Nicht mehr nach Kleingeld kramen, nicht jedes Mal den eigenen Namen auf einen Fetzen Papier kritzeln und schon gar keine Geheimzahlen mehr auswendig lernen müssen. Mit der Near-Field-Communication-Technologie (NFC), das versprechen Kreditkartenfirmen, reiche es aus, einfach das Portemonnaie mitsamt der Kreditkarte auf ein Lesegerät zu legen, abgebucht werde der Betrag dann ganz automatisch. In den Vereinigten Staaten ist das längst Stand der Technik.
Auch in Deutschland sind schon Millionen Karten mit einem NFC-Chip ausgerüstet. Mehr als 100 Millionen NFC-Karten hat beispielsweise Mastercard weltweit ausgegeben. 1,2 Millionen Karten davon stecken in deutschen Geldbeuteln.
Wie sicher ist NFC? Völlig unsicher, urteilt das Politmagazin des Bayerischen Rundfunks, Report München. "Hacker haben leichtes Spiel - mit einem Handy können die Daten einfach ausspioniert werden", verkündet das Magazin in einer Pressemitteilung (hier der Beitrag). Von einem Computerfachmann ließen sich die Reporter eine App für ihr Smartphone programmieren.
Wie mit einem der Geräte, das in Geschäften zum Zahlen per Kreditkarte dient, konnten sie danach die Daten abfragen. Um diese überhaupt abzufangen, mussten sich die BR-Reporter auf vier Zentimeter den Portemonnaies der Ausgespähten nähern. Im Gedränge in der U-Bahn, sei das kein Problem gewesen. Gelingt es einem tatsächlich, anderen Fahrgästen unbemerkt so nah auf die Pelle zu rücken, erscheinen auf dem Display des Smartphones die Kreditkartennummer und das Ablaufdatum. Die Prüfziffer auf der Rückseite der Karte oder der Name des Inhabers werden allerdings nicht übermittelt.
"Für Gangster völlig unbrauchbar"
Hat Report München nun tatsächlich eine Sicherheitslücke entdeckt? "Nein", sagt Thorsten Klein. Er ist der Sprecher von Mastercard Deutschland. "Das Thema ist alt, alle Jahre wieder glaubt irgendwer, eine Lücke gefunden zu haben." Dass ein Teil der Daten leicht auslesbar ist, sei bekannt, sagt Klein, aber kein Problem. Die Daten seien nicht personenbezogen und reichten nicht aus, um etwa im Internet einzukaufen. "Das ist also ein rein theoretisches Modell und für Gangster völlig unbrauchbar." Denn zum Bezahlen im Internet brauche man immer die dreistellige Prüfziffer auf der Rückseite der Karte, häufig wird sogar ein spezielles Passwort verlangt.
Die Reporter berichten jedoch, es sei ihnen gelungen lediglich mit der ausgespähten Kartennummer und dem Ablaufdatum im Internet einzukaufen. Die Kreditkartenbesitzer müssten daher unbedingt geschützt werden. Dem schließt sich die Verbraucherzentrale in Nordrhein-Westfalen an. Die Daten auf der Karte müssten unbedingt verschlüsselt werden.
"Technisch ist das kein Problem", sagt Frederic Stumpf. Er ist Bereichsleiter am Fraunhofer Institut in München und forscht seit Jahren im Bereich der Near Field Communication. "Es kommt nur darauf an, welchen Standard eine Kreditkartenfirma nutzt." Es gebe dutzende Verfahren. "Bei einigen muss man bei hohen Beträgen zur Sicherheit sogar zur Bestätigung die Pin-Nummer eingeben."
Eine zusätzliche Verschlüsselung, heißt es hingegen beim Kreditkartenanbieter Mastercard, würde den Zahlprozess verlangsamen und hätte keinerlei Vorteile. "Verbraucher müssen sich hier nicht verunsichern lassen", sagt Klein. "Verzichtet ein Händler tatsächlich auf die Prüfziffer und begnügt sich mit der Kreditkartennummer und dem Ablaufdatum, dann haftet er." Der betroffene Kartenbesitzer müsse den Schaden auf keinen Fall bezahlen. Wegen des hohen Risikos komme es praktisch nicht vor, dass sich ein Händler darauf einlasse. "Das wäre in etwa so, als wenn man ein teures Auto kauft, ABS und ESP ausschaltet, sich nicht anschnallt und danach dem Hersteller vorwirft, ein unsicheres Auto gebaut zu haben."