„Die Sicherheit ist kein Problem des Kunden“

BVR Kontaktlose Kartenzahlung

Tap&Go: Kontaktlose Kartenzahlungen sind auf dem Vormarsch. (Foto: BVR)

Die gute alte EC-Karte (seit 2008: „Girocard“) erhält eine neue Fähigkeit: Sparkassen und die Volks- und Raiffeisenbanken rüsten neu ausgegebene Girocards mit der NFC-Technologie für kontaktloses Bezahlen an der Kasse aus. Nach und nach werden sämtliche Bankkarten der beiden Institutsgruppen berührungsfrei im Vorbeiwinken Bezahlen können. Die Deutsche Kreditwirtschaft (DK) hat sich auf einen gemeinsamen technischen Standard für das „Girocard kontaktlos“-Verfahren geeinigt.

Manche sagen, „wurde aber auch Zeit“ – angesichts der Verbreitung die kontaktlose Kartenzahlungen in anderen Ländern bereits genießen. Andere warnen vor angeblichen Sicherheitsrisiken der Nahfunktechnologie. Insbesondere in den Publikumsmedien geistern in letzter Zeit vermehrt Schauermärchen von en passant abgegriffenen Kartendaten herum (siehe nur hier oder hier oder hier).

Im Interview mit BargeldlosBlog räumt Matthias Hönisch, Head of Card Business Unit beim Bundesverband der Deutschen Volksbanken und Raiffeisenbanken (BVR), mit den Spukgeschichten rund um NFC-Karten auf und gibt Einblicke in die Kartenstrategie der Genossen.

Herr Hönisch,  die Volks- und Raiffeisenbanken geben bis Jahresende rund vier Millionen NFC-fähige Girocards heraus, bei den Sparkassen werden es zehn Millionen Karten sein. Können meine Kartendaten künftig per Funk in der U-Bahn abgegriffen und dann für beliebige Zahlungen im Internet oder an Ladenkassen missbraucht werden? 

Das ist schon deshalb sehr unwahrscheinlich, weil die Datenübertragung nur über rund 4 cm funktioniert – ohne dass ein Portemonnaie, eine Jacke oder eine Tasche dazwischen wäre.

Aber es gibt doch auch Antennen, die größere Funkstrecken überwinden können…

Matthias Hönisch

Matthias Hönisch, Head of Card Business Unit BVR. Der Payment-Experte twittert unter @m_hoenisch.

Die gibt es. Die sind aber recht groß und ziemlich unhandlich. Schwer vorstellbar, damit unbeobachtet in der U-Bahn herumzuhantieren. Wir reden also eher über ein theoretisches Angriffsszenario  und Laborbedingungen, in denen Daten per Funk ausgelesen werden können. Viel entscheidender ist aber, dass Kriminelle mit den abgegriffenen Daten nicht viel anfangen können. Aus einer Girocard kann allenfalls die Kontoverbindung ausgelesen werden, damit können sie lediglich eine Lastschrift veranlassen, die bekanntermaßen noch sechs Wochen bzw. in diesem Fall sogar noch 13 Monate später zurückgerufen werden kann. Die Haftung liegt aber ohnehin bei der Bank. Selbst wenn also Kartendaten unbemerkt abgegriffen werden sollten, der Kunde hat kein Problem. Und generell gilt: Jede Kartenzahlung ist deutlich sicherer als Bargeld, da der Händler nicht Gefahr läuft Falschgeld anzunehmen. Und der Kunde mit weniger Bargeld ein geringeres Diebstahlrisiko hat.

Wenn der Täter aber mit einem Kartenterminal durch die U-Bahn ziehen würde? Also unmittelbar gefakte Transaktionen durchführen würde?

Das müsste ein von der DK zertifiziertes Terminal sein, das bei einem zugelassenen EC-Cash-Netzbetreiber angemeldet ist. Das würde sehr schnell auffallen und abgeklemmt. Und auch in so einem höchst unwahrscheinlichen Fall hätte nicht der Kunde das Problem, sondern die kartenausgebende Bank.

Wie sieht das Sicherheitsthema bei kontaktlosen Kreditkarten aus?

Von Kreditkarten kann die sogenannte PAN ausgelesen werden. Auch damit können Unbefugte Dank Prüfnummer (CVC) sowie Sicherheitsverfahren wie 3D-Secure und Verified by Visa nicht viel anfangen. Und auch hier gilt: Der Kunde bleibt nicht auf etwaigen betrügerischen Transaktionen sitzen.

Aber es wäre bei Kreditkarten doch denkbar, dass meine Karte auf ein gekapertes NFC-Terminal aus irgendeinem Land dieser Erde trifft?

Die Gefahr eines gehijakten Terminals aus Singapur ist theoretisch größer als bei einem Girocard-Terminal. Es wird eventuell etwas länger dauern, bis Sicherheitsroutinen greifen und das Gerät auffällt. Das ist einer der Vorteile eines regionalen Kartenverfahrens, die bessere Sicherheitsinfrastruktur. Aus Kundensicht gilt aber auch bei den internationalen Kreditkarten: Ein Problem mit NFC-Transaktionen ist nie das Thema des Karteninhabers. Etwaige Betrugsschäden tragen die Banken und die kümmern sich daher auch von vornherein um die Risikobegrenzung.

Europol zählt die NFC-Technologie in einem aktuellen Report zu den acht „Cybercrime Trends“. Das lässt Sie unbeeindruckt?

Girocard kontaktlos

Alle wollen bei „Girocard kontaktlos“ dabei sein: Pilothändler Hans-Richard Schneeweiß, Geschäftsführer der Edeka Hessenring (2.v.l.) umgeben von Volksbänkern. (Foto: BVR)

Wir haben mit BKA- und Europol-Experten gesprochen und unsere Sicherheitsmechanismen erläutert. Ich hatte den Eindruck, dass wir etwaige Bedenken ausräumen konnten. Das Girocard-System bietet weniger Angriffsfläche als die internationalen Kartenschemes, da mit der PAN der girocard nicht im eCommerce einkaufen kann. Europol hat den gesamten europäischen und globalen Markt im Blick, dort kann man derzeit mit der PAN noch viel Unfug treiben. Mit Inkrafttreten der PSD2 (Anmerk. d. Red.: der novellierten Zahlungsdiensterichtlinie) wird sich das in Europa jedoch ändern. Dann sind Kreditkartentransaktionen nur noch mit der sogenannten Zwei-Faktor-Authentikation möglich. „One-Click-Payment“ ist damit grundsätzlich Geschichte.

Wie unterscheidet sich „Girocard kontaktlos“ von Mastercard Paypass? Der Pilot in Kassel lief doch auf einem Paypass-Kernel und wird derzeit bundesweit ausgerollt, oder nicht?

Nicht ganz. Die Deutsche Kreditwirtschaft (DK) hat ein auf internationalen Standards basierendes contactless-Verfahren entwickelt, mit offline PIN-Prüfungen und der Möglichkeit, Risikoparameter vom Terminal zurück auf die Karten kontaktlos zu schreiben. Ziel war es – ganz im Sinne des Handels – Transaktionen schnell und kostengünstig abzuwickeln und nicht immer online autorisieren zu müssen. Weil einige Terminalhersteller den Girocard-Kernel aber nicht zeitnah zur Verfügung stellen können, hat die DK entschieden, Girocard kontaktlos für eine Übergangszeit über die Mastercard-Technologie und Paypass-fähige Terminals laufen zu lassen. Händler können also bereits jetzt bundesweit kontaktlose Zahlungen mit Girocard akzeptieren. Dazu müssen die Netzbetreiber lediglich über ihr Terminalmanagement die kontaktlos-Parameter in die Terminals des Handels laden.

Und wann kommt der finale Girocard-Kernel in die Terminals?

Einige Hersteller haben ihn bereits implementiert, andere werden spätestens im Sommer 2017 nachziehen. Wichtig ist, dass die Karten auf- und abwärtskompatibel sind. Eine Karte aus der Pilotregion Kassel ist also künftig in Hamburg kontaktlos einsetzbar und die neuen NFC-Karten mit Seccos 7-Chip können auch in der Pilotregion eingesetzt werden. Mittelfristig wird sich zeigen, ob Mastercard sich nicht auch auf die Girocard-Systematik zu eigen macht. Auch für die Schemes sind online Transaktionen kostspielig und sie sind vergleichsweise langsam.

Warum setzten die deutschen Banken überhaupt auf das kontaktlose Bezahlen?

NFC-Transaktion Hannover (Foto: Hanno Bender)

NFC: Noch stößt die Nahfunk-Technolgie auf Skepsis oder  Verwunderung. (Foto: Hanno Bender)

Weil es für die Kunden eine besonders bequeme und schnelle Art des Bezahlens ist und wir Banken uns künftig verstärkt gegen Konkurrenzangebote behaupten müssen. Wir wollen das Thema „kontaktlos“ ausweiten, auch, um den Weg zu „Girocard mobil“ und Wearables zu ebnen.

Wie sehen die Rollout-Pläne für die Girocard kontaktlos bei den Volks- und Raiffeisenbanken konkret aus?

Mehr als 75 Prozent der Volksbanken und Raiffeisenbanken haben sich bereits in diesem Jahr bewusst entschieden, neue Karten mit der NFC-Technologie auszustatten, um gut vorbereitet zu sein. Zwischen 4 und 4,5 Millionen Girocards werden die genossenschaftlichen Institute bis Jahresende herausgeben. 2017 planen wir mit circa 9 Mio. zusätzlichen Karten als Standardprodukt auszugeben. Im Jahr 2018 werden DK-weit 75 Mio. Girocards NFC-fähig sein. Aktuell sind die Regionen Baden-Württemberg, Hessen, Rheinland-Pfalz und NRW sehr aktiv. Bei den Sparkassen dürfte die räumliche Verteilung ähnlich gelagert sein.

Was ist, wenn ein Bankkunde die Funktechnik partout nicht auf der Karte haben will?

Dann kann er die NFC-Funktion deaktivieren oder wieder aktivieren; das gilt für die girocard und die Kreditkarte. Voraussichtlich ab November 2016 werden wir die Ab- und Anschaltung an unseren Geldautomaten institutsübergreifend anbieten.

Und was, wenn der Kunde die Girocard verliert?

Bei Kartenverlust sollte der Bankkunde umgehend die zentrale Sperrnummer 116 116 anrufen. Bei rechtzeitiger Sperre haftet der Kunde nicht für eventuelle Schäden.

Herr Hönisch, vielen Dank für das Gespräch!

 

2015-05-26 18.55.58

Aldi & andere Händler: sind längst NFC-ready. (Foto. H. Bender)

Als Leseempfehlung zum Thema sei noch auf den Beitrag „Girocard kontaktlos startet bundesweit“ aus der Lebensmittel Zeitung verwiesen. Dort bestätigt Aldi Nord erstmals konkrete Pläne zur Akzeptanz der kontaktlosen Girocard („derzeit Abstimmungen mit Partnern und Institutionen“).

Wie der BVR gegenüber BargeldlosBlog bestätigt ist man mit „allen großen Händlern und insbesondere den Discountern im Gespräch“ – mit „sehr positives Feedback“. Noch 2016 wird mit der Freischaltung bei den ersten Filialisten gerechnet.

Flattr this!

14 Gedanken zu „„Die Sicherheit ist kein Problem des Kunden“

  1. Hallo Herr Bender,

    Ich wiederhole nochmal das, was ich unter einem anderen Eintrag, der schon etwas älter ist, geschrieben habe in der Hoffnung, dass dies hier eher gelesen wird:
    Für den hypothetischen Fall, dass ein Dieb die Kreditkartendaten im vorbeigehen ausliest: Er kann damit zwar keine Beträge über 25 Euro bezahlen. Was hält den Dieb davon ab, die Daten auf ein nfc tag zu schreiben und dann damit bis 25€ einzukaufen? Je nach Bank geht das mehrmals mit derselben Summe. Gibt es dagegen eine Schutzmaßnahme, die dies verhindert?

    Mir ist bewusst, dass dieser Fall auch von der Bank abgedeckt ist und das dieser Fall sich glaube ich nicht für Diebe lohnt, die das professionell machen wollen. Immerhin müssten sie die gekaufte Ware ja dann wiederum verkaufen um daraus letztlich Geld zu machen. Ziemlich umständlich um das massenhaft zu betreiben.
    Dennoch ist dies immer die gefühlte letzte Argumentation von Leuten, die diese Technik partout als unsicher einstufen wollen, auch wenn sie eigentlich keinen Plan haben, was sie da gerade von sich geben. Immerhin bedeutet dieser Fall ja auch Aufwand. Man muss ja dann die Bank anrufen und „hoffen“, dass diese den Betrug anerkennt und einem das Geld zurückbucht.

    Ich würde über eine Antwort diesbezüglich sehr freuen.

    Vielen Dank.

    • In der Karte ist auch bei kontaktlos ein Chip am Werk, weswegen solch ein Angriffsvektor mit europäischen Karten von Visa/MC nicht geht.

      Bei der girocard könnte es eventuell gehen, wenn die Händler wie geplant kontaktloses ELV anbieten.

      • Vielen Dank für die Antwort. Das habe ich die ganze zeit vermutet. Ich würde mich gerne selber noch genauer danach erkundigen.

        Wie heißt denn dieser Chip? Und ist das derselbe, der auch bei einer Zahlung mit einstecken der Karte in das Terminal zum Einsatz kommt?

        • Es handelt sich um einen Chip nach dem EMV-Standard, der auch bei Bezahlung mit gesteckter Karte zum Einsatz kommt. Dieser Chip enthält eine eigene Recheneinheit und kann dadurch kryptographische Funktionen bereitstellen, die ein kopieren der Karte verhindern.

          • Alles klar. Vielen Dank. Das scheint meine Frage nun endlich erschöpfend zu beantworten.

            Bin ja mal gespannt, was zurückkommt, wenn ich frage, ob der Kassierer sich denn so genau mit dem EMV-Standard auseinander gesetzt hat, und ob er denn eine Möglichkeit kenne, den Zufallszahlgenerator des Chips zu umgehen :-).

            Dann kommt sowas wie: Ja das weiß ich nicht. Aber im Internet steht, das ist unsicher XDDD.

  2. >Bei Kartenverlust sollte der Bankkunde umgehend die zentrale Sperrnummer 116 116 anrufen. Bei rechtzeitiger Sperre haftet der Kunde nicht für eventuelle Schäden.

    Da wurde natürlich der Verweis auf KUNO vergessen, denn ein unehrlicher Finder kann weiter fröhlich mit ELV und zukünftig eventuell sogar ELV kontaktlos einkaufen und der Kunde darf sich mit Inkassobüros rumschlagen.

    Eine viel wichtigere Frage wäre auch, wieso man überhaupt das Rad neu erfindet. Ein VR-Bank-Kunde kann jetzt nicht rüber in die Niederlande fahren oder nach Polen und dort entspannt kontaktlos zahlen, sondern muss stecken. Und auch an den vorhandenen Terminals im deutschen EInzelhandel kann derzeit noch nicht gezahlt werden.

    Wäre Maestro PayPass/VPAy PayWave oder gleich Visa Debit/MasterCard Debit nicht die viel bessere Lösung gewesen? Auch Mobile Payment hätte man da schon vor Jahren implementieren können, während man mit girocard kontaktlos noch lange die Trends verschläft und den Kunden mit ELV kontaktlos beglückt.

    • An das Problem im Ausland habe ich noch garnicht gedacht. Aber klar, die Karten der Volksbanken haben zwar ein Co-Branding mit V-Pay, aber mit V-Pay Paywave.

      Außerdem weigern sich die meisten Volksbanken und Sparkassen immer noch, kontaktlose Kreditkarten auszugeben.

      Einem normalen deutschen Bankkunden werden so viele Steine in den Weg gelegt. Kontaktlose Kreditkarten gibt es nur bei den Privatbanken, Debitkarten Stand heute praktisch überhaupt nicht und an Apple Pay soll man garnicht denken.

      Wer den Rückstand nicht unterstützen möchte, muss diesen Banken aktiv und mit etwas zeitlichem Aufwand die rote Karte zeigen und zum Beispiel zu N26 oder Fidor wechseln.

  3. Pingback: Girocard kontaktlos - Seite 39

  4. Ich stimme zwar zu, dass die Sicherheitsbedenken oft übertrieben dargestellt werden. Gleichzeitig entsteht bei mir der Eindruck, dass Herr Hönisch diese schönredet. Wenn ein Angreifer meine Bankverbindung kennt, könnte er damit bei Amazon einkaufen und per Lastschrift zahlen. Natürlich kann ich dann die Lastschrift zurückbuchen. Doch wird das sicher zu Scherereien mit Amazon führen. Eventuell ließe Amazon mich in Zukunft dann nicht mehr per Lastschrift zahlen. Oder übersehe ich hier etwas?

  5. Es erstaunt mich doch, dass die Girocard kontaktlos zu großen Teilen mit PayPass von Mastercard kompatibel ist bzw. darauf aufbaut.

    Was bedeutet das eigentlich? Ich drücke es jetzt übertrieben aus! Die DK kopiert PayPass, druckt ein anderes Logo auf die Karten und ändert die Treiber auf den Terminals soweit, dass die Systeme dann doch nicht mehr zueinander kompatibel sind. Na herzlichen Glückwunsch!

    Ich habe gerade gestern ein Konto bei der Fidor-Bank eröffnet. Dort bekomme ich eine sogenannte Smartcard, eine Kombination aus Mastercard, Maestro und PayPass. Das wichtigste für mich: Es gibt kein Co-Branding mit der Girocard.

    Bereits heute zahle ich fast ausschließlich mit der Kreditkarte. Nur wenn ich doch mal einen Döner essen möchte, muss ich die Girocard nehmen. Das ist jetzt auch vorbei, ich zahle in Zukunft mit der Maestro von Fidor.

    Die Girocard ist zu großen Teilen für den Rückstand in Sachen Mobile Payment in Deutschland verantwortlich. Mastercard und Visa geben in anderen Ländern schon lange kontaktlose Kredit- und Debitkarten aus und integrieren diese in Apple Pay und andere Mobile Wallets. Weil die DK unbedingt ein eigenes Verfahren haben möchte, behindert sie direkt und indirekt den Fortschritt. Nein, das unterstütze ich nicht!

  6. Also doch die offline-Pin-Prüfung mit Doppel-Tap?

    Sehr toll, damit wird dann das kontaktlose Bezahlen langsamer statt schneller, denn ein zweiter Tap dauert definitiv länger als eine online-Pin-Prüfung.

    Auch die Aussage, dass die online-Autorisierung teuer ist, ist selten dämlich, schließlich leben wir nicht mehr in den 90ern.

  7. Girocard is einfach nur altbacken und rückständig… ein Hindernis für MobilePayment mit z.B. dem Smartphone… Das wird es mir dem GiroCard System kaum zeitnah geben.

    Gut das sich mittlerweile viele Händler gegenüber vPay und Maestro geöffnet haben und oftmals mittlerweile Kreditkarte akzeptieren.

    Am Ende heult die Kreditwirtschaft wieder rum wenn Apple & Google den Markt irgendwann übernommen haben….
    Das es für Smartphone Payment keine Bank benötigt zeigt die App SEQR auf Android, die emuliert einfach eine Mastercard und die Bezahlung funktioniert hervorragend überall da wo MasterCard Kontaktlos akzeptiert wird.
    Wenn Google & Apple schlau sind und sich mit den Banken nicht einigen, wird es denke ich früher oder später auf ein Ähnliches System ohne Bankenbeteiligung hinauslaufen.

  8. Es ist definitiv angebracht mal anzumerken das Kontodaten, also IBAN und BIC, keine geheimen Daten sind. Die meisten Unternehmen veröffentlichen die auf ihrem Briefpapier und das ist schon seit Jahrzehnten ausreichend um eine Lastschrift gegen diese Daten auszuführen. Kein Kontonummernkreis der deutschen Banken ist außerdem schwer zu erraten, so einfach sogar, dass es Softwaremodule gibt, die für Kontonummern von Banken eine „Glaubwürdigkeitsprüfung“ machen können. Die Diskussion um das Auslesen der Kontodaten ist daher aus meiner Sicht idiotisch, denn die Sicherheit kommt aus der Prüfung der eingereichten Lastschrift, der angeschlossenen Händler und der Risikoverteilung zwischen den Marktteilnehmern, nicht aus der Geheimhaltung der Kontodaten.

    Um die Sicherheit von EMV ist es bei manchen Implementierungen auch nicht gut bestellt, man denke an die Mehrfachnutzung der im Protokoll enthaltenen Nonces oder die Verwendung von nicht-zufälligen Zahlen wo eigentlich Zufallszahlen reingehören. Das ist aber kein guter Angriffsvektor für massenhafte Angriffe, weil nicht zuverlässig genug ausnutzbar.

    Was bedenklich ist, ist die Frage ob die oben genannten Implementierungsschwächen ausreichend sind um kontaktlos Offline-Zahlungen auszuführen, die für die Bank so aussehen als ob der Kunde sie mit PIN authorisiert hat. Dort steht die Antwort aus und die bekannte Softwarequalität der Terminalbetreiber lässt hier nichts gutes vermuten. Gleichzeitig zeigen aber die Erfahrungen das der Missbrauch von Chip+Pin Zahlungen im Vergleich zu Phishing gering ist (wo die Banken mit ebenso beunruhigend schlechter Softwarequalität deutlich mehr Angriffsfläche bieten da die Lücken über das Internet ausgenutzt werden können, siehe z.B. die gerade veröffentlichten Scheunentor-Lücken bei N26 durch fehlendes Zertifikats-pinning).

    Lange Rede, kurzer Sinn: Die Diskussion um die Sicherheit von NFC ist unsinnig und lenkt aus meiner Sicht von den für den Handel wichtigeren Usability-Fragen ab.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.