aufwand aus Sicht des Betrügers steht auch in keinem Verhältnis zum möglichen Ertrag!

Was passiert bei Verlust oder Diebstahl der Karte

Hier sagen die Banken, dass sie das Risiko übernehmen. Natürlich mit der Einschränkung, das der Kunde nicht grob fahrlässig handelt. Aber auch dann ist das Risiko gedeckelt.

Mit der PSD2 sind die Banken verpflichtet, auch bei kleinen Beträgen in gewissen Abständen eine PIN abzufragen.”

Rudolf Linsenbarth
Rudolf LinsenbarthRudolf Linsenbarth beschäftigt sich mit Mobile Payment, NFC, Kunden­bindung und Digitaler Identität. Er ist seit über 15 Jahren in den Bereichen Banken, Consulting, IT und Handel tätig. Linsenbarth ist profilierter Blogger der Finanzszene und kom­men­tiert bei Twitter unter @holimuk die aktuellen Ent­wick­lungen. Alle Beiträge schreibt Rudolf Linsenbarth im eigenen Namen.
Die Schwellwerte sind nach 5 Transaktionen oder bei Erreichen von 150 € kumuliert je nachdem, welche Schwelle zuerst erreicht wird. Zudem ist es nicht gestattet, eine einzelne Transaktion über 50 € ohne PIN zu autorisieren.

Verschwörungstheorie im Eigenbau: “Kontaktlose Transaktion auf 3 Meter mit 51 Euro”

Nicht jedes Thema lässt sich auf Twitter-Länge erklären. Leider ist selbst bei über 99 % der Bankmitarbeiter das Wissen in diesem Bereich unterhalb dessen, was dieser Artikel hier vermittelt.

Die alte Banken Einfach-Kommunikationsstrategie, den Kunden einzulullen, statt technische richtige Antworten zu geben, versagt hier total!”Rudolf Linsenbarth

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert