Bezahlen ohne PIN: Wie sicher es wirklich ist

Kontaktloses Bezahlen via NFC ist bei Kreditkarten bereits Standard, Brieftaschenapps für Smartphones werden beliebter. Stellt sich die Frage, wie sicher das Zahlen über Funk ist.

Gerüchte vom bevorstehenden Endes des Bargelds gibt es schon länger. Sollte es tatsächlich einmal so weit sein, bezahlen wir unsere Rechnungen vielleicht alle elektronisch und kontaktlos, also ohne Eingabe einer PIN-Nummer. Das moderne Portemonnaie ist digital, läuft mittels App auf unserem Smartphone oder versteckt sich als NFC-Chip auf unseren Kredit- und Bankomatkarten. NFC steht für „Near Field Communication“, also für ein Funksignal, das nur über sehr kurze Distanzen funktioniert.

Kriminelle könnten das NFC-Funksignal verstärken

Das NFC-Signal hat eine Reichweite von etwa fünf bis zehn Zentimeter, sagt Ronald Eikenberg vom deutschen IT-Fachmagazin c’t. Dies bedeute, dass man die Kredit- oder Bankomatkarte sehr nah an das Bezahlterminal halten beziehungsweise direkt auflegen müsse, damit der Bezahlvorgang funktioniert. So sei zwar ein gewisser Grad an Sicherheit gewährleistet, was aber keinesfalls heißen soll, dass Kriminelle dieses Kurzstrecken-Funksignal nicht abfangen könnten.

Zum Beispiel sei es recht unkompliziert,die Funkstrecke zu verlängern, so Eikenberg. In so einem Fall würden etwa zwei Smartphones, die mit einem NFC-Chip ausgestattet sind, als Verstärker des Kurzstrecken-NFC Signals fungieren. Eines der Geräte wird in unmittelbarer Nähe der Bankomatkassa platziert, ein weiteres etwa in der Nähe der Gesäßtasche des potentiellen Opfers. Auf diese Weise könnte das NFC-Funksignal verstärkt und die Funkstrecke somit verlängert werden. In einem anderem Versuch ist es IT-Experten unter Testbedingungen gelungen, mittels einer selbstgebastelten Antenne die Funkstrecke des NFC-Signals auf 20 Zentimeter zu verlängern. Auf diese Art könnten Kriminelle drahtlose Transaktionen durchführen, ohne dass der Besitzer der betroffenen Kreditkarte etwas davon mitbekommt, so der IT-Experte.

Six-Payment-Services: „Bis zu 125 Euro Schaden möglich“

Mit einer österreichischen NFC-Karte können Beträge bis zu 25 Euro kontaktlos bezahlt werden. Insgesamt können fünf Buchungen durchgeführt werden. Ab der sechsten Buchung ist die Eingabe der PIN-Nummer wieder zwingend erforderlich, heißt es bei der Pressestelle des Zahlungsdienstleisters Six-Payment-Services, ehemals Pay-Life-Austria. Sollte die Karte also verloren gehen, könne der durch kontaktloses Zahlen verursachte Schaden also maximal 125 Euro – eben 5 mal 25 Euro – betragen.

Gefahr durch NFC-Spionage-Apps

Im Internet kursieren mittlerweile auch Apps, die speziell dazu gedacht sind, die Daten von NFC-Kreditkarten auszuspionieren. In manchen Fällen genügt es, das Smartphone an eine fremde Handtasche zu halten,um etwa an den Namen des Kartenbesitzers, die Kreditkartennummer und den Gültigkeitszeitraum der Karte zu gelangen. Diese Informationen können theoretisch auch benutzt werden, um in Onlineshops einzukaufen. In solchen Fällen wäre daher auch ein Schaden weit jenseits der 25 Euro möglich. Sicherheitsexperten raten Konsumenten besonders bei Gedränge zu erhöhter Vorsicht.

Zahlen mit dem Smartphone sicherer als mit Kreditkarte

Neben NFC-Karten kommen mittlerweile auch elektronische Wallets, also digitale Geldbörsen, die als App auf dem Smartphone installiert sind, verstärkt in Mode. Diese Apps geben sich quasi als Kreditkarte aus, so c’t-Experte Eikenberg. Für die Bankomatkassa mache es zunächst also keinen Unterschied, ob der Kunde mit seiner physischen Kreditkarte oder der digitalen App seines Smartphones bezahlt.

Digitale Geldbörsen würden mittlerweile hohe Sicherheitsanforderungen erfüllen, so Six-Payment gegenüber help.ORF.at. Bei der mobilen Kreditkarte „PayLife nulleinhundert“ könne der Kunde in den Einstellungen zwischen verschiedenen Sicherheitsstufen wählen – von bequem bis sicher.

Sicherer Zahlungsverkehr auf Kosten der Privatsphäre

Auch aus der Sicht des IT-Experten Ronald Eikenberg ist das drahtlose Zahlen mit dem Handy eine weitgehend sichere Angelegenheit. Paradoxerweise aufgrund von Eigenschaften, die bei Hütern der Privatsphäre generell eher die Alarmglocken läuten lassen. So könne das Smartphone etwa Daten über den Standort des Nutzers übermitteln, um zu eruieren, dass es sich auch tatsächlich um den rechtmäßigen Besitzer handelt. Gleichzeitig könnten etwa automatisch Passwortabfragen durchgeführt werden. Auf diese Weise sei eine digitale Bezahl-App in jedem Fall sicherer als eine herkömmliche, kontaktlose Kreditkarte, so der Sicherheitsexperte.

Einen weiteren Vorteil bietet aus Sicht des Experten die Art der Datenübermittlung bei mobilen Bezahlapplikationen. Apps, die sich als Kreditkarte ausgeben, senden zwar eine Kartennummer, jedoch niemals die tatsächliche Kreditkartennummer des Inhabers. Das System funktioniere ähnlich wie bei einer dynamischen IP-Adresse, die etwa bei jeder Einwahl ins Internet neu vergeben wird. Selbst wenn diese Daten abgegriffen würden, könne man sie nicht oder nicht lange nutzen, um Abbuchungen zu tätigen, die der Kreditkarteninhaber so nicht gewollt hat, so Eikenberg.

Verlorene Karten oder Handys sofort sperren lassen

Ansonsten gelten für kontaktlose Bezahlsysteme dieselben Angriffsszenarien wie für herkömmliche, analoge Varianten, so Six Payment. Diebstahl, Verlust oder das Ausspionieren des PIN-Codes seien die häufigsten Vorkommnisse. Ein Verlust eines Mobiltelefons oder einer Karte sollte daher umgehend beim jeweiligen Anbieter gemeldet werden.

Karteninhaber einer Six-Karte, die unverschuldet Opfer eines Betruges werden, hätten darüber hinaus kein Risiko zu tragen. In so einem Fall würde das Unternehmen haften, vorausgesetzt, dass man die grundlegenden Sicherheitsempfehlungen zum Schutz der Karte, des Mobiltelefons und des PIN-Codes beachtet hat.

Tipps zum sicheren Umgang mit dem PIN-Code

• Sagen Sie niemandem Ihren PIN-Code – er wird ausschließlich für Bezahlungen und Geldbehebungen gebraucht.

• Beantworten Sie keine persönlichen schriftlichen oder telefonischen Fragen nach Ihrem PIN-Code.

• Stellen Sie sicher, dass Dritte keine Kenntnis von Ihrem PIN-Code erlangen – Sie können jederzeit kostenlos eine erneute Zusendung veranlassen, wenn Sie den PIN-Code vergessen sollten.

• Lassen Sie sich auf keinen Fall von Fremden „helfen“, wenn Sie mit dem PIN-Code Geld beheben oder bezahlen.

• Vermeiden Sie, dass man Ihnen am Geldautomaten oder beim Zahlen mit Ihrer Kreditkarte und dem PIN-Code über die Schulter sehen kann.

• Decken Sie während der Code-Eingabe mit Ihrer freien Hand und/oder Ihrem Körper das Zahlenfeld ab.

• Melden Sie unverzüglich rund um die Uhr, wenn Ihr Karte oder Kartendaten verloren, gestohlen wurden oder missbräuchlich verwendet werden.

• Überprüfen Sie Ihre Kontoauszüge sorgfältig.

Laut Six-Payment ist seit Einführung der Kontaktlos-Technologie NFC bei den internationalen Kartengesellschaften noch kein Anstieg von Betrugsfällen verzeichnet worden.

Paul Urban Blaha, help.ORF.at

Mehr zum Thema:

• Gratis-App spioniert Kreditkarten aus
• Test: Datenklau bei NFC-Karten möglich