BR Fernsehen - Kontrovers


61

Kreditkartenbetrug Langfinger mit Handy und Antenne

Neue Kreditkarten muss man jetzt gar nicht mehr zücken, um zu bezahlen - vorausgesetzt, sie haben ein WLAN-Zeichen. Doch das Logo mit den vier Halbkreisen steht in dem Fall nicht für Komfort, sondern für Gefahr. Ohne die Karte zu berühren, können Kriminelle die Karte auslesen, auf fremde Kosten bezahlen und sogar ganze Identitäten klauen. Kontrovers über eine Schattenseite der schönen neuen Onlinewelt.

Von: Thomas Kießling

Stand: 14.12.2016

Weihnachtstrubel in München. Viele Kunden kaufen bereits mit neuen Kreditkarten ein. Mit ihnen kann man kontaktlos bezahlen und muss nur den Geldbeutel in die Nähe eines Bezahlterminals halten. Voraussetzung dafür ist der eingebaute NFC-Chip, zu erkennen am funkwellenartigen Zeichen auf der Kreditkarte. Das Zahlen wird so bequemer - aber ist es auch sicher?

Was sind NFC-Chips?

Das Kürzel NFC steht für Near Field Communication, also sinngemäß "Kommunikation über kurze Distanz". NFC-Funkchips werden zum Beispiel in Mobiltelefone oder in Bankkarten eingebaut und kommunizieren mit Supermarkt- oder Tankstellenkassen - sofern diese mit entsprechenden Lesegeräten ausgestattet sind. Das Prinzip ist einfach: Besitzt man ein NFC-fähiges Smartphone oder eine Zahlungskarte mit NFC-Chip, braucht man Smartphone oder Karte nur an das Lesegerät zu halten. Der Betrag wird automatisch vom Konto abgebucht oder der Kreditkartenrechnung belastet.

Wie leicht lassen sich NFC-Chips ausspionieren?

Wir machen den Test mit einem üblichen Smartphone und einer Spezialantenne. Die Antenne befestigen wir unter einem Tisch und legen das Smartphone oben auf die Platte. Dann bitten wir Passanten in der Fußgängerzone, ihren Geldbeutel auf die Tischplatte zu legen. Auf dem Display unseres Smartphones erscheinen sofort die Informationen der jeweiligen Kreditkarte: Neben den letzten Transaktionen sehen wir auch die 16stellige Kreditkartennummer und das Ablaufdatum. Und die Besitzer der Kreditkarten sind schockiert, mit welch geringem Aufwand wir ihre Daten auslesen konnten.

Der Deutsche Bankenverband sieht allerdings keinen Handlungsbedarf: Das Auslesen der Kreditkarten sei in der Praxis nicht möglich. Man müsse viel zu nah an die Karte heran.

"Im Prinzip brauchen Sie bis zu vier Zentimeter. Wenn Sie Ihr Portemonnaie in der Manteltasche haben ... Also ich lasse mich jetzt sozusagen nicht darauf ein zu sagen, es ist unsicher. Es ist ein sicherer Bezahlvorgang."

Julia Topar, Bundesverband deutscher Banken

"Es gibt keine hundertprozentige Sicherheit."

"Wir hören grundsätzlich bei allen Technologien immer, dass sie sicher sind. Und wir stellen immer hinterher fest, dass das nicht der Fall war. Ich wäre da sehr vorsichtig zu behaupten, dass etwas sicher ist. Es gibt keine hundertprozentige Sicherheit. In dem Fall reden wir aber auch nicht von 100 Prozent sondern wir reden eigentlich von grober Fahrlässigkeit."

Gunnar Porada, IT Spezialist

Auslesen auch aus 17 Zentimetern Abstand möglich

Auch in 17 Zentimeter Entfernung lassen sich die Kreditkartendaten im Geldbeutel noch auslesen.

Wir machen noch einen Versuch. Dieses Mal in einer Studentenmensa. Der gleiche Aufbau: Spezialantenne und handelsübliches Smartphone. Wir befestigen die Antenne unsichtbar unter einem Tisch und legen das Smartphone oben auf die Tischplatte. Dann simulieren wir, wie Studenten ihr Essen auf einem Tablett zusammen mit ihrem Geldbeutel daran vorbeiziehen - ähnlich wie beispielsweise vor der Mensakasse. Wieder lassen sich die Daten einfach und schnell auslesen. Und das nicht nur mit vier, sondern mit 17 Zentimeter Abstand. Anders als vom Bankenverband behauptet, können die Daten also sehr wohl aus größerer Entfernung geklaut werden.

"Bei allen Gästen, die ihr Tablett rüberschieben: Wenn das Portemonnaie draufliegt, werden die Kartendaten vollautomatisch ausgelesen und gleichzeitig via Internet verschickt."

Marco B. Feusi, B-Safer

Datenklau ohne Hacker-Kenntnisse

Die Besitzer der ausgespähten Kreditkarten sind erstaunt, wie leicht wir an ihre sensiblen Daten kommen konnten. Es sei schon verwunderlich, wie einfach das wäre, so der Tenor der Befragten. Denn dazu müsse man ja offensichtlich kein großer Hacker sein, wie einer der Studenten feststellt. Und das ist richtig. Denn die Software zum Scannen kann ganz einfach im Internet geladen werden - das funktioniert fast mit jedem Smartphone. Die Software, die wir in unserem Versuch nutzen, ist ein richtiger Kassenschlager.  

"Über eine halbe Million mal wurde das schon heruntergeladen. Also man kann davon ausgehen, dass einige das testen werden und illegal Daten ausspähen."

Marco B. Feusi, B-Safer

Im Internet bestellen auf fremde Rechnung

Und diese illegalen Daten lassen sich ganz leicht nutzen: Wir nehmen die 16stellige Kreditkartennummer, das Ablaufdatum, geben einen Fantasie-Namen ein - und bestellen im Internet eine Festplatte im Wert von 59 Euro, ganz einfach. Die Bestellung funktioniert, auch ohne den dreistelligen Sicherheitscode, der auf der Rückseite der Karte aufgedruckt ist.

Identitätsdiebstahl leicht gemacht

Doch der Diebstahl geht noch weiter - ganze Identitäten werden mit den elektronischen Daten kopiert. So ist es einem Arzt ergangen. Sein Name, Adresse, Geburtsdatum, Einkommen, Beruf und möglicherweise weitere persönliche Daten haben Betrüger bei ihm elektronisch ausspioniert.

"Das war ein ganz furchtbares Gefühl, einfach: Jetzt hast Du Dich und alle hier in Gefahr gebracht. Es ist so die große Unbekannte. Man weiss nicht, mit wem man es zu tun hat. Die haben keine Gesichter! Man weiss nicht: Ist es eine Einzelperson, ist es 'ne Gruppe, 'ne Mafia, die völlig skrupellos ist?"

Dr. Hans H. B

Betrugsopfer im Fokus der Justiz

Auf der Rolltreppe, an der Schlange vor der Kasse oder im Einkaufsgedränge: Oft merken es die Opfer gar nicht, dass sie ausgespäht wurden.

Viele Ausgespähte bemerken den Diebstahl ihrer Daten zunächst gar nicht. Manchmal mit fatalen Folgen. Kriminelle benutzen die ausgespähten Daten für Verbrechen. Der Beklaute, eigentlich ja das Opfer, steht so ganz schnell im Fokus der Justiz, wird für Taten verantwortlich gemacht, die er gar nicht begangen hat. Das geht bis zu Vollstreckungstiteln, die den Falschen treffen:  

"Ich habe einen Fall gehabt, da waren halt schon die Titel in der Welt - das waren Haftbefehle. Und der Mandant ist Angestellter einer Bank gewesen. Das kann den Job gefährden letzen Endes."

Klaus Lodigkeit, Rechtsanwalt IT-Recht

So können Sie sich schützen

Und so kann die neue Kreditkarte im schlechtesten Fall ein ganzes Leben auf den Kopf stellen. Einen Ausweg gibt es aber: Den Funk-Chip von der Bank abschalten lassen. Wer das nicht will, kann seine Kreditkarte auch in eine spezielle RFID-Schutzhülle stecken, die den NFC-Chip vor Lesegeräten abschirmt.
Und wer schon Opfer des Identitätsdiebstahls geworden ist, sollte seinen Fall der Schufa melden: www.schufa.de/identitaetsschutz


61