Die neue Girogo-System ist in Hannover, Braunschweig und Wolfsburg bereits in großen Stückzahlen im Umlauf. Die praktischen Bankkarten ermöglichen bargeldlose Bezahlvorgänge ohne Unterschrift oder Geheimzahl. Die Girogo-Karte braucht nur an einem Lesegerät verbeigeführt zu werden, dann werden Beträge bis 20 Euro automatisch abgebucht. Bis zu 200 Euro Guthaben kann man auf die Girogo-Karte laden.
Bisher ist es Hackern noch nicht gelungen, dieses Bezahlsystem zu knacken. Was aber viele Girogo-Besitzer nicht wissen: Mit dem neuen Zahlungsmittel trägt man auch eine eindeutige Kennung mit sich herum, die mit handelsüblichen Geräten leicht zu ermitteln ist. „Diesen Code kann wirklich jeder auslesen“, bestätigt auch Peter Leppelt, Chef der Hannoveraner Sicherheitsfirma Praemandatum, in einem Interview mit Spiegel online.
Die neuen Girogo-Karten basieren auf der sogenannten NFC-Technologie (Near Field Communication). NFC ist im Grunde nichts anderes als RFID mit geringer Reichweite. RFID-Chips wurden ursprünglich vor allem für den Logistikbereich konzipiert. Sie sind weit verbreitet, und entsprechende Lesegeräte inklusive Software gibt es überall zu kaufen. Einen besonderen Leseschutz gibt es nicht: Der NFC-Funkchip teilt die Kennung auf der Girogo-Karte jedem mit, der ein entsprechendes Lesegerät aktiviert. „Das widerspricht dem Prinzip der Datensparsamkeit und ist einfach unnötig“, kritisiert Peter Leppelt.
Die ausgelesene Girogo-Kennung lässt zwar zunächst keine Rückschlüsse über den Besitzer zu, sie ist aber eindeutig. Identifiziert sich der Girogo-Träger auf eine andere Art und Weise, können Identität und Girogo-Kennung verknüpft werden. Dann ist es kein Problem mehr, das Kaufverhalten zu protokollieren oder ein Bewegungsprofil zu erstellen.
Der neue NFC-Chip ist auf allen neuen Bankkarten der Sparkassen. „Egal, ob Sie das neue Bezahlsystem nun nutzen oder nicht – ein digitales Nummernschild tragen Sie mit der neuen Karte immer mit sich herum“, erklärt Stefan Horvath, Managing Director von Kryptronic, München. Sein Unternehmen befasst sich schon seit vielen Jahren mit RFID-Shielding-Technologie. „Außerdem sind die Karten längere Zeit unverändert im Umlauf“, so Horvath weiter, „da ist es natürlich nicht auszuschließen, dass einem ein Ganove früher oder später das Geld aus dem geschlossenen Portemonnaie zieht“. Auch Peter Leppelt hält das System im Spiegel-Interview nicht für grundsätzlich unknackbar: „Die Erfahrung zeigt ..., dass es nur eine Frage der Zeit ist, bis jemand Sicherheitslücken entdeckt.“
Dass das Geld auf einer Girogo-Karte nicht grundsätzlich diebstahlsicher verwahrt ist, zeigt auch ein Penetrationstest aus Amerika: Der Hackerin Kristin Paget ist es bereits gelungen, kontaktlos von einer amerikanischen Kreditkarte Geld zu stehlen.
Ob er mit dem Girogo-System bezahlt oder nicht, bleibt jedem selbst überlassen – ganz auf eine Bankkarte verzichten wollen aber wohl nur die wenigsten. Daher rät Stefan Horvath in jedem Fall zu einer wirkungsvollen Abschirmung. „Wer nicht will, dass Fremde seine Girogo-Card unbemerkt auslesen, braucht die Karte nur in einer Hülle aus einer Spezialfolie aufzubewahren, die es für wenige Euro in diversen Online-Shops gibt.“
Den Geldinstituten rät Horvath, ihren Kunden bei der Ausgabe der Girocard gleich eine passende Abschirmhülle mitzugeben. „Bankgeschäfte sind Vertrauenssache“, so Stefan Horvath, „und zu den vertrauensbildenden Maßnahmen gehört auch der Datenschutz.“
Stefan Horvath rät dabei zu einer Abschirmfolie aus Cryptalloy. Diese Speziallegierung wurde eigens für diesen Zweck entwickelt. Sie hat optimale Shielding-Eigenschaften und kann daher sehr dünn ausgeführt sein. Die Folie selbst ist nur 0,1 mm dick und hat einen reißfesten Schichtträger aus PET. Cryptalloy wirkt auch, wenn es die Karte nicht vollständig umschließt. Das innovative Material gibt es bei Kryptronic sowohl als Meterware als auch als fertig konfektionierte Hüllen. Produzenten von Geldbörsen, Kreditkarten-Fächern, Schlüssel- oder Ausweisetuis rüsten ihr Sortiment im Hinblick auf die Girogo-Einführung mehr und mehr auf die Cryptalloy-Abschirmtechnik um. Kryptronic bietet jedem Hersteller an, seine Produkte laborphysikalisch zu testen und zu zertifizieren.