München. . Neue Kreditkarten mit einem Funkchip sollen das Bezahlen bequemer machen. Doch bei den Plastikkarten gibt es offenbar ein großes Problem mit der Datensicherheit.
Die mit der neuen Funktechnik NFC (Near Field Communication) ausgestatteten Visa- und Master-Kreditkarten weisen nach einem Fernsehbericht gravierende Sicherheitsmängel auf. Wie das ARD-Magazin „Report München“ nachweist, kann per Funk auf Kreditkartennummer und Verfallsdatum zugegriffen werden.
Ein Sicherheitsexperte las mit seinem Handy aus weniger als vier Zentimeter Nähe Kreditkartennummer sowie Ablaufdatum aus. Damit konnten Waren im Internet bestellt werden.
Unternehmen beschwichtigen
Markus Feck von der Verbraucherzentrale Nordrhein-Westfalen hält es für erschreckend, dass es möglich ist „unwissenden Bürgern die Daten so leicht aus der Tasche zu ziehen“. Feck fordert eine Verschlüsselung der Daten und sofortige Aufklärung der Verbraucher über die neue Funktechnik.
Beide Unternehmen räumten ein, dass die Daten in einem Abstand von bis zu vier Zentimeter ausgelesen werden können. Allerdings könne der dreistellige Sicherheitscode auf der Rückseite der Karte nicht per Funk belauscht werden. Deswegen seien die neuen Karten sicher. In einer Stichprobe des Magazins bei Online-Händlern wurde dieser Code aber nicht immer abgefragt.
Die vorgebrachte Kritik sei bereits seit Jahren bekannt, sagte ein Sprecher von Mastercard Deutschland. "Das ist ein rein theoretisches Modell, das nicht geeignet ist, missbräuchliche Transaktionen zu Lasten von Verbrauchern durchzuführen." Allein 1,2 Millionen Mastercard-Kunden in Deutschland nutzten die kritisierten modernen Karten mit NFC-Funktechnik, es seien aber keine Probleme bekannt.
Bei Visa heißt die Technik "Pay Wave", bei Mastercard "Pay Pass". Kunden können mit den Funkchip-Karten berührungslos zahlen, indem sie die Kreditkarte oder ihr Portemonnaie mit der Karte darin dicht über ein entsprechendes Lesegerät halten. Ein Teil der Daten wird dabei verschlüsselt übertragen, ein anderer Teil aber nicht: die Nummer und das Verfallsdatum der Kreditkarte. Diese Daten griff nun der von "Report München" beauftragte Sicherheitsexperte mithilfe eines Smartphones ab, das er den Karten auf knapp vier Zentimetern näherte.
Online-Händler haften im Zweifelsfall
Denkbar wäre etwa, dass Kriminelle in vollen Zügen oder Bussen auf diese Weise Daten abfangen - und dann zu Onlineeinkäufen nutzen. Bei den meisten Onlinehändlern ist das aber nicht mehr möglich, denn sie setzen auf zusätzliche Sicherheitsmechanismen wie den dreistelligen Sicherheitscode auf der Rückseite der Kreditkarte oder Passwörter. Verzichtet ein Händler aber darauf und begnügt sich mit Kreditkarten-Nummer und Verfallsdatum, haftet er nach Angaben von Mastercard für den Einkauf. Der betroffene Kartenbesitzer muss den Schaden demnach nicht zahlen.
Dass ein Teil der Daten leicht auslesbar ist, liegt der Technologie des kontaktlosen Bezahlens sozusagen zugrunde: "Es ist keine Sicherheitslücke", sagte der Mastercard-Sprecher. "Verbraucher müssen sich hier nicht verunsichern lassen." Auch Visa verwies auf Anfrage von "Report München" auf die zusätzlichen Sicherheitsmechanismen, durch die Verbraucher vor Missbrauch geschützt seien. (dapd/afp)