Schlangen an der Ladenkasse. Damit soll jetzt Schluss sein:

Eine neue Erfindung der Kreditkartenindustrie soll es richten: Der Kunde hält seine Kreditkarte nur an das Kassenterminal und schon ist der Rechnungsbetrag abgebucht.

Ein neues Bezahlsystem per Funk! Visa nennt es Pay Wave, bei Mastercard heißt es Pay Pass.

Zusammen mit einem Hacker untersucht report MÜNCHEN die neue Technik. Schnell wird klar: Hier deuten sich erstaunliche Sicherheitsmängel an, so gravierend, dass der Datenmissbrauch zum Kinderspiel wird. Kaum einer weiß:

Neuerdings funkt der Chip auf der Karte die Daten zur Ladenkasse.

Wir schneiden eine Karte auf und finden tatsächlich eine winzig kleine Antenne. Kontaktlos leitet sie die Kartendaten weiter.

Künftig sollen alle schneller zahlen. Millionen von Kunden sollen neue Kreditkarten bekommen.

Termin bei der Computer-Sicherheitsfirma Integralis in Burscheid bei Leverkusen. Der hauseigene Hacker Thomas Skora will uns zeigen, dass die neuen Karten unsicher sind. Deshalb bastelt er an einem Programm für sein Handy, einer so genannten App. Er sagt, die könne dann die Daten von Kreditkarten auslesen und keiner würde etwas merken.

report MÜNCHEN: „Wie lange haben Sie dazu gebraucht?“

Thomas Skora, Computerexperte: „Da war ich etwa eineinhalb Stunden mit beschäftigt.“

report MÜNCHEN: „Dann schauen wir mal, ob das Programm auch funktioniert. Können Sie meine Karte auslesen?“

Thomas Skora, Computerexperte: „Dann starte ich dieses Programm. Und wenn ich jetzt die Karte dranhalte, dann sieht man zum einen Typ Mastercard.“

report MÜNCHEN: „…tatsächlich meine Kartennummer, Verfallsdatum und Kartennummer.“

Thomas Skora, Computerexperte: „In der Karte integriert befindet sich eine Antenne. Über diese Antenne können diese Daten eben abgefragt werden. Und das Ganze funktioniert dann per Funk.“

Mit unserem soeben präparierten Handy machen wir den Test und spielen Datendieb. Tatsächlich, das Handy kann die Daten der Kreditkarte einfangen.

Nun wollen wir die Leute fragen: Wissen sie, dass ihre neuen Kreditkarten so leicht ausgelesen werden können:

report MÜNCHEN: „So jetzt passen Sie mal auf. Jetzt nehmen wir das Telefon und Sie halten einfach drunter die Karte. Warten Sie: Und jetzt schauen Sie bitte mal, ob das Ihre Kartennummer ist. Ziehen Sie mal unten die Karte raus. Ist das Ihre Kartennummer?“

Mann 1: „Ja tatsächlich. Stimmt, das ist meine Kartennummer.“

report MÜNCHEN: „Schockt Sie das?“

Mann 1: „Ich denke, das ist schon schockierend, weil der Spionage natürlich hier neue technische Möglichkeiten gegeben werden.“

report MÜNCHEN: „So, jetzt schauen Sie mal, ob das Ihre Kreditkartennummer ist. Da unten.“

Mann 2: „Ja. Jetzt schauen wir mal, ja das ist meine Nummer.“

report MÜNCHEN: „So, da legen wir die mal da drauf. Sie können es selber, oder drunter. Jetzt schauen wir mal so, sind das Ihre Daten?“

Mann 3: „Ja.“

Völlig unbemerkt, nur mit einem Handy bewaffnet, könnten Täter künftig an belebten Orten auf Datenklau gehen. Wir stellen ein paar Szenen nach und fischen unsere eigenen Kreditkartendaten noch einmal ab. Unser Test zeigt: Das Handy muss nicht einmal direkten Kontakt mit dem Geldbeutel haben - in einem Abstand bis zu 4 cm kann es Daten auslesen.

Mit genau diesen Daten, die das Handy per Funk eingefangen hat, können wir nun im Internet einkaufen.

Datenklau per Funk:

Wir berichten dem Taschendiebstahl-Fahnder Andreas Mittermeier von der Münchner Polizei von unseren Recherchen. Für ihn ist das ein ziemlich erschreckendes Szenario. Denn bisher konnte er einen Dieb dann überführen, wenn er eine Tat beobachten konnte. Die neue Technik macht die Jagd auf Diebe zu einem schier unlösbaren Problem:

Andreas Mittermeier, Polizei München: „Weil man eigentlich nur noch einen kurzen Kontakt braucht, und die Fingerfertigkeit des Ziehens der Geldbörse hier eigentlich nicht mehr erforderlich ist. Für die Ermittlungsarbeit denke ich, ist das grundsätzlich von der Papierform sehr schwierig, weil ich glaube, dass die Opfer sehr, sehr spät draufkommen, dass sie Opfer eines Datenklaus geworden sind. Und für die vor Ort Feststellungen wird es so sein, dass natürlich der Tatnachweis dann unwahrscheinlich schwer zu führen sein wird.“

Der Einkauf mit den abgefischten Daten hat geklappt. Bis zum Kartenlimit könnte ein Dieb nun einkaufen. Mastercard und Visa halten die neue Funktechnik dennoch für sicher. Schließlich gäbe es weitere Sicherheitsmerkmale, wie den 3-stelligen Code auf der Rückseite der Karte, den der Täter nicht kennt. Doch der wird, nach einer Stichprobe von report MÜNCHEN, nicht immer geprüft. Trotzdem: Die Kartenhersteller sehen kein Problem: Die Händler seien in der Haftung.

Mastercard betont, Zitat:

Mastercard (schriftliche Antwort): „Karteninhaber sind damit in jedem Fall vor Schäden sicher.“

Und auch Visa besteht darauf:

Visa (schriftliche Antwort): „Fragt der Onlinehändler diese Sicherheitsmerkmale nicht ab, dann haftet er bei Betrug, nicht der Karteninhaber.“

Verbraucherexperte Markus Feck ärgert sich über diese Antwort. Denn zum Einen muss der Karteninhaber nachweisen, dass er nicht selber eingekauft hat. Und hinzukommt:

Markus Feck, Verbraucherzentrale Nordrhein-Westfalen: „Wenn die Händler natürlich hier über einen längeren Zeitraum auf ihren Schäden sitzenbleiben, wird das schlussendlich dann beim Verbraucher ankommen, diese Kosten werden auf die Preise umgewälzt und schlussendlich dann der Allgemeinheit auferlegt. […] Ich finde das Ergebnis auch sehr erschreckend, dass man unwissenden Bürgern so leicht die Daten aus der Tasche ziehen kann.“

Derzeit bietet zum Beispiel Schutz: Alufolie, zum Abschirmen der Funkstrahlung. Letzter Test: Wir wickeln unsere Karte darin ein. Was kommt jetzt auf dem Handy an?

Thomas Skora, Computerexperte: „Da kommt jetzt nichts mehr. Also die Karte ist jetzt gegen den Lauschangriff abgesichert.“

report MÜNCHEN: „Keine Daten mehr auslesbar?“

Thomas Skora, Computerexperte: „Ne keine Daten mehr auslesbar.“

Alufolie als Schutz vor Dieben! – Soll das die Lösung für Millionen von Kartenkunden sein?