NFC ist schon ok

SicherheitsGeldbörse

„Secure Wallet“: Mit NFC-Schutzhülle gegen böse Geister.

Haben Sie Angst vor NFC-Karten? Vor dieser Nahfunktechnik mit der Kartenzahlungen kontaktlos vonstatten gehen können? Fürchten Sie sich vor Kriminellen, die die Daten Ihrer Karte im Vorbeigehen, in der überfüllten U-Bahn oder beim Bäcker in der Schlange unbemerkt per Funk abgreifen und anschießend Ihr Konto leer räumen?

Dann sollten Sie Weiterlesen…

Das berührungslose Bezahlen wird sich in den nächsten Monaten und Jahren vermutlich auf breiter Front durchsetzen – sei es per Karte, sei es per Smartphone. Die neuen Kartenterminals haben die NFC-Funktionalität in der Regel „on board“, der Handel will das schnelle Bezahlen haben (siehe nur Aldi), die Karten kommen verstärkt in Umlauf und selbst das iPhone kann nun endlich NFC.

Deshalb hier ein kleiner Beitrag, der sich mit der Sicherheit der Near Field Communication-Technologie (NFC) bei Kreditkarten aus Kunden- und Händlersicht befasst und eher an verunsicherte Endverbraucher gerichtet ist. Er soll die Angst vor angeblichen Sicherheitslücken oder neuen Betrugsmöglichkeiten nehmen.

Dem Kunden kann es nämlich „piep“ egal sein, ob seine Karte NFC-fähg ist oder nicht. Niemand muss seine Kreditkarte künftig mit Aluminiumfolie umhüllen, „RFID Secure Wallets“ bei Tchibo kaufen oder den Magnetstreifen zerkratzen. Letzteres wurde ernsthaft empfohlen, als die Kartenorganisationen 1789 vom Ritsch-Ratsch-Verfahren mit den hochgeprägten Kartennummern als Auslesemedium auf „moderne“ Magnetstreifen wechselten. Heute sind wir inzwischen beim EMV-Chip.

Es gelten die gleichen Regeln

„Für NFC-Zahlungen gelten die gleichen Regeln, wie für jede andere Kreditkartenzahlung auch. Über welches Medium die Karte genutzt wird, ist gleichgültig. Es handelt sich immer um eine Visa-Zahlung“, erläutert Visa-Manager Volker Koppe gegenüber BargeldlosBlog. Für die Konkurrenz von Mastercard und Amex gilt diesbezüglich nichts anderes.

Das heißt: Wenn der Karteninhaber auf der Kreditkartenabrechnung eine Zahlung entdeckt, die er nicht veranlasst hat, dann reklamiert er diese bei seiner Bank, füllt ein entsprechendes Formular mit der Begründung der Beanstandung aus und fertig ist die Kiste aus Sicht des Kunden. Den Schaden trägt entweder die kartenausgebende Bank (Issuer), der Händler, wenn er sich nicht an die Regeln gehalten hat oder der Akzeptanzvertragsvermittler (Acquirer), wenn der Händler über die Wupper oder über alle Berge gegangen ist.

Kein Nachweis für eine Zahlungsautorisierung

Im Falle einer kontaktlosen Zahlung hat die Bank nicht mal eine Unterschrift auf dem Kassenbeleg oder eine PIN-Eingabe im System mit der sie die Autorisierung der Zahlung durch den Karteninhaber beweisen könnte.

Mit NFC-Kreditkarten kann deshalb in der Regel nur dreimal „getapt“ werden ohne, dass eine PIN-Eingabe nötig ist. Dann – so legen es die Banken auf den EMV-Chip fest – muss die Karte per PIN-Eingabe wieder für weitere kontaktlose Zahlungen autorisiert werden. Das Limit für die berührungslose Zahlung beträgt 25 Euro. 3 x 25 Euro, das Risiko liegt für die Issuer offenbar im vertretbaren Rahmen. Manche Bank, die Postbank etwa, erlaubt ihren Kunden auch individuelle, strengere Regeln festzulegen, für die gefühlte Sicherheit. Für ihren Business Case ist das nicht eigentlich notwendig.

„Wir registrieren keine erhöhten Betrugszahlen im Bereich der kontaktlosen Zahlungen“ , erläutert Volker Koppe, der bei der Kreditkartenorganisation den griffigen Titel „Go to Market Lead Mobile Central Europe – Digital Mobile Proposition bei Visa Europe“ trägt. Die Betrugszahlen zeigen laut Koppe, dass das kontaktlose Bezahlen für Verbraucher genauso sicher ist wie das normale Chip-und-PIN-Verfahren.

NFC ist für die OK uninteressant

Für professionelle Betrüger ist die NFC-Technologie uninteressant. Branchenkenner sprechen von „Gelegenheits-Fraud“, der deutlich unter dem Schnitt liege. Der Anreiz für Profis ist viel zu gering. Anders gesagt: Für 75 Euro pro Karte klappt in der Organisierten Kriminalität niemand seinen Laptop auf. Die wirklich schweren Jungs bzw. „Techniker“ manipulieren lieber die Kartenterminals schon bei der Herstellung in Asien oder fischen Millionen von Kreditkartendaten aus dem Inter-Netz ab. Allenfalls Wissenschaftler sehen eine Profilierungschance im Aufdecken von angeblichen Sicherheitslücken bei der NFC-Technik. Die sind dann aber sicher kein Problem für den Kunden und kommen eher unter Laborbedingungen zum Tragen.

Auch Händler brauchen sich um die NFC-Sicherheit im Übrigen keinen Kopf zu machen. Für sie ist die Zahlungseingang bei Kreditkarten ohnehin garantiert.

Fazit: Es ist gefährlicher, die Kreditkarte einem Kellner oder Hotelmitarbeiter in die Hand zu geben, als eine NFC-fähige Karte zu besitzen oder einzusetzen. Selbiger könnte sich die Kartendaten samt Sicherheitsnummer (CVC2) von der Rückseite abschreiben und damit im Internet einkaufen gehen, soweit kein „Verified by Visa“ oder „Mastercard 3D Secure“ ihn davon abhält. Auch dann haftet freilich nicht der Karteninhaber, sondern im Zweifel der Händler, wenn er diese Sicherheitsfeatures nicht implementiert hat. Und falls mit der NFC-Karte doch einmal etwas passiert, übernimmt die Bank den Schaden. Denn sie hat nichts gegen den Karteninhaber in der Hand. Bange machen gilt also nicht.

BTW: Die EU hat bereits im Jahr 2009 vorgeschrieben, dass das Haftungslimit für Karteninhaber generell maximal 150 Euro betragen darf. Also don´t panic und immer ein Handtuch mit sich führen.

Update 24.9.2016: Inzwischen kommen Girocards (früher „EC-Karte“) verstärkt mit der kontaktlos Funktion in Umlauf. Sparkassen und Volks- und Raiffeisenbanken wollen alle Debitkarten nach und nach mit per NFC-Funktion ausrüsten. 14 Mio. Stück allein noch bis zum Jahresende (DSGV: 10 Mio.; BVR: 4 Mio.).

Kunden werden die NFC-Funktion künftig sowohl bei den SparkassenCards als auch bei den Karten der Volks- und Raiffeisenbanken am Geldautomat dauerhaft deaktivieren. Das bestätigten mit dem Thema vertraute Banker gegenüber BargeldlosBlog. Der Seccos 7 Chip, das Betriebssystem der neuen Girocards, macht es möglich. Die im sogenannten Düsseldorfer Kreis organisierten Landesdatenschutzbeauftragten haben wohl auf dieser Lösung bestanden bzw. die Deaktivierungsmöglichkeit angeregt.

Und hier und hier lustige Aufklärungsfilme zur NFC-Gefahr mit dem wertvollen Nutzwerttipp, die Kreditkarten einfach in Alufolie einzupacken. Das ist knallharter Enthüllungsjournalismus, der dahin geht, wo es weh tut. 🙂 German Angst. Mir ist nicht bekannt, dass es ähnliche Diskussionen um die Gefahr von NFC-Karten auch in anderen Ländern gebe, in denen das berührungslose Bezahlen mit der Karte schon weiter verbreitet ist.

Verehrte Investigativjournalisten, glaubt denn jemand ernsthaft, dass Banken und Kreditkartengesellschaften (Mastercard, Visa und Amex) massenweise NFC-Karten auf den Markt bringen würden, wenn es damit ein ernsthaftes Sicherheitsproblem gäbe? Kann man außer selbsternannten IT-Sicherheitsexperten auch mal jemand fragen, der sich professionell mit Kartenbetrug befassen muss oder einen Kartenherausgeber zu Wort kommen lassen? Nur mal so eine Idee für einen neuen Dreh in der Geschichte, die ja nun schon etwas länger erzählt wird. Klar, die Öffentlichkeitsarbeit der Kartenindustrie hat auch in dieser Sache mal wieder Optimierungspotenzial.

19 Gedanken zu „NFC ist schon ok

  1. Pingback: Paypass - Paywave - Seite 44

  2. Es gibt gewisse Händler (manche Kioske an Bahnhöfen und Flughäfen), die haben Kontaktlosterminals, aber hinter dem Tresen. Man soll/muss ihnen die Karte geben, der Verkäufer hält sie dann vor.

    Ich halte das nicht für unproblematisch, da der Verkäufer ja auch aus Versehen z.B. einen höheren Betrag eingeben könnte, etwa 25,00 statt 2,50. Kombiniert mit der Tatsache, dass man z.B. für eine Flasche Cola und eine Zeitung auch oft keinen Kassenzettel verlangt, hat man sich erst mal mit der eigenen Bank zu zoffen.

    • Vielen Dank für den Hinweis. Zwei Anmerkungen dazu: Der Kassierer hätte doch nur etwas von diesem Betrug, wenn er selbst der Ladeninhaber ist. Er kann den so erlangten bargeldlosen Betrag ja nicht einfach aus der Kasse entnehmen. Die Transaktion ist im Kassensystem als Buchgeld hinterlegt. Wo gibt es heute noch inhabergeführte Kioske?

      Zudem ist es doch eher unüblich, dass der NFC-Reader bzw. das Kartenterminal nicht zum Kunden gerichtet ist. Selbst Aldi, Rewe & Co. haben ihre Kunden in den letzten Jahren dazu erzogen, das Kartenterminal selbst zu bedienen. Früher übernahm das Kassenpersonal das Einstecken der Karte.

      Dennoch sollte man in solchen Situationen vielleicht aufpassen. Mir ging es mit dem Beitrag in erster Linie darum klarzustellen, dass nicht der Kunde, sondern die Bank am Ende das Problem hat, wenn es zu ungeklärten Transaktionen kommen sollte. Viele Presseartikel zu angeblichen oder tatsächlichen NFC-Sicherheitlücken erwecken meines Erachtens den Eindruck, der Kunde laufe Gefahr, auf dem Schaden sitzen zu bleiben.

      Die Kreditkartenabrechnung sollte man ohnehin immer nach seltsamen Transaktionen überprüfen. Wenn bei einem Kiosk 25 Euro für eine NFC-Transaktion abgerechnet wurden, soll mir meine Bank erstmal beweisen, dass ich die autorisiert habe.

      BTW: In den UK haben die Banken das Limit für NFC-Transaktionen übrigens zum 1. September von 20 auf 30 Pfund erhöht (siehe UK Cards Assosiation). Das kontaktlose Zahlen scheint also nicht so betrugsanfällig zu sein. 30 Pfund sind weit höher als der Durchschnittsbon im deutschen Lebensmittelhandel, der liegt so bei 22 – 24 Euro bei Vollsortimentern.

  3. In Austria ist der „non-PIN-Zähler“ bei den Bankomat/Maestro Karten auf 5 gesetzt.
    Bei deutschen Karten habe ich das Gefühl, dass es in der Regel keine Begrenzung gibt.
    Letztendlich ist es ja auch keine Vorgabe, oder?
    Gibt es eine Übersicht, wie das die einzelnen deutschen Kartenherausgeber handhaben?

    • Es gibt keine Vorgaben der Schemes. Die Einstellung des Zählers ist Sache der kartenausgebenden Bank, sie trägt ja auch das Risiko. Ich kann mir nicht vorstellen, dass es Karten ohne Begrenzung gibt. Das sind ja alles offline-Transaktionen, bis wieder eine PIN-Eingabe stattfindet. Bis zur Kartensperrung liefe da also alles durch.

      Eine Übersicht zur Handhabung bei den einzelnen Banken gibt es meines Wissens nicht. Ist ja auch ein sicherheitsrelevantes Thema, über das die Banken nicht gerne reden werden. Nach dem Motto: Klauen Sie NFC-Karten der Take-a-Way-Bank, die fragen erst nach der 10ten Transaktion nach der PIN 🙂

      Hier lesen ja ein paar Banker und Kreditkarten-Experten aus Theorie und Praxis mit, vielleicht wissen die mehr.

      • Habe auch einige Karten die def. Keine Begrenzung haben. Bisher ist s mir nur bei der Amazon Karte so vorgekommen. Habe bsp auch in Australien täglich oft mehr als 5 mal eine Karte genutzt und es kam nie zu sowas. Musste wirklich nie die pin eingeben.

      • Sicher das dass immer Offline Transaktionen sind?
        Ich hab ne Number26 MasterCard mit NFC und die wird direkt belastet wenn ich die Karte beim Aldi an das Terminal halte.

  4. Ich besitze def. zwei Karten, die keine Begrenzung haben, werde die aus besagtem Grund (da gebe ich Ihnen Recht) nicht posten.
    NFC-Zahlungen sind übrigens nicht grundsätzlich offline.
    Die Prepaid Varianten werden prinzipiell immer online verarbeitet.
    Alle anderen entsprechend des offline Verfügungsrahmens.
    Da unterscheiden sich kontaktlosen Zahlungen nicht von den kontaktbehafteten.

  5. In letzter Zeit hat sich die Anzahl der NFC Akzeptanzstellen erfreulicherweise deutlich erhöht und ich bin das eifrig am nutzen.
    Hinzugekommen sind hier Aldi Süd, Rossmann, Kaufland und Media Markt. Aber nur bei Aldi Süd sind die Mitarbeiter darüber informiert. In anderen Läden ist die Reaktion der Kassen Mitarbeiter wenn ich meine Karte dran halte Verwunderung oder Irritation: Bitte Karte einstecken heißt es oder man soll anschließend noch auf dem Kassenzettel unterschreiben, obwohl das nicht vorgesehen ist.
    Ich versuche dann zu erklären, was ich u.a. hier im Blog gelernt habe, aber die meisten können nicht glauben, dass es eine Zahlungsmethode gibt die so schnell geht und das ohne PIN und Unterschrift (unter 25 EUR)…

  6. Pingback: ALDI + Lidl akzeptieren Kreditkarten - Seite 73

  7. Zumindest wenn die kontaktlose Karte auch auf mehr als nur die angeblichen 3cm Entfernung „empfangen“ werden kann (z.B. 20-30cm), besteht dabei (ähnlich wie beim E-Perso und anderen RFID-/NFC-Karten) trotzdem die Gefahr, durch stationäre Lesegeräte z.B. in irgendwelchen Durchgängen (=Türrahmen) zumindest identifiziert zu werden, auch wenn keine Transaktion durchgeführt wird. Damit ließe sich (ähnlich wie mit dem E-Perso) ein Bewegungsprofil erstellen, denn selbst wer sein Handy mit einer anonymen Prepaid-Karte (und natürlich anonymen Konten bei iTunes bzw. Google) betreibt, ist über seine Bankkarte (ebenso wie beim Perso) eindeutig identifizierbar. Anonyme Bankkonten dürften die Wenigsten haben (das wäre dann ja eher so die Liga „Schweizer Nummernkonto“, und die kümmert sich um irgendwelche kleinen Zahlungen sowieso in der Regel nicht mehr selbst), weshalb ich es durchaus nicht für unsinnvoll halte, seine RFID-Karten in einer entsprechenden Schutzhülle zu transportieren, anstatt sie „von jedermann beliebig unbemerkt anfunkbar“ bei sich zu haben. Sicherheitsforscher haben immerhin auch schon herausgefunden, dass durch größere Feldstärken und effizientere Antennen bei den Lesegeräten die Reichweite dieser Karten sich durchaus signifikant erweitern lässt. Wenn ein Krimineller dann in jedem gut gefüllten S-Bahn-Waggon mittels einmal durchgehen pro Person 25 bis 75 Euro abgreifen kann (das lohnt sich dann sogar! Bei 50 bis 100 Leuten pro Waggon…ach, rechnet selbst, wie lukrativ S-Bahn-Fahren mit so einem gepimpten Lesegerät wäre), wäre der Schaden hoffentlich hoch genug, damit dieser datenschutztechnische Irrsinn noch mal gründlich überdacht wird. Ist ja schon schlimm genug, durch Bargeldlosigkeit seine persönliche Privatsphäre aufzugeben, da muss nicht auch gleich noch so eine Sicherheitslücke aufgerissen werden!

  8. Wir reden hier aber immer noch über PIN-Zahlungen, die nur an zugelassenen Terminals durchgeführt werden dürfen und über einen zugelassenen Netzbetreiber eingereicht werden müssen. Dieser sollte wissen, wem das Terminal gehört und somit im massiven Betrugsfall den Täter identifizieren können. Mit dem Handy mal eben durch die Bahn laufen und massenhaft derartige Zahlungen auslösen ist so nicht möglich!

    Weiterhin kann ich meine Karte schon nicht mehr mit dem Handy auslesen, wenn sie nur im Portemonaise steckt. Wenn man seine Brieftasche da aufbewahrt, wo Sie auch vor Diebstahl geschützt ist (z.B. Innentasche der Jacke) kommt da keiner an die Daten ran.

    • Naja, bis 25€ sind Zahlungen ohne PIN möglich – und zwar mehrmals hintereinander, je nach Kartenanbieter 3 mal, 5 mal oder ähnliches.
      Natürlich genügt für so einen Missbrauch nicht ein einfaches Handy – aber es wird wohl tragbare Kartenterminals geben, die sich über ein Handy mit dem Internet verbinden, und so die Transaktion vornehmen können.
      Sicherheitsforscher haben bereits nachgewiesen, dass die Reichweite von RFID-Technik sich mit entsprechenden Antennen bzw. Verstärkern um ein Vielfaches vergrößern lässt, teilweise wurden RFID Tags auf bis zu 5 Meter ausgelesen – und die Technik dazu (also eine spezielle Antenne mit Verstärker) ist heute nicht mehr groß, das lässt sich beim heutigen Grad der Miniaturisierung locker in einer Handtasche unterbringen.
      Wenn sich ein Krimineller so ein tragbares Terminal auf ein „Fake-Geschäft“ anmeldet (oder, wie es bereits bei Phishing-Angriffen auf Kontodaten gemacht wird, auf einen „Finanzagenten“, der nur mit seinem Namen drin steht – gibt ja genug Arbeitslose, die sich etwas Geld dazuverdienen wollen und nicht wachsam genug sind, auf so etwas hereinzufallen), braucht er für eine 5stellige Schadens-Summe in einer Großstadt während der Rush-Hour nur 1-2 Stunden mit der U-Bahn zu fahren, an jeder Haltestelle den Wagon wechseln, und sämtliche Karten, die die Fahrgäste in ihrer Tasche haben, bis zum Maximum der Transaktionen ohne PIN auszureizen – natürlich vollkommen automatisiert, ohne dass man dabei sieht, dass er dies tut, außer dass er jeden Wagon von Anfang bis Ende beschreitet.
      Andererseits, wenn dies mal geschehen würde, würde man vielleicht endlich über Gegenmaßnahmen nachdenken, z.B. NFC-Schutzhüllen mit jeder Karte auszuliefern, oder nur noch Geldbörsen mit einer entsprechenden elektromagnetischen Schutzschicht (Faraday-Käfig) zu verkaufen, oder ähnliches. Oder diesen kontaktlosen Irrsinn gleich ganz aufgeben. Barzahlung ist ohnehin unter Gesichtspunkten von Privatsphäre und Datenschutz die einzige Art, wie man heute am Handel teilnehmen sollte…

  9. Hallo,

    ich bin gerne Nutzer einer NFC-Kreditkarte und benutze kontaktloses Zahlen so oft wie möglich. Da das Risiko bei einer kontaktlosen Zahlung bis 25€ ohne PIN auf Seiten der Bank liegt und meine Bank – ING-Diba – nicht unbedingt durch ihren kundenunfreundlichen Support bekannt ist, habe ich keine Bedenken diese einzusetzen und „Gefahr zu laufen“, dass jemand fälschlicherweise mehrmals 25€ abbucht, nachdem er meine Daten kopiert hat, weil ich das Geld dann eh erstattet bekommen würde.

    Nun frage ich mich dennoch, wie das ganze technisch ablaufen soll. Der NFC-Chip der Karte überträgt doch lediglich die Kartennummer, den Namen und das Ablaufdatum. oder kommt da noch was dazu? Kommt vielleicht der CVC-Code in verschlüsselter Form noch dazu? Ist es möglich mit ALLEIN diesen Daten Kreditkartenbetrug zu begehen? Kann ich NUR mit diesen Daten allein einen NFC-Tag damit beschreiben und damit dann wieder einkaufen gehen? Gibt es da keine Hardware-Sicherung, die dies verhindert?

    Mich nervt es nämlich mir von jedem zweiten Verkäufer sagen zu lassen, dass dies unsicher sei. Ich lebe zwar mit gutem Gewissen wegen dem Punkt im ersten Absatz meines Beitrages, würde jedoch in Zukunft gerne mit einem Fakt kontern können, der die übertragenen Daten allein als wertlos „enthüllt“.

    Leider finde ich dazu im Internet nur Panikmache und keine Fakten zur Technik. Können Sie, Hanno Bender, oder irgendwer anderes hier vielleicht Abhilfe schaffen?

    Ich weiß nicht inwiefern die Kommentare der alten Blogeinträge noch gelesen werden. Falls es in den nächsten Tagen hierauf keine Antwort gibt, werde ich ggf. den Betreiber des Blogs, Herr Bender, direkt kontaktieren. Diese Frage brennt mir wirklich unter den Nägeln!

    Mit freundlichen Grüßen

    tiga05

    • tiga05: bei der Zahlung wird der CVC3 übertragen, ein dynamischer CVC (im vergleich zum statischen CVC2 auf der Kartenrückseite für Onlinezahlungen). Dynamisch ist hier der springende Punkt: ein -jetzt- ausgelesener Kartendatensatz ist -gleich- schon nicht mehr gültig. Dementsprechend sind nur in Echtzeit durchgeführte Transaktionen (sprich: mit dem Terminal durch die U-Bahn laufen) möglich. Ein „Sammeln“ von Kartendaten zur späteren Tansaktion funktioniert nicht.

      • Hallo,

        Das jemand sich diese comments hier noch durchliest, hätte ich nicht gedacht. Deswegen habe ich bei neueren Beiträgen nochmal nachgehakt und eine ähnliche Antwort erhalten. Dennoch: Vielen Dank für die Mühe!

  10. Der Autor schreibt: „Mir ist nicht bekannt, dass es ähnliche Diskussionen um die Gefahr von NFC-Karten auch in anderen Ländern gebe, in denen das berührungslose Bezahlen mit der Karte schon weiter verbreitet ist.“

    Tja, da hat jemand aber nicht lang recherchiert oder schreibt absichtlich die Unwahrheit. Natürlich findet man unter dem Suchbegriff „contactless fraud“ (Kontaktloser Betrug) tausende von Artikeln aus aller Welt mit Warnungen und Erfahrungsberichten rund um die unkontrolliert durch die Gegend funkenden Karten.

    Der gesunde Menschenverstand sagt einem einfach, dass ein paar Sekunden Zeitersparnis bei 3 von 4 Kartenzahlungen solche Risiken nicht rechtfertigen. Und sei es nur der Ärger mit der Bank, bis man sein Geld wieder hat. Und ob die das Rückerstattungs-Spielchen im Zweifelsfall auch wöchentlich mitmachen oder einem dann nicht einfach die Karte weg nehmen, wäre noch zu klären …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert