Ob Visa, Mastercard oder Diners: Fast in allen neuen Kreditkarten ist ein Funk-Chip eingebaut, der kontaktloses Bezahlen ermöglicht. Man erkennt solche Karten am WLAN-Symbol. Mit grossem Tamtam wurde dafür geworben. Der Kunde muss sie nur nahe ans Karten-Terminal oder Lesegerät halten, und schon ist der Einkauf bezahlt. Der Datenaustausch erfolgt unmittelbar per Funksignal. Transaktionen für Kleinbeträge bis 40 Franken brauchen weder PIN-Code noch Unterschrift.
Funksignale aus der Tasche
Allerdings hat dieses System eine gravierende Sicherheitslücke. Kriminelle können Kartendaten heimlich ausspionieren und auf Kosten ihrer Opfer online shoppen gehen. Wie einfach das ist, hat IT-Sicherheitsexperte Tobias Schrödel in der Sendung "Stern-TV" demonstriert.
Mit einer Schnüffel-App auf seinem Smartphone konnte Schrödel reihenweise Kreditkartendaten kopieren – ohne dass die ahnungslosen Opfer etwas merkten. Dazu musste das Handy keinen direkten Kontakt mit dem Portemonnaie haben. Sobald er wenige Zentimeter an die fremde Kreditkarte herankam, zeigte sein Handy die Nummer und das Ablaufdatum der Karte an – sehr zur Überraschung der Betroffenen. Denn kaum jemand weiss, dass es aus dem Portmonnaie permanent funkt. Und: "Wo gefunkt wird, da kann man auch mitlesen", warnt der IT-Spezialist, "denn nicht nur die dafür vorgesehenen Zahl-Terminals können die Funksignale empfangen."
Kreditkarten-Herausgeber wissen Bescheid, aber verharmlosen
Das wissen auch die Herausgeber der Karten. So weist zum Beispiel die Viseca Card Services SA in ihrer "Datenschutzerklärung" explizit darauf hin: "Es ist jedoch möglich, dass auf dem Chip gespeicherte Kartendaten und die bei MasterCard-gespeicherten Daten zu den zehn letzten vorgenommenen Transaktionen mit Hilfe eines geeigneten Gerätes und entsprechender Software, aus dem Chip ausgelesen werden können, ohne dass der Karteninhaber dies merkt."
Konsumentenorganisationen haben wiederholt auf das Sicherheitsleck hingewiesen und vor Betrug mit fremden Kartendaten gewarnt. Doch die Herausgeber verharmlosen das Problem. Auf ihren Webseiten verweisen sie auf "hohe Sicherheitsstandards" und darauf, dass PIN, Name des Inhabers sowie der dreistellige Sicherheitscode auf der Kartenrückseite nicht per Funk übertragen werden. Letzteres verlangen die meisten Online-Shops, wenn man mit Kreditkarte bezahlen will. Aber eben längst nicht alle.
Mit geklauten Kartendaten auf Einkaufstour
So genügen etwa beim Online-Riesen Amazon die Kreditkartennummer und das Ablaufdatum der Karte, um einen Kauf abzuschliessen. In zwei Fällen demonstrierte Schrödel in "Stern-TV", wie er mit den ausgespähten Daten Waren von Amazon an seine Adresse bestellen konnte. Er benötigte weder PIN noch Prüfziffer der Kreditkarte. Auch den eingegebenen Namen des vermeintlichen Karteninhabers verifizierte man bei Amazon offenbar nicht. Noch schlimmer: Sind die geklauten Kartendaten in einem Amazon-Konto erst einmal hinterlegt, kann man über das Bezahlsystem "Amazon Payments" bei Tausenden Online-Shops einkaufen – ohne dass der Kartenbesitzer etwas bemerkt.
Der Experte rät: Karte in Alufolie einwickeln
Das böse Erwachen kommt erst am Ende des Monats mit der Kreditkartenrechnung. Wer Unregelmässigkeiten feststellt, sollte am besten sofort die Bank oder den Kartenherausgeber kontaktieren und im Zweifel die Karte sperren lassen, rät "Stern-TV".
Noch besser ist es natürlich, die Kreditkarte vor Datendieben zu schützen. Es gibt spezielle Hüllen und Portmonnaies, die den Funkkontakt blockieren. Ebenso wirksam und gratis: die Kreditkarte in ein Stück Alufolie einwickeln.