NFC-Bankomatkarten: Sicherheitsexperte zeigt Sicherheitslücke auf

16. Juni 2014, 10:33
501 Postings

Auf dem CCCamp in Wien wurde demonstriert, welche Gefahren kontaktlose Zahlungsmethoden bergen

Das Thema beschäftigte erst am Donnerstag den Nationalrat. Wie sicher sind NFC-Bankomatkarten? Eine Antwort gab Sicherheitsexperte Roland Giersig am Samstag auf dem CCCamp des ClubComputer in der HTL Wien 3R am Rennweg. Dort demonstrierte er, wie man mit einer Smartphone-App, die auf zwei Handys installiert wurde, Geld von einer NFC-Karte abbuchen kann. Dazu verwendete er eine mobile Bankomatkasse, wie sie beispielsweise in der Gastronomie zu finden sind.

Bankomat-, Kredit- und Quickkarten mit NFC-Funktechnik werden schon länger an Kunden in Österreich ausgegeben. Die Funkttechnik NFC (Near Field Communication) macht es möglich, an Kassen ohne Einstecken der Karte und der Eingabe eines PIN-Codes Kleinbeträge von bis zu 25 Euro zu bezahlen.

NFC-fähiges Handy muss in unmittelbarer Nähe der Karte platziert werden

Um Geld von einer NFC-Karte ohne Wissen des Inhabers abzubuchen, wird zuerst ein Zahlungsvorgang auf der mobilen Bankomatkasse eingeleitet. Dann muss das eine NFC-fähige Handy lediglich in unmittelbarer Nähe der Karte platziert werden, die App tut den Rest. Sie überträgt die abgefangenen Daten der Karte an das zweite Smartphone, auf dem ebenfalls eine Kopie der App installiert ist. Mit diesem Smartphone kann dann wie mit der echten Karte an der Bankomatkasse "bezahlt" werden.

Im Rahmen seiner Vorführung gab Giersig verschieden hohe Beträge in die Kasse ein, die schließlich erfolgreich von einer NFC-Quickkarte abgebucht wurden.

Mögliche Schäden

Dies sei auch bei Kredit- und Bankomatkarten möglich, erklärte Giersig. Allerdings sei für Transaktionen mit Kreditkarte immer noch eine Unterschrift nötig. Diese wird jedoch nicht automatisch von der Kreditkartenfirma geprüft, sondern der Karteninhaber muss Einspruch erheben, sobald ihm die falsche Abbuchung auffällt.

125 Euro oder mehr

Wird eine Bankomatkarte derart angezapft, kann ein maximaler Schaden von 125 Euro entstehen, da fünf Abbuchungen zu je 25 Euro ohne explizierte Zustimmung des Karteninhabers durch Eingabe des Codes möglich sind. Bei einer Quick-Karte hingegen gibt es keine Einschränkungen, hier kann das gesamte Guthaben auf einen Schlag abgebucht werden.

Bankomatkasse offiziell bei einem Anbieter bestellt

Die App, die sich sich auf Android-Handys installieren lässt, ist frei im Internet verfügbar - samt dem Programmcode, sagte Giersing. Den Namen des Programmes nannte er allerdings bewusst nicht. Die Bankomatkasse, die über GSM-Technik verfügt, konnte direkt bei einem Anbieter bestellt werden.

Szenario

Auch ein mögliches Szenario, wie Kriminelle die Technik nutzen könnten, malte der IT-Experte an die Wand. Diese könnten in einer vollen U-Bahn einfach mit einem Handy Daten abgreifen und an eine Bankomatkasse weiterleiten. Weil sich diese auch im Ausland befinden könnte, wären Diebe nur schwer zu fassen, sagte Giersig.

Alufolie schützt

Als Schutz empfiehlt der Sicherheitsexperte dringend, NFC-fähige Karten nur in speziellen abschirmenden Hüllen aufzubewahren, wie sie von einigen Banken zur Verfügung gestellt werden. "Zur Not tut es aber auch ein Stück Alufolie, das man unter die Karte in die Brieftasche steckt" riet Giersig abschließend.

Kein einziger Missbrauchsfall bekannt

Der NFC-Bankomatkartenanbieter "Payment Services Austria" sieht die Sicherheitslücke gelassen. "NFC wird bereits seit mehr als 12 Jahren und in mehr als 52 Ländern eingesetzt und uns ist kein einziger Missbrauchsfall bekannt", so das Unternehmen in seiner Stellungnahme gegenüber dem WebStandard. "Die Bankomatkarte ist nach wie vor sicherer als Bargeld."

Auch stehe der Aufwand, mit dem Lücke ausgenutzt werden kann, "in keinerlei Relation zur möglichen Beute". Ergänzend wird betont, dass es nicht reiche "ein Handy an die Hosentasche zu halten in der sich die Bankomatkarte in der Geldbörse befindet". Zusätzlich muss ein möglicher Betrüger über eine geeignete Bankomatkassa samt Vertrag verfügen, so das Unternehmen.

Kunden mit NFC zwangsbeglückt

Die Technik kam in den vergangenen Monaten in die Kritik, da einige Banken ihre Kunden bei neuen Bankomatkarten mit NFC zwangsbeglückten – egal ob man die Funktion nutzen wollte oder nicht. Wie berichtet ist es möglich, ebenfalls mit einer Smartphone-App, Informationen von Bankomatkarten auszulesen. Etwa die letzten Transaktionen, die mit der Karte getätigt wurden, oder das Quick-Guthaben, das dem Karteninhaber zur Verfügung steht. (Markus Sulzbacher, 15.6. 2014)

  • Roland Giersing bei der Demonstration im Rahmen des CCCamp des ClubComputer in Wien.
    foto: sum

    Roland Giersing bei der Demonstration im Rahmen des CCCamp des ClubComputer in Wien.

  • Bankomatkarte mit NFC-Funktion. Mit NFC ist eine Kommunikation nur über sehr kurze Distanzen bis maximal zehn Zentimeter möglich, typisch sind ein bis vier Zentimeter. Die Übertragungsgeschwindigkeit ist mit bis zu 414 Kilobyte pro Sekunde verhältnismäßig niedrig

    Bankomatkarte mit NFC-Funktion. Mit NFC ist eine Kommunikation nur über sehr kurze Distanzen bis maximal zehn Zentimeter möglich, typisch sind ein bis vier Zentimeter. Die Übertragungsgeschwindigkeit ist mit bis zu 414 Kilobyte pro Sekunde verhältnismäßig niedrig

  • Der Sicherheitsexperte erklärte, welcher Schaden entstehen kann.

    Der Sicherheitsexperte erklärte, welcher Schaden entstehen kann.

Share if you care.