Die kontaktlose Datenübertragung bei Bezahlsystemen hält auch bei Kreditkarten unaufhaltsam Einzug. Mastercard hat mittlerweile weltweit 100 Millionen mit NFC-Funktechnik ausgestattete Kreditkarten im Umlauf. Rund 50 Millionen sollen es Ende 2012 bei Visa sein, allein in Europa.
Für den Händler ist das kontaktlose Auslesen eine praktische Sache. Ganz ohne Risiko für den Kunden ist die Funktechnik allerdings nicht. Denn wie die neu eingeführten Girogo-Bankkarten basieren auch die Kreditkarten der neuesten Generation auf der sogenannten NFC-Technologie (Near Field Communication). Und NFC ist im Grunde nichts anderes als RFID mit geringer Reichweite. RFID-Transponder waren bei ihrer Einführung eigentlich für den Logistikbereich gedacht. Daher gibt es bei RFID- wie bei NFC-Karten in der Regel keinen Leseschutz.
Wie einfach ein Hacker an die Kreditkartennummer und das Verfallsdatum der Karte kommen kann, demonstrierte ein Sicherheitsexperte im ARD Politikmagazin Report aus München. Bereits mit einem gewöhnlichen Handy gelang ihm das berührungslose Auslesen. Mit den so entwendeten Daten könnte ein Hacker bereits Waren im Internet bestellen und bezahlen.
NFC-Lesegeräte inklusive Software gibt es bereits fertig zu kaufen. Verbraucherschützer sehen eine neue Gefahr für alle Kreditkartenbesitzer. Markus Feck von der Verbraucherzentrale Nordrhein-Westfalen erklärte gegenüber Report München, er halte es für erschreckend, dass es möglich sei „unwissenden Bürgern die Daten so leicht aus der Tasche zu ziehen“. Feck fordert eine Verschlüsselung der Daten und eine sofortige Aufklärung der Verbraucher über die neue Funktechnik.
Auch Stefan Horvath, Managing Director von Kryptronic, München, warnt vor allzu leichtfertigem Umgang mit den neuen Kreditkarten. Sein Unternehmen befasst sich schon seit vielen Jahren mit RFID-Shielding-Technologie. „Was wir in Report München sehen konnten, ist leider nur die Spitze des Eisbergs“, kommentiert Horvath, „denn mit relativ geringem technischen Aufwand lassen sich auch Lesegeräte bauen, die eine deutlich höhere Reichweite haben als die bisher eingesetzten NFC-Reader.“
Natürlich beteuern die Kreditkartengesellschaften, ihr System sein sicher, und verweisen auf einen dreistelligen Sicherheitscode auf der Rückseite der Karte, der nicht per Funk ausgelesen werden könne. Report München wagte prompt die Probe aufs Exempel. In der Stichprobe des ARD-Magazins zeigte sich allerdings, dass längst nicht alle Online-Händler den zusätzlichen Sicherheitscode abfragten.
Dass das System keineswegs unknackbar ist, zeigt auch ein Penetrationstest aus Amerika: Der Hackerin Kristin Paget ist es bereits gelungen, kontaktlos von einer amerikanischen Kreditkarte Geld zu stehlen.
Auch Stefan Horvath fordert eine lückenlose Aufklärung der Kunden über die Gefahren der neuen NFC-Kreditkarten. „Man muss klar sagen, dass es zumindest theoretisch möglich ist, den Leuten das Geld aus der geschlossenen Hosentasche zu ziehen.“
Auf NFC ganz zu verzichten, hält Stefan Horvath allerdings für überzogen. Er rät stattdessen zu einer wirkungsvollen Abschirmung. „Wer von vornherein auf Nummer sicher gehen will, verwahrt seine Kreditkarte ab besten in einer Abschirmhülle aus einer Spezialfolie. Diese gibt es für wenige Euro in diversen Online-Shops. Anstatt auf die Unverletzlichkeit ihres Systems zu pochen, sollten die Kreditkartengesellschaften ihre Kunden lieber gleich mit so einer Abschirmung ausstatten.“
Sicherheitsexperte Stefan Horvath rät zu einer Abschirmfolie aus Cryptalloy. „Diese Speziallegierung haben wir eigens für diesen Zweck entwickelt“, erklärt Horvath. Die Folie ist nur 0,1 mm dick und hat einen reißfesten Schichtträger aus PET. Cryptalloy verhindert zuverlässig unautorisiertes Auslesen, und zwar auch dann, wenn es die Karte nicht vollständig umschließt. Das innovative Material gibt es bei Kryptronic sowohl als Meterware als auch als fertig konfektionierte Hüllen. Produzenten von Geldbörsen, Kreditkarten-Fächern, Schlüssel- oder Ausweisetuis rüsten ihr Sortiment im Hinblick auf die flächendeckende Einführung von NFC-Bezahlsystemen mehr und mehr auf die Cryptalloy-Abschirmtechnik um. Jeder Hersteller kann übrigens seine Produkte bei Kryptronic laborphysikalisch testen und zertifizieren lassen.