Der Dieb von morgen braucht keine Langfinger

Der Amerikaner Walt Augustinowicz hat regelmässig Auftritte im US-Fernsehen. Erst vergangene Woche war er im Nachrichtensender NBC zu sehen. Darin präsentierte er in einem Kaufhaus, wie einfach er Kreditkartendaten von ahnungslosen Passanten auslesen kann.

Alles was er dafür benötigt, ist ein sogenanntes EMV-Gerät, das er gut getarnt in einer kleinen Tasche bei sich trägt. Es kommuniziert auf geringe Distanz mit Kreditkarten, die mit einem RFID-Chip ausgestattet sind. RFID steht für «Radio-Frequenz-Identifizierung». Damit lassen sich Zahlungen abwickeln, ohne dass die Karte durch ein Lesegerät gezogen werden muss. Es genügt, wenn sie in die Nähe eines entsprechenden Bezahlterminals gehalten wird.

In der Schweiz sind mittlerweile über 700 000 solcher Kreditkarten im Umlauf. Die Absicht der Finanzdienstleister, die hinter dem kontaktlosen Bezahlen steht, liegt auf der Hand: Die Kreditkarte soll von den Kunden auch für kleine Beträge eingesetzt werden und Zahlungen sollen sich schneller abwickeln lassen.

Mit Alufolien gegen Missbrauch

Im NBC-Beitrag demonstriert Augustinowicz, wie ein moderner Langfinger arbeitet. So muss er sich nur noch in die Nähe seiner Opfer begeben, um mit Hilfe des EMV-Geräts deren sensible Kreditkartendaten auszulesen. Damit kann er dann im Internet oder über Telefon-Hotlines auf Shoppingtour gehen.

Augustinowiczs Engagement ist nicht ganz uneigennützig. Seine Firma Identity Stronghold bietet Hüllen für Kreditkarten und Reisepässe an, welche die RFID-Schnittstelle vor Missbrauch schützen. Dies lässt sich auch billiger bewerkstelligen, in dem man Pass und Karte bei Nichtgebrauch mit einer Alufolie umwickelt.

Nicht alle Daten lassen sich auslesen

Christine Gebhard, Pressesprecherin der Schweizer Aduno-Gruppe, zu der die Kartenherausgeberin Viseca gehört, ist Augustinowiczs Demonstration bestens bekannt, das Sicherheitsrisiko stuft sie aber als minimal ein: «Das Szenario mittels eines tragbaren Terminals – quasi im Vorbeigehen – das virtuelle Geld kontaktlos zu rauben, ist äusserst unrealistisch. Einerseits ist die Reichweite der Karte auf ca. 4 cm beschränkt, andererseits können nur Bezüge bis höchstens 40 Franken ohne die zusätzliche Eingabe eines PIN-Codes abgewickelt werden. Darüber hinaus muss jeder Betreiber eines Terminals ein Konto bei einer Händlerbank haben. Diese Bank überprüft die Transaktionen und verhindert die Auszahlung des Geldes, wenn Unregelmässigkeiten auftreten.»

Gebhard betont, dass in der Schweiz, ganz im Gegensatz zu den USA, keine persönlichen Daten wie etwa Vorname und Nachname auf dem Chip hinterlegt werden. Die virtuelle Shoppingtour im Internet fällt also ins Wasser.

Nicht ausschliessen lässt sich allerdings ein Schaden bei einem Diebstahl der Karte. «Dieses Szenario ist für Beträge unter 40 Franken theoretisch denkbar. Die Händlerbanken überwachen aber auffällige Transaktionsmuster sehr genau und blockieren die Auszahlung im Falle von erkannten Unregelmässigkeiten umgehend», sagt Gebhard gegenüber 20 Minuten Online und ergänzt: «Wenn ein Karteninhaber die Pflichten im Umgang mit einer Kreditkarte vollumfänglich eingehalten hat, übernimmt die Viseca Card Services SA Schäden, die dem Inhaber aus missbräuchlicher Verwendung der Karte durch Dritte entstehen.»

CVC-Nummer bietet zusätzlichen Schutz

Stefan Friedli, Berater beim Schweizer IT-Sicherheitsunternehmen Scip, stuft die Gefahr eines Missbrauchs zurzeit noch als gering ein: «Die meisten Tests, die in den Medien bislang diskutiert wurden, erfolgten auf Basis von offiziellen, portablen EMV-Lesegeräten, was logischerweise funktioniert. Damit kann zwar die Kredikartennummer, der Name des Besitzers sowie das Ablaufdatum der Karte herausgelesen werden. Um im Internet auf Einkaufstour gehen zu können, muss in der Regel aber die dreistellige oder vierstellige CVC-Nummer angegeben werden. Sie ist weder auf dem Chip, noch auf dem Magnetstreifen gespeichert und befindet sich auf der Rückseite der Kreditkarte.»

In der Schweiz bieten Visa und Mastercard Kreditkarten mit Funkchips an. Damit können beispielsweise bei rund 1000 Valora-Verkaufsstellen (K-Kiosk, Avec und Press&Books) und in McDonald's-Filialen Einkäufe getätigt werden.