Update 10. Februar 2016:
Heute schickte mir Matthias Bock einen Link, der dieses Thema hier in seiner Bedeutung noch viel weiter fasst.
Einige NFC-Kreditkarten speichern eure Zahlungshistorie und mehr [Update]
Vor ein paar Wochen traf ich Matthias Bock auf dem OpenDataDay von Offene Kommunen NRW in Wuppertal. Er arbeitet in der Fraktion der Piraten im Landtag NRW. Wie das so ist zwischen den Sessions kommt man ins Gespräch. Unser Thema war die Sicherheit von Chip-Karten, insbesondere die von Kreditkarten und EC-Karten.
RFID-Technik
Die Karten sind mittlerweile alle mit der RFID-Technik ausgerüstet, die das Identifizieren mittels elektromagnetischer Wellen beinhaltet. Das sind Sender-Empfänger-Systeme zum automatischen und berührungslosen Identifizieren und Lokalisieren von Objekten und Lebewesen mit Radiowellen. So findet es sich in Wikipedia.
Nahfeldkommunikation
In diesem Zusammenhang spricht man auch von Nahfeldkommunikation (Near Field Communication – NFC), ein auf der RFID-Technik basierender internationaler Übertragungsstandard zum konktaklosen Austausch von Daten per Funktechnik über kurze Strecken von wenigen Zentimetern. Sie dient dem bargeldlosen Zahlen kleiner Beiträge. Zum Einsatz kommt sie beispielsweise bei den Sparkassen. Eigentlich nur für Beträge bis zu 20 Euro.
RealtitätsCheck – und schwupps sind Daten geklaut
Wir haben zusammen mit Matthias einfach mal experimentiert, wie schnell man solche Karten auslesen kann. Matthias demonstrierte sehr eindrucksvoll, wie man mit einer kostenlosen App die Karten auslesen kann. Das dauert nicht lange, man muss nur nah genug dran stehen. In größeren Menschenmengen ist das schon mal kein Problem, auch nicht, wenn man etwa an einem Tisch zusammen sitzt. Blitzschnell ging das und wichtige Daten erscheinen auf dem Smartphone, die nicht für jedermann zugänglich sein sollten.
Zudem ist mittlerweile eine NFC-Lücke erkannt, die es ermöglicht, höhere Beträge von den Konten der Karteninhaber zu klauen. Die Sperren oder Limitierung auf Kleinbeträge lassen sich längst austricksen und die Minimalbeträge gelten nichts mehr. Dann geht es schnell ans Eingemachte und hohe Beträge fließen ungewollt in eine andere Tasche als die eigene.
„Wie Forscher der Newcastle Universität in Großbritannien berichten, steckt der Fehler in den Sicherheitsvorkehrungen, die dafür sorgen, dass das Bezahlen ohne Pin auf den Maximalbetrag beschränkt wird. Sowohl Visa und Mastercard , als auch die EC-Karte Girogo der Sparkassen, Volks- und Raiffeisenbanken sollen von dem Fehler betroffen sein.“ – findet sich auf der Internetseite von T-online.
Und wie ist das vor Ort?
Ich wollte gerne mal wissen, wie eine örtliche Sparkasse mit dieser Problematik umgeht, die sicher dem größten Teil der Kunden und Nutzer nicht in der Breite und mit der Konsequenz bekannt ist.
Ich habe der Sparkasse Gütersloh dazu über XING geschrieben: „(…) gerne möchte ich mich darüber informieren, wie Sie die EC-Karten mit der NFC-Technik schützen? Wie sehen Sie die Zukunft der Verschlüsselung der Daten? Wie wird die Sparkasse Gütersloh das handhaben? Zudem interessiert mich, warum die Sparkasse keine ausspähsicheren Hüllen bei der Zusendung der Karten gleich kostenfrei mitliefert. Diese Hüllen kosten in Online-Shops ca. 6 Euro.“
Sachliche Antwort
Hier die Antwort der Sparkasse Gütersloh, die mich kurz vor Weihnachten erreichte.
„Die von uns eingesetzten SparkassenCards sind standardmäßig mit der NFC-Technologie ausgestattet. Diese Technik ermöglicht in Geschäften, die mit entsprechenden Terminals ausgestattet sind, das schnelle, kontaktlose Bezahlen bis zu einem Maximalbetrag von EUR 20,00.
Der Austausch der Daten zwischen dem Chip und dem Bezahlterminal erfolgt nach einem bewährten und sicheren Verfahren, dass speziell für die Zahlungssysteme der Deutschen Kreditwirtschaft (DK) entwickelt wurde. Eine Verbindung zum Konto des Karteninhabers wird lediglich beim Laden/Entladen einer elektronischen Geldbörse hergestellt, wobei der Lade-/Entladebetrag auf dem Kontoauszug dokumentiert wird.
Eine versehentliche Abbuchung ist nicht möglich, der erforderliche geringe Abstand zwischen Karte und Terminal erschwert unbemerktes Bezahlen deutlich. Zudem kann ein Bezahlvorgang nur von einem Terminal mit einem auf den jeweiligen Händler registrierten Sicherheitsmodul (Händlerkarte) ausgelöst werden. Über die für gängige Smartphones erhältliche S-Reader-App hat der Karteninhaber jederzeit einen Überblick über seine Lade- und Entladevorgänge.
Ausspähsichere Kartenhüllen sind derzeit bei uns in der Bestellung, auf Nachfrage können Kunden eine solche Hülle kostenfrei bekommen. Zusätzlich besteht zukünftig die Möglichkeit, die NFC-Funktion auf dem Chip der Karte komplett abzuschalten. Sollte ein Kunde komplett auf die NFC-Funktion verzichten möchten, kann er sich dann einfach bei seinem Berater melden, der diese Funktion für ihn deaktiviert.“
Aufklärung aber keine Besserung
Nun hat mich die Sparkasse zwar aufgeklärt, aber offensichtlich ist das Restrisiko auch dort bekannt. Nur nicht offen kommuniziert. Warum auch sollte man ein Geschäftsmodell selbst hinterfragen, wenn es die Kunden selbst offensichtlich nicht tun? Wird man sich in den Entscheideretagen fragen.
In den nächsten Tagen werde ich mal vor Ort in einem weiteren Praxistest nachfragen, ob ich solch eine Schutzhülle nun direkt bekommen kann – und wie sich die Menschen am „Schalter“ (sic!) verhalten, wenn ich die NFC-Funktion deaktivieren möchte. Bin gespannt.
Und noch eine Erkenntnis: Auch für solch einen Markt der Gefährdung oder besser der Gefahrenabwehr gibt es übrigens Produkte, die „helfen“. So kann man seine Brieftasche gleich komplett ablesesicher machen – und auch den Personalausweis gegen Auslesen schützen, denn der ist ebenfalls mit dieser Technik versehen. Oder man kann seine Bank nach einer ablesesicheren Schutzhülle fragen (siehe oben) – oder diese Hüllen sogar bei einer vertrauensvollen Quellen etwa bei den Bielefelder Datenschützern Digitalcourage im Shop bestellen.
Der Markt für Sicherheitsprodukte ist offensichtlich gut aufgestellt. Sind wir Normalos das auch? Oder lohnt es sich, öfter mal nachzufragen und sich aktiv selbst zu schützen?
