NFC-Bankomatkarten: "Eine kleine Lücke kann schon ausreichen"

8. Jänner 2014, 18:52
237 Postings

Konsumentenschützern ist die "Zwangsbeglückung" der Kunden mit NFC ein Dorn im Auge

Eigentlich sollte das kontaktlose Bezahlen ohne PIN und Unterschrift eine bequeme Angelegenheit für den Kunden werden. Die Implementierung der sogenannten "NFC" (Near Field Communication) in Bankomatkarten sorgt dennoch für Ärger - vor allem, da einige Sicherheitslücken bekannt wurden. So lassen sich mit einer einfachen Smartphone-App wichtige Bankomatdaten auslesen: die Höhe der letzten Transaktionen genauso wie der verfügbare Betrag auf dem Quick-Chip - der WebStandard berichtete.

"Entwarnung"

Zu den Sicherheitsmängeln hat sich der Kartenanbieter Payment Services Austria (PSA) prompt mit der "Entwarnung" geäußert, dass es ab März neue Karten geben werde, die ohne die intern bereits bekannte Sicherheitslücke kommen. Der Bezahlanbieter PayLife wollte sich zu den Sicherheitsmängeln nicht äußern, da man die Verantwortung bei den Bankomatkarten sieht, die von PSA verwaltet werden. Der Kartenanbieter Card Complete sieht die Sicherheitsbedenken im Moment nur als theoretisches Problem. Es gebe noch keine bekannten Fälle, in denen es zu Missbrauch gekommen wäre.

Kundenbeschwerden

Die Arbeiterkammer bestätigt zwar, dass keine Fälle vorliegen, in denen Kunden konkret finanziell geschädigt wurden, meldet jedoch eine Häufung der Kundenbeschwerden zu NFC. Vor allem die "Zwangsbeglückung" der Kunden mit NFC ist den Konsumentenschützern ein Dorn im Auge.

Keine absolute Sicherheit

Laut dem Wiener Sicherheitsforscher Adrian Dabrowski von SBA-Research sei absolute Sicherheit bei solchen Anwendungen nicht möglich. Dabrowski hatte kürzlich demonstriert, wie einfach drahtlose RFID-Türschlösser, die technologisch mit NFC eng verwandt sind, zu knacken sind. "Grundsätzlich können bei Sicherheitslösungen auf sehr vielen Ebenen Fehler unterlaufen", so Dabrowski. "Eine kleine Lücke kann schon ausreichen, um das ganze System zu kompromittieren." Zusätzlich sei Sicherheit nicht beweis-, sondern lediglich widerlegbar: "Erst wenn ein System eine Reihe an qualifizierten Angriffen übersteht, kann man annehmen, dass es einigermaßen Sicherheit bietet." Jeder Hersteller behauptet, 'sichere' Lösungen anzubieten". Der Kunde könne dieses Versprechen allerdings von außen kaum überprüfen, so der Experte.

Deaktivierung möglich

Die Arbeiterkammer rät Konsumenten, sich die genauen Geschäftsbedingungen durchzulesen. Beim Auslesen der Karte durch die Smartphone-App könne der Kunde aber ohnehin nichts machen. Alle heimischen Bankinstitute bieten die Möglichkeit an, die NFC-Funktion nachträglich deaktivieren zu lassen. (Markus Sulzbacher/Iwona Wisniewska, DER STANDARD, 8.1. 2014)

  • Bereits im Herbst des vergangen Jahres zeigte das deutsche Bundeskriminalamt eine Android-App, mit der die Daten NFC-fähiger Bankomat- und Kreditkarten ausgelesen werden können. Das Bundeskriminalamt rät, Abbuchungen regelmäßig zu beobachten und bei SMS-Verständigungen nach Abbuchungen den Kontostand zu kontrollieren.
    foto: apa

    Bereits im Herbst des vergangen Jahres zeigte das deutsche Bundeskriminalamt eine Android-App, mit der die Daten NFC-fähiger Bankomat- und Kreditkarten ausgelesen werden können. Das Bundeskriminalamt rät, Abbuchungen regelmäßig zu beobachten und bei SMS-Verständigungen nach Abbuchungen den Kontostand zu kontrollieren.

Share if you care.