Skip to content

Forscher hacken NFC-Höchstgrenze

Forscher hacken NFC-Höchstgrenze published on

Text: Pepo Meia, Niels Cimpa
Betrug über NFC-Schnittstelle möglich
Kontaktlos bezahlen mit einer Bankkarte oder per Handy wird immer beliebter. Bei Bankkarten mit NFC-Funktion muss kein Code eingegeben werden, wodurch man an der Kasse Zeit spart. Nun zeigen Forscher, dass die Höchstgrenze einfach umgangen werden kann.

Wie Christoph „Burstup“ Weiss auf fm4.orf.at berichtet, haben zwei britische Forscher es geschafft das NFC-Limit bei Kreditkarten auszuhebeln. Für die Datenübertragung zwischen Karte und Bezahlterminal kommt eine Technologie namens Near Field Communication (NFC) zum Einsatz. Ganz risikolos war sie schon bisher nicht, denn günstige mobile Bezahlterminals gibt es um wenige Euro zu kaufen und können auch von Dieben missbraucht werden. Kleine Beträge können aus wenigen Zentimetern Entfernung berührungslos von der Karte gezogen werden – sogar während die Karte im Geldbörsel in der Hosentasche steckt. Eine gute Videodemonstration dazu gibt es von c’t-Redakteur Jan-Keno Janssen hier.

    NFC-fähige Karten erkennt man an diesem Symbol

Sicherheitslimit gehackt
In Österreich beträgt die Höchstgrenze für kontaktlose Zahlungsvorgänge 25 Euro, in Großbritannien 30 Pfund, in der Schweiz 40 Franken. Zwei britische Sicherheitsforscher haben nun einen Weg gefunden, dieses Limit für das kontaktlose Bezahlen bei zumindest einem Kreditkarten-Anbieter zu überschreiten.
Der Hack funktioniert mittels eines Geräts, das sich in die – schlecht gesicherte – Funkkommunikation zwischen NFC-Kreditkarte und NFC-Bezahlterminal einklinkt. Es setzt die beiden dort existierenden Sicherheitschecks außer Kraft.

Auch bei Handy-Zahlungen
Der Hack funktioniert wie folgt: Der Bankkarte wird vorgetäuscht, dass keine PIN-Eingabe nötig sei. Dem Lesegerät wird vermittelt, dass sich der Kunde bereits identifiziert habe. Der Hack funktioniert außerdem auch bei Smartphone-Payment-Systemen, die mit einer Kreditkarte verknüpft sind: statt der PIN-Eingabe können dann auch biometrische Verifizierungsmethoden wie Fingerabdruck und Gesichtserkennung übersprungen werden.

Betrug über NFC-Schnittstelle möglich
Wie Forbes.com berichtet, weiß die Kreditkartenfirma Visa über den Hack bescheid. Derzeit sei jedoch keine Massnahme geplant, um die Sicherheit zu erhöhen. «Eine wesentliche Einschränkung bei dieser Art von Angriff ist, dass eine physisch gestohlene Karte dafür notwendig ist», sagte ein Sprecher des Konzerns.
Doch dies ist nicht der Fall. Denn die Forscher haben gezeigt, dass alle nötigen Informationen für einen allfälligen Betrug über die sogenannte NFC-Schnittstelle abgefangen werden können.

Drei Methoden, um sich zu schützen
Tipp 1: Die Karte bei der Bank oder Kreditkartenfirma gegen eine andere ohne NFC-Funktion tauschen lassen. Bisher haben zumindest die österreichischen Banken noch welche herausgegeben. Ob das auch in Zukunft so bleiben wird, ist fraglich, da Karten ohne NFC-Funktion vielleicht bald nicht mehr hergestellt werden.
Anm.: Bei der BAWAG-PSK ist dies nicht mehr möglich (siehe Artikel zum Thema).

Tipp 2: Es kann helfen, mehrere NFC-fähige Karten ins Geldbörsel stecken. Für das Bezahlterminal eines Angreifers ist es dann schwierig, die verschiedenen Funksignale auseinanderzuhalten. Garantie dafür, dass das funktioniert, gibt es aber keine. Auf jeden Fall sollten die Karten im Börsel direkt aufeinander liegen. Unter Umständen pickt sich das Bezahltermimal trotzdem eines der Signale heraus.

Tipp 3: Sicherer ist es, die Karte in eine der zahlreich vorhandenen NFC-Schutzhüllen zu stecken.

Zwangsbeglückung durch Debitkarte?
Wie help.orf.at berichtet, gibt es in Österreich seit Kurzem eine neue Karte zum Geldabheben, die die bisherige Bankomatkarte ersetzt: die Debitkarte. Ausgegeben von Erste Bank und Sparkassen kann die neue Karte, eine Mischung aus Bankomat- und Kreditkarte, auch für Onlinezahlungen verwendet werden. Bezahlt man in der jeweiligen Landeswährung fallen allerdings – wie bei einer Kreditkarte auch – Gebühren an.

Karte gut aufbewahren
Die breiteren Einsatzmöglichkeiten machen die Karte aber auch für Kriminelle interessanter, warnt Bernd Lausecker, zuständig für Finanzdienstleitungen beim Verein für Konsumenteninformation (VKI).

„Es reicht die Kartennummer der Debitkarte, um online einzukaufen. Deswegen sollte diese Kartennummer immer sensibel behandelt werden“, so Lausecker. Zudem rät er Debitkarten-Besitzern die Bewegungen auf ihrem Girokonto genau zu beobachten, um zu schauen, ob es eventuell zu einer missbräuchlichen Verwendung der Karte gekommen ist oder ob zu Unrecht Gebühren verrechnet wurden.

Anm.: Für die Verwendung einer sogenannten Debitkarte sollte für die Kunden Wahlmöglichkeit bestehen. Viele Kunden wollen das zusätzliche Risiko nicht eingehen. Es gibt auch jetzt schon die Möglichkeit Onlinezahlungen mit einer Pre-Paid-Karte (aufladbare Kreditkarte – das Risiko beschränkt sich dabei lediglich auf den aufgeladenen Betrag und nicht auf das ganze Konto) zu tätigen.

Die erweiterten Funktionen bringen auch Nachteile für die Konsumenten – ohne, dass diese gefragt werden. Diese Zwangsbeglückung ist konsumentenschutzrechtlich zu hinterfragen. Gerade in so sensiblen Bereichen sollte der Gesetzgeber regulierend eingreifen. 

BMIN fordert eine gesetzliche Verankerung der Wahlfreiheit, ob man eine Bankkarte mit oder ohne NFC-Funktion haben möchte. Die meisten österreichischen Parteien befürworten diese Forderung (siehe Artikel zum Thema).

Artikel zum Thema:
BAWAG-PSK: Keine Wahlmöglichkeit für Bankomatkarte mit NFC–Funktion (BMIN-Info vom 28.11.2018)
Sicherheitsrisiko: Bankomatkarte mit NFC–Funktion (BMIN-Info vom 22.11.2018)
Wahlfreiheit Bankomatkarten mit NFC-Funktion – Offener Brief (BMIN-Info vom 18.01.2019)
NFC-Zwangsbeglückung durch die BAWAG-PSK (BMIN-Info vom 18.02.2019)

Bisherige Stellungnahmen zur Wahlfreiheit bzgl. Bankomatkarten mit NFC:
Stellungnahme der Liste JETZT – Wahlfreiheit Bankomatkarten mit NFC-Funktion
Johannes Voggenhuber unterstützt die BMIN-Forderung nach „NFC-Wahlfreiheit bei Zahlungskarten“
GRÜNE gegen NFC-Zwangsbeglückung
NEOS Stellungnahme betreffend NFC-Wahlfreiheit bei Zahlungskarten
KPÖ PLUS – European Left: Für Wahlfreiheit im Zahlungsverkehr
Schieder: Für NFC-Wahlfreiheit bei Zahlkarten
ÖVP für NFC-Wahlfreiheit und Selbstbestimmung

Primary Sidebar