{"id":6774,"date":"2019-08-12T09:17:57","date_gmt":"2019-08-12T08:17:57","guid":{"rendered":"https:\/\/bmin.info\/WP\/?p=6774"},"modified":"2019-08-12T17:40:06","modified_gmt":"2019-08-12T16:40:06","slug":"forscher-hacken-nfc-hoechstgrenze","status":"publish","type":"post","link":"https:\/\/bmin.info\/WP\/2019\/08\/12\/forscher-hacken-nfc-hoechstgrenze\/","title":{"rendered":"Forscher hacken NFC-H\u00f6chstgrenze"},"content":{"rendered":"

Text: Pepo Meia, Niels Cimpa
\nBetrug \u00fcber NFC-Schnittstelle m\u00f6glich<\/em><\/strong>
\nKontaktlos bezahlen mit einer Bankkarte oder per Handy wird immer beliebter. Bei Bankkarten mit NFC-Funktion muss kein Code eingegeben werden, wodurch man an der Kasse Zeit spart. Nun zeigen Forscher, dass die H\u00f6chstgrenze einfach umgangen werden kann.<\/p>\n

Wie Christoph \u201eBurstup\u201c Weiss<\/a> auf fm4.orf.at berichtet<\/a>, haben zwei britische Forscher es geschafft das NFC-Limit bei Kreditkarten auszuhebeln. F\u00fcr die Daten\u00fcbertragung zwischen Karte und Bezahlterminal kommt eine Technologie namens Near Field Communication (NFC) zum Einsatz. Ganz risikolos war sie schon bisher nicht, denn g\u00fcnstige mobile Bezahlterminals<\/a> gibt es um wenige Euro zu kaufen und k\u00f6nnen auch von Dieben missbraucht werden. Kleine Betr\u00e4ge k\u00f6nnen aus wenigen Zentimetern Entfernung ber\u00fchrungslos von der Karte gezogen werden \u2013 sogar w\u00e4hrend die Karte im Geldb\u00f6rsel in der Hosentasche steckt. Eine gute Videodemonstration dazu gibt es von c\u2019t-Redakteur Jan-Keno Janssen hier<\/a>.<\/p>\n

\"\"<\/a>    NFC-f\u00e4hige Karten erkennt man an diesem Symbol<\/p>\n

Sicherheitslimit gehackt<\/strong>
\nIn \u00d6sterreich betr\u00e4gt die H\u00f6chstgrenze f\u00fcr kontaktlose Zahlungsvorg\u00e4nge 25 Euro, in Gro\u00dfbritannien 30 Pfund, in der Schweiz 40 Franken. Zwei britische Sicherheitsforscher<\/a> haben nun einen Weg gefunden, dieses Limit f\u00fcr das kontaktlose Bezahlen bei zumindest einem Kreditkarten-Anbieter zu \u00fcberschreiten.
\nDer Hack funktioniert mittels eines Ger\u00e4ts, das sich in die – schlecht gesicherte – Funkkommunikation zwischen NFC-Kreditkarte und NFC-Bezahlterminal einklinkt. Es setzt die beiden dort existierenden Sicherheitschecks au\u00dfer Kraft.<\/p>\n

Auch bei Handy-Zahlungen<\/strong>
\nDer Hack funktioniert wie folgt: Der Bankkarte wird vorget\u00e4uscht, dass keine PIN-Eingabe n\u00f6tig sei. Dem Leseger\u00e4t wird vermittelt, dass sich der Kunde bereits identifiziert habe. Der Hack funktioniert au\u00dferdem auch bei Smartphone-Payment-Systemen, die mit einer Kreditkarte verkn\u00fcpft sind: statt der PIN-Eingabe k\u00f6nnen dann auch biometrische Verifizierungsmethoden wie Fingerabdruck und Gesichtserkennung \u00fcbersprungen werden.<\/p>\n

Betrug \u00fcber NFC-Schnittstelle m\u00f6glich<\/strong>
\nWie Forbes.com berichtet<\/a>, wei\u00df die Kreditkartenfirma Visa \u00fcber den Hack bescheid. Derzeit sei jedoch keine Massnahme geplant, um die Sicherheit zu erh\u00f6hen. \u00abEine wesentliche Einschr\u00e4nkung bei dieser Art von Angriff ist, dass eine physisch gestohlene Karte daf\u00fcr notwendig ist\u00bb, sagte ein Sprecher des Konzerns.
\nDoch dies ist nicht der Fall. Denn die Forscher haben gezeigt, dass alle n\u00f6tigen Informationen f\u00fcr einen allf\u00e4lligen Betrug \u00fcber die sogenannte NFC-Schnittstelle abgefangen werden k\u00f6nnen.<\/p>\n

Drei Methoden, um sich zu sch\u00fctzen<\/strong>
\nTipp 1<\/strong>: Die Karte bei der Bank oder Kreditkartenfirma gegen eine andere ohne NFC-Funktion tauschen lassen. Bisher haben zumindest die \u00f6sterreichischen Banken noch welche herausgegeben. Ob das auch in Zukunft so bleiben wird, ist fraglich, da Karten ohne NFC-Funktion vielleicht bald nicht mehr hergestellt werden.
\nAnm<\/strong>.: Bei der BAWAG-PSK ist dies nicht mehr m\u00f6glich (siehe Artikel zum Thema).<\/p>\n

Tipp 2<\/strong>: Es kann helfen, mehrere NFC-f\u00e4hige Karten ins Geldb\u00f6rsel stecken. F\u00fcr das Bezahlterminal eines Angreifers ist es dann schwierig, die verschiedenen Funksignale auseinanderzuhalten. Garantie daf\u00fcr, dass das funktioniert, gibt es aber keine. Auf jeden Fall sollten die Karten im B\u00f6rsel direkt aufeinander liegen. Unter Umst\u00e4nden pickt sich das Bezahltermimal trotzdem eines der Signale heraus.<\/p>\n

Tipp 3<\/strong>: Sicherer ist es, die Karte in eine der zahlreich vorhandenen NFC-Schutzh\u00fcllen<\/a> zu stecken.<\/p>\n

Zwangsbegl\u00fcckung durch Debitkarte?
\n<\/b>Wie help.orf.at<\/a> berichtet, gibt es in \u00d6sterreich seit Kurzem eine neue Karte zum Geldabheben, die die bisherige Bankomatkarte ersetzt: die Debitkarte<\/a>. Ausgegeben von Erste Bank und Sparkassen kann die neue Karte, eine Mischung aus Bankomat- und Kreditkarte, auch f\u00fcr Onlinezahlungen verwendet werden. Bezahlt man in der jeweiligen Landesw\u00e4hrung fallen allerdings – wie bei einer Kreditkarte auch – Geb\u00fchren an.<\/p>\n

Karte gut aufbewahren
\n<\/b>Die breiteren Einsatzm\u00f6glichkeiten machen die Karte aber auch f\u00fcr Kriminelle interessanter, warnt Bernd Lausecker, zust\u00e4ndig f\u00fcr Finanzdienstleitungen beim Verein f\u00fcr Konsumenteninformation (VKI).<\/p>\n

\u201eEs reicht die Kartennummer der Debitkarte, um online einzukaufen. Deswegen sollte diese Kartennummer immer sensibel behandelt werden\u201c, so Lausecker. Zudem r\u00e4t er Debitkarten-Besitzern die Bewegungen auf ihrem Girokonto genau zu beobachten, um zu schauen, ob es eventuell zu einer missbr\u00e4uchlichen Verwendung der Karte gekommen ist oder ob zu Unrecht Geb\u00fchren verrechnet wurden.<\/p>\n

Anm.<\/b>: F\u00fcr die Verwendung einer sogenannten Debitkarte sollte f\u00fcr die Kunden Wahlm\u00f6glichkeit bestehen. Viele Kunden wollen das zus\u00e4tzliche Risiko nicht eingehen. Es gibt auch jetzt schon die M\u00f6glichkeit Onlinezahlungen mit einer Pre-Paid-Karte (aufladbare Kreditkarte – das Risiko beschr\u00e4nkt sich dabei lediglich auf den aufgeladenen Betrag und nicht auf das ganze Konto) zu t\u00e4tigen.<\/p>\n

Die erweiterten Funktionen bringen auch Nachteile f\u00fcr die Konsumenten – ohne, dass diese gefragt werden. Diese Zwangsbegl\u00fcckung ist konsumentenschutzrechtlich zu hinterfragen. Gerade in so sensiblen Bereichen sollte der Gesetzgeber regulierend eingreifen. <\/span><\/p>\n

BMIN fordert eine gesetzliche Verankerung der Wahlfreiheit, ob man eine Bankkarte mit oder ohne NFC-Funktion haben m\u00f6chte. Die meisten \u00f6sterreichischen Parteien bef\u00fcrworten diese Forderung<\/strong><\/em> (siehe Artikel zum Thema).<\/p>\n

Artikel zum Thema<\/strong>:
\nBAWAG-PSK: Keine Wahlm\u00f6glichkeit f\u00fcr Bankomatkarte mit NFC\u2013Funktion<\/a> (BMIN-Info vom 28.11.2018)
\nSicherheitsrisiko: Bankomatkarte mit NFC\u2013Funktion<\/a> (BMIN-Info vom 22.11.2018)
\nWahlfreiheit Bankomatkarten mit NFC-Funktion \u2013 Offener Brief<\/a> (BMIN-Info vom 18.01.2019)
\nNFC-Zwangsbegl\u00fcckung durch die BAWAG-PSK<\/a> (BMIN-Info vom 18.02.2019)<\/p>\n

Bisherige Stellungnahmen zur Wahlfreiheit bzgl. Bankomatkarten mit NFC<\/strong>:
\nStellungnahme der Liste JETZT \u2013 Wahlfreiheit Bankomatkarten mit NFC-Funktion<\/a>
\nJohannes Voggenhuber unterst\u00fctzt die BMIN-Forderung nach \u201eNFC-Wahlfreiheit bei Zahlungskarten\u201c<\/a>
\nGR\u00dcNE gegen NFC-Zwangsbegl\u00fcckung<\/a>
\nNEOS Stellungnahme betreffend NFC-Wahlfreiheit bei Zahlungskarten<\/a>
\nKP\u00d6 PLUS \u2013 European Left: F\u00fcr Wahlfreiheit im Zahlungsverkehr<\/a>
\nSchieder: F\u00fcr NFC-Wahlfreiheit bei Zahlkarten<\/a>
\n\u00d6VP f\u00fcr NFC-Wahlfreiheit und Selbstbestimmung<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Text: Pepo Meia, Niels Cimpa Betrug \u00fcber NFC-Schnittstelle m\u00f6glich Kontaktlos bezahlen mit einer Bankkarte oder per Handy wird immer beliebter. Bei Bankkarten mit NFC-Funktion muss kein Code eingegeben werden, wodurch man an der Kasse Zeit spart. Nun zeigen Forscher, dass die H\u00f6chstgrenze einfach umgangen werden kann. Wie Christoph \u201eBurstup\u201c Weiss auf fm4.orf.at berichtet, haben zwei… Continue reading Forscher hacken NFC-H\u00f6chstgrenze<\/span><\/a><\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-6774","post","type-post","status-publish","format-standard","hentry","category-info"],"_links":{"self":[{"href":"https:\/\/bmin.info\/WP\/wp-json\/wp\/v2\/posts\/6774","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/bmin.info\/WP\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/bmin.info\/WP\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/bmin.info\/WP\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/bmin.info\/WP\/wp-json\/wp\/v2\/comments?post=6774"}],"version-history":[{"count":8,"href":"https:\/\/bmin.info\/WP\/wp-json\/wp\/v2\/posts\/6774\/revisions"}],"predecessor-version":[{"id":6794,"href":"https:\/\/bmin.info\/WP\/wp-json\/wp\/v2\/posts\/6774\/revisions\/6794"}],"wp:attachment":[{"href":"https:\/\/bmin.info\/WP\/wp-json\/wp\/v2\/media?parent=6774"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/bmin.info\/WP\/wp-json\/wp\/v2\/categories?post=6774"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/bmin.info\/WP\/wp-json\/wp\/v2\/tags?post=6774"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}