Kreditkarten mit Funk-Chip: Ein Handy-App liest Daten, ohne dass Sie es merken © tv

Kreditkarten mit Funk-Chip: Ein Handy-App liest Daten, ohne dass Sie es merken

Datenklau bei Kreditkarten: Leichter als man denkt

Red. / 15. Okt 2016 - Mit einer Schnüffel-App auf dem Smartphone können Betrüger Daten von Kreditkarten heimlich ausspionieren und missbrauchen.

Ob Visa, Mastercard oder Diners: Fast in allen neuen Kreditkarten ist ein Funk-Chip eingebaut, der kontaktloses Bezahlen ermöglicht. Man erkennt solche Karten am WLAN-Symbol. Mit grossem Tamtam wurde dafür geworben. Der Kunde muss sie nur nahe ans Karten-Terminal oder Lesegerät halten, und schon ist der Einkauf bezahlt. Der Datenaustausch erfolgt unmittelbar per Funksignal. Transaktionen für Kleinbeträge bis 40 Franken brauchen weder PIN-Code noch Unterschrift.

Funksignale aus der Tasche

Allerdings hat dieses System eine gravierende Sicherheitslücke. Kriminelle können Kartendaten heimlich ausspionieren und auf Kosten ihrer Opfer online shoppen gehen. Wie einfach das ist, hat IT-Sicherheitsexperte Tobias Schrödel in der Sendung «Stern-TV» demonstriert.

Mit einer Schnüffel-App auf seinem Smartphone konnte Schrödel reihenweise Kreditkartendaten kopieren – ohne dass die ahnungslosen Opfer etwas merkten. Dazu musste das Handy keinen direkten Kontakt mit dem Portemonnaie haben. Sobald er wenige Zentimeter an die fremde Kreditkarte herankam, zeigte sein Handy die Nummer und das Ablaufdatum der Karte an – sehr zur Überraschung der Betroffenen. Denn kaum jemand weiss, dass es aus dem Portmonnaie permanent funkt. Und: «Wo gefunkt wird, da kann man auch mitlesen», warnt der IT-Spezialist, «denn nicht nur die dafür vorgesehenen Zahl-Terminals können die Funksignale empfangen.»

Kreditkarten-Herausgeber wissen Bescheid, aber verharmlosen

Das wissen auch die Herausgeber der Karten. So weist zum Beispiel die Viseca Card Services SA in ihrer «Datenschutzerklärung» explizit darauf hin: «Es ist jedoch möglich, dass auf dem Chip gespeicherte Kartendaten und die bei MasterCard-gespeicherten Daten zu den zehn letzten vorgenommenen Transaktionen mit Hilfe eines geeigneten Gerätes und entsprechender Software, aus dem Chip ausgelesen werden können, ohne dass der Karteninhaber dies merkt.»

Konsumentenorganisationen haben wiederholt auf das Sicherheitsleck hingewiesen und vor Betrug mit fremden Kartendaten gewarnt. Doch die Herausgeber verharmlosen das Problem. Auf ihren Webseiten verweisen sie auf «hohe Sicherheitsstandards» und darauf, dass PIN, Name des Inhabers sowie der dreistellige Sicherheitscode auf der Kartenrückseite nicht per Funk übertragen werden. Letzteres verlangen die meisten Online-Shops, wenn man mit Kreditkarte bezahlen will. Aber eben längst nicht alle.

Mit geklauten Kartendaten auf Einkaufstour

So genügen etwa beim Online-Riesen Amazon die Kreditkartennummer und das Ablaufdatum der Karte, um einen Kauf abzuschliessen. In zwei Fällen demonstrierte Schrödel in «Stern-TV», wie er mit den ausgespähten Daten Waren von Amazon an seine Adresse bestellen konnte. Er benötigte weder PIN noch Prüfziffer der Kreditkarte. Auch den eingegebenen Namen des vermeintlichen Karteninhabers verifizierte man bei Amazon offenbar nicht. Noch schlimmer: Sind die geklauten Kartendaten in einem Amazon-Konto erst einmal hinterlegt, kann man über das Bezahlsystem «Amazon Payments» bei Tausenden Online-Shops einkaufen – ohne dass der Kartenbesitzer etwas bemerkt.

Der Experte rät: Karte in Alufolie einwickeln

Das böse Erwachen kommt erst am Ende des Monats mit der Kreditkartenrechnung. Wer Unregelmässigkeiten feststellt, sollte am besten sofort die Bank oder den Kartenherausgeber kontaktieren und im Zweifel die Karte sperren lassen, rät «Stern-TV». Noch besser ist es natürlich, die Kreditkarte vor Datendieben zu schützen. Es gibt spezielle Hüllen und Portmonnaies, die den Funkkontakt blockieren. Ebenso wirksam und gratis: die Kreditkarte in ein Stück Alufolie einwickeln.

Themenbezogene Interessen (-bindung) der Autorin/des Autors

Keine.

Meinungen / Ihre Meinung eingeben

Ähnliche Artikel dank Ihrer Spende

Möchten Sie weitere solche Beiträge lesen? Ihre Spende macht es möglich:

Mit Kreditkarte oder Paypal - oder direkt aufs Spendenkonto für Stiftung SSUI, Jurablickstr. 69, 3095 Spiegel BE
IBAN CH0309000000604575581 (SSUI)
BIC/SWIFT POFICHBEXXX, Clearing: 09000

Ihre Spenden können Sie bei den Steuern abziehen.

Einzahlungsschein anfordern: kontakt@infosperber.ch (Postadresse angeben!)

6 Meinungen

Die UBS avisiert mich per Mail sofort nach jeder Kreditkartenverwendung über CHF 40.--. Ich habe somit keine Überraschungen. Besser wäre es wenn alle Benutzungen avisiert würde, aber mein Risiko ist so ja ziemlich limitiert.
Jürg Ackermann, am 15. Oktober 2016 um 10:40 Uhr
Herr Ackermann, vielleicht sollten Sie den Artikel nochmals durchlesen.
Thomas Müller, am 15. Oktober 2016 um 13:39 Uhr
Wir haben es bei diesen Chips mit einer grobfahrlässigen Verletzung des Bankgeheimnisses zu tun, strafbar gemäss Artikel 47, Absatz 2, des Bundesgesetzes vom 8. November 1934 über die Banken und Sparkassen, Stand 2016 (BankG). Es ist eigentlich verwunderlich, dass die Bankenaufsicht und die Staatsanwaltschaften noch nicht tätig geworden sind und die Chips verbieten und gegen die Verantwortlichen ein Strafverfahren eingeleitet haben.
Dietrich Michael Weidmann, am 16. Oktober 2016 um 11:58 Uhr
Als ich für meine Karte diese Funktion sperren lassen wollte, weil sie mir ungefragt untergejubelt worden war, erhielt ich als Antwort einen Brief, der das kontaktlose Bezahlen hochjubelte, und auf meine Rückfrage, wie es denn nun mit dem Sperren sei, ein noch ausführlicheres Loblied auf die neue Funktion.
Daniel Goldstein, am 17. Oktober 2016 um 13:22 Uhr
Nicht zu vergessen, dass die Möglichkeit des
heimlichen Auslesens auf Distanz auch für den
häufig neben der Kreditkarte aufbewahrten Pass
oder die Identitätskarte gilt.
Von diesen amtlichen Dokumenten lässt sich dann
der in der Kreditkarte fehlende Name des Inhabers
auch gleich auslesen !
Unsere Exekutive hat vor einigen Jahren nichts
unversucht gelassen, um das äusserst knappe
Resultat der Abstimmung über die Einführung
mit solchen RFID (radio-frequency identification)
Chips ausgestatteten biometrischer Pässe
und IDs nach ihrem Wunsch zu beeinflussen.

Ein angstmacherisches Radiointerview von EWS
und die Seelenmassage, welche Oberpolizist
Knecht dem Ständerat vor dessen diesbezüglichen
Abstimmung verpasste, waren Beispiele der Verletzung
der in der Verfassung verankerten Gewaltentrennung.

Dies dürfte die Erklärung sein, wieso heute Bankenaufsicht
und Staatsanwaltschaften schlecht in Sachen
Sicherheitsgefährdung durch RFID tätig werden können.
Das wäre sonst ein Schuss ins eigene Bein. Also schweigen
sie, da bei Bürgerinnen und Bürgern sonst schwerwiegende
Zweifel an der Vernunft an von Organen der Exekutive gegebenen
Empfehlungen aufkommen würden.
Peter Schleuss, am 17. Oktober 2016 um 15:11 Uhr
Korrigendum: Der Oberpolzist im vorhergehenden Kommentar
heisst nicht Knecht sondern Käser.
Peter Schleuss, am 18. Oktober 2016 um 18:59 Uhr

Ihre Meinung

Loggen Sie sich ein, um Ihre Meinung unter Ihrem richtigen Namen zu äussern. Wir gestatten keine Meinungseinträge anonymer User, um Missbräuche zu vermeiden. Hier können Sie sich registrieren.
Sollten Sie ihr Passwort vergessen haben, können Sie es neu anfordern. Achtung: Die Länge der Einträge ist beschränkt und wir erlauben nicht, zwei Meinungseinträge unmittelbar hintereinander zu platzieren. Unnötig herabsetzende Formulierungen ändern oder löschen wir ohne Korrespondenz.