Schutz für NFC-Karten: Eine fast nutzlose Erfindung

Hüllen sollen NFC-Bezahlkarten vor Datendiebstahl schützen. Notwendig sind sie allerdings nicht.

Der kleine Comic im Online-Shop reicht, um Angst zu machen. Eine Frau trägt in ihrer Handtasche ein Portemonnaie und darin sind sie, die wertvolle Kreditkarte und die Girocard. Gekennzeichnet ist beides mit einem NFC-Symbol, den blauen Wellen, die von einem Punkt ausgehen. Das bedeutet: Damit kann man kontaktlos bezahlen. Nur wenige Zentimeter entfernt steht ein Mann, hält ein Gerät in die Nähe der fremden Karte, fängt die Daten quasi im Vorbeigehen ab und kauft mit Hilfe dieser im Internet für Tausende von Euro ein. Es ist dieses Szenario, mit dem Leute dazu bewegt werden, Schutzhüllen für NFC-Karten in Paketen von teils 15 Euro zu kaufen.

Das Problematische an dem Szenario, sagt der Verband der Kreditwirtschaft: Es ist extrem unrealistisch. Die Kosten bei Diebstahl erstattet zumeist die Bank - und die Hüllen gibt es bei den Banken sowieso umsonst dazu. Warum also werden diese Schutzhüllen reihenweise gekauft?

Seit einigen Jahren erlebt das mobile und kontaktlose Bezahlen in Deutschland einen Aufschwung. Die meisten Kreditkarten, aber auch Girocards, sind heute mit der Near-Field-Communication-Technik ausgestattet (NFC). Bei einer Bezahlung via NFC wird die Kreditkarte über ein elektromagnetisches Feld aktiviert. In Sekundenschnelle werden Daten via Funk ausgetauscht. So ist es möglich, dass man im Supermarkt die Karte nur noch kurz ans Kassenterminal tippt. Das funktioniert ebenso mit modernen Smartphones. In Deutschland kann man bei mittlerweile mehr als 60 Prozent aller Händler mittels NFC-Technik bezahlen, sagen die Bankenverbände.

Kann aber nun ein Dieb, mit einem Lesegerät an der Handtasche oder Brieftasche entlangfahren und die Daten auslesen? "Daten von NFC-Karten in der Öffentlichkeit heimlich abzugreifen, ist ein eher theoretisches Szenario", sagt ein Verbandssprecher. Es seien bisher keine Fälle bekannt, bei denen ein solcher Diebstahl außerhalb eines Testszenarios erfolgreich gewesen sei. Denn der Dieb muss dazu auf mehrere Zentimeter an die Karten herankommen, und es darf keine Störfaktoren geben. Zumeist ist allerdings mehr als eine Karte im Geldbeutel, womit die Auslesegeräte der Diebe Schwierigkeiten haben. Kommen dann noch Münzen oder andere Gegenstände dazu, ist es extrem schwierig, die Karte wirklich auszulesen, selbst wenn man das Smartphone direkt an das Portemonnaie hält.

Schaffe der Dieb es dennoch, kann er bei den Karten die ausgedruckte Nummer ablesen, bei der Kreditkarte etwa die Kartennummer und das Ablaufdatum. Anfangen kann er damit relativ wenig. In den meisten Internetshops ist neben der Kreditkartennummer und dem Ablaufdatum zumeist der Sicherheitscode einzugeben. Das ist jene dreistellige Zahl, die auf der Rückseite der Karte steht und nicht hervorgehoben ist. Somit kann er in nur wenigen Shops im Internet überhaupt mit diesen Daten einkaufen.

Wenn der Kunde nicht fahrlässig handelt, erstattet seine Bank den entstandenen Schaden

Verliert man die Karte, ist die NFC-Karte ebenso sicher wie eine herkömmliche Karte. Will der Dieb die gestohlenen Daten nutzen, um beispielsweise bei Aldi, Rewe oder H&M kontaktlos einzukaufen, darf er nur Ware unter 25 Euro kaufen, sonst erfragt das Kassenterminal meist eine Pin ab - und die kennt der Dieb nicht. Das gleiche Prinzip gilt, wenn er fünf Mal in kurzer Zeit unter 25 Euro eingekauft hat. Auch dann will das Terminal an der Ladenkasse eine Pin haben.

Selbst wenn der Dieb all das berücksichtigt und letztlich erfolgreich ist, trägt den Schaden nicht der Kunde, sondern zumeist die Bank. Handelt der Kunde nicht grob fahrlässig, erstattet das Geldhaus den Schaden aus Kulanzgründen. Wem das trotzdem zu unsicher ist, der kann wahlweise Alufolie um seine Karten wickeln, den NFC-Chip bei seiner Bank deaktivieren lassen oder sich eine NFC-Schutzhülle besorgen. Diese gibt es nämlich nicht nur im Internet, sondern wie gesagt bei den meisten Banken umsonst zur Karte dazu.