Skip to content

Sicherheitsrisiko: Bankomatkarte mit NFC–Funktion

Sicherheitsrisiko: Bankomatkarte mit NFC–Funktion published on

Text: Pepo Meia, Niels Cimpa
Speziell gebrechliche Bürger und Menschen mit Behinderung sind gefährdete Bevölkerungsgruppen.
Wir fordern Wahlfreiheit und keine Zwangsbeglückung. Die NFC-Funktion muss auf Kundenwunsch von der Bank deaktiviert werden! Der Gesetzgeber und die Konsumentenschutz-Ministerin Beate Hartinger-Klein (FPÖ) sind gefordert und müssen nötigenfalls per Gesetz die Wahlfreiheit gewährleisten und die Bürger schützen.
Der bargeldlose Zahlungsverkehr wird nun auch hierzulande forciert. Manche Österreichischen Banken versenden nur noch Bankomatkarten mit der NFC-Funktion. Wir fordern die Banken und den Gesetzgeber auf, dass Wahlfreiheit der Kunden gewährleistet sein muss und die NFC-Funktion bei der Bankomatkarte auf Wunsch deaktiviert wird und zwar kostenlos.

NFC-Technologie
Die NFC-Technologie, kurz Near Field Communication, fand in den vergangenen Jahren immer mehr Einzug in unser alltägliches Leben. Gerade im Bereich Mobile Payment ist NFC mittlerweile ein gängiger Begriff. Ob als Chip in der Bankomat-, Kreditkarte oder im Smartphone verbaut – die Datenübertragung auf kurze Distanzen soll unsere finanziellen Transaktionen wesentlich vereinfachen. Die Bankomatkarte an eine bestimmte Stelle halten, schon ist die Rechnung bezahlt. Den PIN-Code (4-stelliger Sicherheitscode) braucht man nicht mehr einzugeben. Das Bezahlen an der Kassa geht dank NFC nun schneller als früher. Die Einführung dieser Technologie liegt vor allem im Interesse der Wirtschaft.

Gefahren: Wie sicher sind die Daten bei NFC-Kreditkarten?
Zu den beworbenen Vorteilen dieser Technologie gesellen sich auch einige Risiken. Überall, wo bei Zahlungen mobil Daten übertragen werden, können sich Kriminelle Zugang verschaffen. Im Internet kursieren mittlerweile auch Apps, die speziell dazu gedacht sind, die Daten von NFC-Kreditkarten auszuspionieren.

Anonyme Zahlungen sind bei Mobile Payment nicht mehr möglich – Datenschutz kann nicht gewährleistet werden
Nutzer müssten damit rechnen, dass mit Hilfe ihrer Datenspuren Bewegungs- und Konsumprofile erstellt werden und sie häufiger personalisierte Werbung und Angebote erhalten. Jeder, der bargeldlos bezahlt, gibt Informationen preis, mindestens die Einkaufssumme, die Uhrzeit, den Ort, vielleicht sogar auch was gekauft wurde. Es liegt im Vertrauen in die eigene Hausbank und der technischen Provider, dass Daten sicher aufgehoben werden. Das Risiko, dass es zu Hackerangriffen kommt, ist zwar dank vieler Sicherheitsvorkehrungen nicht besonders hoch, aber vorhanden.
Besonders durch Datenmissbrauch gefährdet ist der Bereich des kontaktlosen Bezahlens. Hier besteht ein großes Problem mit dem dauerhaften Funksignal der Bankomat- und Kreditkarten mit NFC-Chip. Denn nicht nur die Zahlungsterminals in den Geschäften können die Funksignale empfangen. Mittlerweile gibt es auch Smartphone-Apps, die es Dieben ermöglichen, die unverschlüsselten Daten (wie die Kreditkartennummer, bzw. Kontonummer, das Ablaufdatum und zum Teil auch die Namen der Karten-Inhaber) auszulesen.
Es wird argumentiert, dass die Sicherheit der Übertragung dadurch garantiert werde, dass NFC nur auf geringer Distanz funktioniert. Diebe müssten so sehr nah herankommen und dies würde sicherlich auffallen. Das schränkt die Gefahr eines Missbrauchs aber nur geringfügig ein. Man denke beispielsweise daran, wie dicht man in Menschenmengen aneinander steht. Dabei ist es ein Leichtes, ein für den Datendiebstahl präpariertes Handy für einige Sekunden an die Gesäßtasche oder Handtasche zu halten.
Auch die Höchstgrenze des Geldtransfers von 25 € täuscht nur Sicherheit vor. Dieses Abbuchungslimit ist zeitlich begrenzt und kann durch spezielle Software aufgehoben werden. Sobald die Diebe in Besitz der gestohlenen Daten sind, können diese in den meisten Online-Shops, wie z.B. Amazon, weitere Bestellungen tätigen, die einen Wert von 25 € überschreiten. Unbefugte können hier also Einkäufe zu Lasten des Kartenbesitzers tätigen.

Sicherheitsexperten raten Konsumenten besonders bei Gedränge zu erhöhter Vorsicht.
Der rasante technologische Fortschritt hat nicht selten zur Folge, dass Fehlerquellen erst nach und nach entdeckt und beseitigt werden. Cyberkriminelle versuchen laufend eben diese Schlupflöcher zu nutzen, um Zugriff auf sensible Daten zu erhalten. Auch wenn die Fehlerquellen mit der Zeit immer weniger werden, wird NFC nie 100%-ige Sicherheit bieten können. Deshalb ist die Wahlmöglichkeit der Konsumenten von immenser Bedeutung ob sie die NFC-Funktion möchten oder nicht. Speziell gebrechliche Bürger und Menschen mit Behinderung sind besonders gefährdete Bevölkerungsgruppen.

Zum besseren Verständnis:
Taschendiebstahl per App: Kreditkarte mit eingebautem Risiko (siehe Youtube-Video)

Six-Payment-Services: „Bis zu 125 Euro Schaden möglich“
Mit einer österreichischen NFC-Karte können Beträge bis zu 25 Euro kontaktlos bezahlt und insgesamt können fünf Buchungen durchgeführt werden. Ab der sechsten Buchung ist die Eingabe des PIN-Codes wieder zwingend erforderlich, heißt es bei der Pressestelle des Zahlungsdienstleisters Six-Payment-Services, ehemals Pay-Life-Austria. Sollte die Karte verloren gehen, könne der durch kontaktloses Zahlen verursachte Schaden also maximal 125 Euro – eben 5 mal 25 Euro – betragen. (Quelle: help.ORF.at)

Jeder kann mit der Bankomatkarte ohne PIN-Eingabe bezahlen
Jetzt kommt ein weiteres Risiko ein dazu: Weil die Eingabe eines PIN-Codes zum Bezahlen nicht mehr nötig ist, kann ein Dieb einer NFC-fähigen Bankomatkarte an NFC-Terminals damit bezahlen, ohne Verdacht zu erregen. Allerdings muss nach dem fünften Bezahlvorgang wieder der PIN eingegeben werden.
Diese Sicherheitsmaßnahme ist unzureichend: Denn immerhin kann ein Gauner so um hundert Euro (genauer gesagt: fünf Mal 25 Euro) einkaufen. Das mag für Bankmanager, bzw. die, die sich diese Regelung ausgedacht haben, ein Pappenstiel sein. Für Viele ist dies jedoch eine Menge Geld! Offen ist, ob es bei dieser 25-Euro-Regelung bleibt (2014 waren es noch 20 Euro).

Der Konsument haftet dennoch
Derzeit haften Konsumenten bei Verlust oder Diebstahl der Bankomatkarte bei leichter Fahrlässigkeit mit einem Höchstbetrag von 150 Euro. Nur bei grober Fahrlässig haftet man voll. Entscheidend ist die Frage, wie sorgsam die Karte verwahrt wurde.
Wer seine Bankomatkarte, bzw. sein Mobile-Payment-Gerät verliert oder Opfer eines Diebstahls wird, sollte sofort seine Bank oder seinen Bezahldienst informieren. Für Abbuchungen durch Dritte haftet bis zur Meldung nämlich der Nutzer mit 150 Euro. Zudem sollten die hinterlegten Zahlungsmittel schnell gesperrt werden.

Wie kann man das Risiko verringern – Was sollte man beim mobilen Bezahlen beachten?
Die Bankomat-, Kreditkarte, bzw. die Geräte nicht aus der Hand zu geben und sie – ebenso wie entsprechende Apps – mit PINs zu sichern. Außerdem sollten Nutzer die Software ihrer Geräte aktuell halten und Abrechnungen regelmäßig auf Fehlbuchungen prüfen, um diese gegebenenfalls schnell zu melden. Es gibt inzwischen Schutzhüllen für Bankomat- und Kreditkarten. Eine Alufolie sollte auch die Kreditkarte vor elektronischem Diebstahl schützen können.

Nötigung zum bargeldlosen Zahlungsverkehr – bequem jedoch unsicher 
Kann man die NFC-Funktion seiner Karte ausschalten lassen? Wir haben bei vier der größten Banken Österreichs (Bank Austria-Uni Credit, BAWAG-PSK, ERSTE- und Volksbank) mündlich und schriftlich nachgefragt. Uns wurde gesagt und geschrieben, dass man die NFC-Funktion nicht mehr von seiner Bank abschalten lassen kann, man könne ja sein Konto kündigen. Obwohl die „Hello-Bank“ in ihrem Onlinemagazin schreibt, dass so gut wie alle Banken die Möglichkeit anbieten, die NFC-Funktion auf persönlichen Wunsch hin zu deaktivieren.
Manche Banken bieten ihren Kunden vor Versenden der Bankomatkarte eine Wahlmöglichkeit an. Die BAWAG-PSK hingegen verschickt nur mehr Karten mit der neuen Bezahlfunktion. Technisch muss es möglich sein diese Funktion auszuschalten. Es wurde uns sogar von der BAWAG-PSK schriftlich mitgeteilt, dass eine Karte ohne NFC-Funktion nicht mehr erhältlich sei. Es ist naheliegend: So will man die Konsumenten zu bargeldlosen Zahlungsverkehr nötigen. Die Sicherheit des Einzelnen spielt dabei keine Rolle mehr.

Kundenfeindliche Strategie der BAWAG-PSK – Gewinnmaximierung?
Im Standard-Artikel „US-Fonds überschütten Bawag-Manager mit Millionen“ vom 14.04.2018 konnte man von den exorbitanten Jahresgagen der BAWAG-Manager (Hedgefonds: „Cerberus“) lesen. Gleichzeitig ist unseres Wissens die BAWAG-PSK die einzige Bank, die momentan ihre Kunden nötigt, die NFC-Funktion aktiviert zu lassen. Bis vor Kurzem hatten BAWAG-Kunden noch die Wahlmöglichkeit die NFC-Funktion ausschalten zu lassen. Dies zeigt die Kundenfeindlichkeit der BAWAG-Manager und Verantwortlichen der ehemaligen Gewerkschaftsbank.
Anm.: Nur durch Staatssubventionen konnte die BAWAG-PSK ihre Lizenz behalten. Diese Zwangsmethoden müssen umgehend eingestellt werden. Der Gesetzgeber ist nötigenfalls gefordert, um die Wahlfreiheit der Bankkunden zu gewährleisen.

Artikel zum Thema:
NFC-Technik: So funktioniert kontaktloses Bezahlen mit Kreditkarte (FOCUS Online vom 2. Nov. 2018)
In immer mehr Kreditkarten stecken die NFC-Chips, die kontaktloses Bezahlen ermöglichen.

Primary Sidebar