Hamburg. Kontaktloses Bezahlen per NFC mit Risiko: Daten können im Gedränge abgefangen werden. Polizei erklärt, wie man sich schützen kann.

Es ist eine beängstigende Vorstellung: Kriminelle könnten Kontodaten im Gedränge, etwa in U-Bahnen oder Bussen, von EC- oder Kreditkarten drahtlos abziehen. Viele glauben jemanden zu kennen, dem genau diese Form von Datenklau passiert ist. Die Daten werden per Lesegerät heimlich von dem Chip kopiert, der in Giro- oder Kreditkarten eingelassen ist. Üblicherweise wird dieser Chip etwa genutzt, um schnell durch das einfache Auflegen der Karten auf ein Lesegerät zu bezahlen.

„Near Field Communication“, kurz NFC, heißt diese Technik, die für den Datenaustausch von zwei Geräten steht. Gerade bei zu zahlenden Beträgen von unter 50 Euro ist das praktikabel. Denn bis zu der Summe wird nur stichprobenartig die PIN abgefragt.

Polizei Hamburg: Datenklau in engen Menschenmengen

Die Angst vieler Nutzer: dass bei engen Kontakten in Menschenmengen die Daten von der Karte heimlich kopiert und dann von dem Täter benutzt werden könnten. Bei der Polizei werden solche Fälle unter dem Begriff „Ausspähen von Daten“ erfasst. 1036 Fälle gab es 2022 in Hamburg. Allerdings sind das nicht unbedingt Taten, bei denen Daten von Karten mit NFC-Chip oder auch einem Smartphone mit NFC-Funktion gestohlen wurden.

Solche Fälle wurden „nicht gesondert erfasst“, so Polizeisprecher Patrik Schlüse. Tatsächlich seien dem Fachkommissariat beim Landeskriminalamt, das unter anderem für für Zahlungskarten- und Zahlungskartendatendelikte zuständig ist, kein einziger Fall in Erinnerung, bei dem nachgewiesen wurde, dass Daten von EC-Karten via NFC-Technik heimlich im Gedränge gestohlen wurden.

In der Praxis ist das auch schwierig. Karte und Lesegerät dürfen höchstens vier Zentimeter voneinander entfernt sein. Schon Münzen, die zusammen mit einer Karte in einer Geldbörse stecken, stören die Übertragung. „Das ist der Hauptgrund, warum man eine Karte mit einem NFC-Funktion beim Bezahlen in der Regel aus der Geldbörse nehmen muss“, so ein Experte.

Geschichte wie von „Spinne aus der Yucca-Palme“? Nicht ganz

Die Daten von Kreditkarten beim Onlineshopping einzusetzen ist auch schwer möglich. Bei der Übertragung der Daten per NFC wird nicht die Prüfziffer übermittelt, die sich auf der Rückseite einer Kreditkarte befindet. Ohne sie kann man bei den meisten Onlineshops nicht bestellen. Bei EC-Karten wird bei höheren Beträgen immer nach der PIN gefragt. Die kann nicht per NFC übertragen werden.

Ist dies somit eine Geschichte wie „die Spinne aus der Yucca-Palme“ – also eine gern weiter verbreitete „Fake-Horrorstory“ ohne Substanz? Nicht ganz. „Anzumerken ist jedoch, dass nicht immer ermittelt werden kann, auf welchem Wege die Täter an Daten von Zahlungskarten gelangt sind“, so Schlüse.

Polizei Hamburg: Wie man sich vor Datenklau schützt

So ist Panik nicht angebracht, aber Vorsicht geboten. „NFC-fähige Bezahlkarten sollte man stets so bei sich führen, dass Sie eine Annäherung auf wenige Zentimeter in jedem Fall bemerken würden. So ist gewährleistet, dass die Karten nicht unberechtigt ausgelesen werden können. Man kann auch spezielle Kartenhüllen nutzen, die die Karten gegen Auslesen abschirmen“, so Schlüse. In solche Kartenhüllen ist Aluminium als innere Hülle verbaut, was eine Übertragung von Daten verhindert.

Mehr zum Thema

Die NFC-Funktion der Gesundheitskarte
Die NFC-Funktion der Gesundheitskarte

weitere Videos

  • EuGH stärkte Verbraucher bei Bankkarten-Verlust
  • Digitale Identität: Was uns E-Perso und E-ID bringen
  • Nutzt man ein Smartphone zum Bezahlen, sollte man den NFC-Dienst nur dann einschalten, wenn man ihn tatsächlich benötigt.

    „Besteht der Verdacht, dass fremde Personen eine Karte zum Bezahlen nutzen, sollte man schnellstmöglich seine Bank informieren und die Karte umgehend über den zentralen Sperrnotruf 116 116 sperren lassen“, so Schlüse. Wer gar nicht erst kontaktlos bezahlen möchte, sollte sich an seine Bank wenden. Schlüse: „Bei einige Banken und Sparkassen kann man die entsprechende Funktion der Karten deaktivieren lassen.“