Sind kontaktlose Zahlungen sicher?

29 Jul 2015

„Das macht dann 12,95“ sagt die Dame an der Kasse im Supermarkt. Ich nehme meine Geldbörse heraus und tippe damit auf das Terminal, warte eine Sekunde und höre dann den Piepton – Zahlung erfolgt! Eine kontaktlose Geldkarte ist sehr praktisch. Man muss sie durch kein Gerät ziehen, sich keine PIN merken, nicht mit einem alten Kugelschreiber unterschreiben und erst recht nicht in der Geldbörse nach Münzen suchen. Nur ein leichtes Antippen und schon hat man bezahlt. Die Kassierer sind von kontaktlosen Zahlungen ebenfalls begeistert: Die Zahlung geht schneller und erhöht die „Bandbreite“ des Kassierers, dem „Flaschenhals“ im Supermarkt.

Doch so einfach die Zahlung mit solchen Karten ist, so einfach könnte es auch sein, Geld davon zu stehlen: Könnten sich Kriminelle ganz einfach mit einem versteckten Lesegerät der Hosentasche nähern und damit Geld von der Karte stehlen? Um das herauszufinden, habe ich zahlreiche Berichte von Hackerkonferenzen studiert und mit Vertretern von Banken gesprochen. Die Rückmeldungen waren positiv, allerdings mit kleinen Schattenseiten.

Reichweite

Kontaktlose Karten arbeiten mit NFC (Near Field Communication – einer Art RFID-basierter Technologie). Die Karte enthält einen Chip und eine Antenne, die auf der Frequenz 13,56 MHz auf die Anfragen eines Kassenterminals antworten. Verschiedene Zahlungssysteme nutzen eigene Standards: Visa payWave, MasterCard PayPass, American Express ExpressPay usw. Aber alle verwenden den gleichen Ansatz und die gleichen technologischen Grundlagen.

Die Reichweite von NFC-Übertragungen ist gering – unter zwei Zentimetern. Der beste Schutz ist also physisch: Das Lesegerät muss sich in direkter Nähe zur Karte befinden, und das kann man kaum heimlich schaffen. Gleichzeitig könnte man aber ein umgebautes Lesegerät verwenden, das eine höhere Reichweite bietet. So haben Forscher der University of Surrey gezeigt, dass ein kompakter Scanner NFC-Daten aus einer Entfernung von 80 Zentimetern lesen kann.

So ein Gerät könnte Anfragen an kontaktlose Karte in der U-Bahn, in Einkaufszentren, auf Flughäfen und allen anderen Orten, an denen sich viele Menschen aufhalten, senden. In vielen Ländern sind NFC-kompatible Karten bereits in jeder zweiten Geldbörse zu finden, so dass Kriminelle viele Opfer finden könnten.

Und man könnte sogar noch weiter gehen und ohne einen maßgeschneiderten Scanner oder physikalische Nähe arbeiten. Eine elegante Methode, die Distanz zu eliminieren, wurde von den spanischen Hackern Ricardo Rodrigues und Jose Villa auf der Konferenz Hack in the Box vorgestellt: Der Großteil heutiger Smartphones ist mit einem NFC-Modul ausgestattet. Und Smartphones befinden sich oft in der Nähe der Geldbörse – zum Beispiel in einer Handtasche oder in der Hosentasche. Rodrigues und Villa stellten daher ein Konzept eines Android-Trojaners vor, der infizierte Smartphones in eine Art NFC-Transponder verwandelt.

Sobald ein kompromittiertes Smartphone in die Nähe einer kontaktlosen Geldkarte kommt, signalisiert es den Kriminellen, dass die Möglichkeit einer Transaktion besteht. Die Betrüger aktivieren dann ein reguläres Kassenterminal und platzieren ihr NFC-kompatibles Smartphone direkt neben diesem Terminal. Dadurch wird eine Art „Brücke“ über das Internet zwischen der NFC-Karte und dem NFC-Terminal errichtet, unabhängig von der Reichweite des Terminals.

Der Trojaner kann dabei über Standardmethoden verbreitet werden, etwa über ein Paket des Schadprogramms und eine gehackte kostenpflichtige App. Einzige Voraussetzung für dieses Szenario ist Android 4.4 oder höher. Und es ist für die Kriminellen noch nicht einmal nötig, Root-Zugriff zu bekommen, obwohl das praktisch wäre, um den Trojaner auch arbeiten zu lassen, wenn das Handy gesperrt ist.

Verschlüsselung

Eine Karte nicht in die Nähe eines falschen Lesegeräts kommen zu lassen, ist nur der halbe Schutz. Der andere, wichtigere Teil ist die Verschlüsselung. Kontaktlose Transaktionen werden durch den gleichen EMV-Standard geschützt, der auch normale Karten sichert, die einen EMV-Chip enthalten. Während ein Magnetstreifen ganz einfach geklont werden kann, ist das mit einem Chip nicht möglich, denn bei einer Anfrage durch ein Kassenterminal erzeugt dieser einen einmaligen Schlüssel. Dieser Schlüssel könnte zwar abgefangen werden, ist für weitere Transaktionen aber nicht mehr gültig.

Viele Forscher haben schon Bedenken über die Sicherheit der EMV-Technologie geäußert, doch bisher sind keine Fälle von EMV-Hackings bekannt. Einen Punkt gibt es aber: In der Standardvariante basiert das Sicherheitskonzept von EMV-Karten auf der Kombination von Verschlüsselungs-Keys und einem PIN-Code, den der Besitzer eingeben muss. Im Fall kontaktloser Transaktionen wird der PIN-Code nicht abgefragt, so dass der Schutz auf den von der Karte und dem Terminal erzeugten Verschlüsselungs-Keys beschränkt ist.

„Theoretisch ist es möglich, ein Terminal zu produzieren, das die NFC-Daten der Karte liest, während sich diese in der Hosentasche befindet“, erklärt Alexander Taratorin, Director of Application Support der Raiffeisenbank. „Dieses besondere Terminal sollte Verschlüsselungs-Keys von der akquirierenden Bank und einem Zahlungssystem verwenden. Die Schlüssel werden von der akquirierenden Bank ausgestellt, was bedeutet, dass ein Betrug sehr einfach zu bemerken und nachzuverfolgen wäre.“

Wert der Transaktion

Es gibt noch eine weitere Verteidigungslinie: Die Beschränkung der Höhe von kontaktlosen Zahlungen. Dieses Limit ist in die Einstellungen eines Kassenterminals programmiert, festgelegt von der akquirierenden Bank, und das auf Grundlage der Empfehlungen des Zahlungssystems. In Russland liegt der Maximalbetrag einer kontaktlosen Zahlung bei 1.000 Rubel, während das Limit in den USA auf 25 Dollar, in Großbritannien auf 20 Pfund festgesetzt ist (soll demnächst auf 30 Pfund erhöht werden).

Geht der Transaktionswert über dieses Limit hinaus, wird die Transaktion entweder abgelehnt oder es wird ein weiterer Validitätsbeweis verlangt, etwa ein PIN-Code oder eine Unterschrift, je nachdem, welche Einstellungen von der Bank vorgenommen wurden. Um zu verhindern, dass mehrfach kleinere Summen übertragen werden, gibt es einen weiteren Schutzmechanismus.

Es gibt aber noch ein Problem: Vor fast einem Jahr hat ein anderes Forscherteam der University of Newcastle über eine Sicherheitslücke in den kontaktlosen Karten von Visa berichtet. Sobald man hier eine Zahlung in einer fremden Währung (nicht in britischen Pfund) ausführt, kann man das Limit umgehen. Ist ein Kassenterminal offline, kann der Maximalwert einer Transaktion zudem bis zu 1 Million Euro gehen.

Sprecher von Visa bezeichnen diese Art von Angriff allerdings als nicht durchführbar, da solch hohe Transaktionen von den Sicherheitssystemen der Bank blockiert werden würden. Laut Taratorin kontrolliert ein Kassenterminal zudem die maximale Höhe einer Transaktion unabhängig von der Währung.

Wir wählen einen anderen Weg

Es kommt also alles auf die praktische Unwahrscheinlichkeit an, dass ein Zahlungssystem eine falsche kontaktlose Zahlung nicht verhindern kann? Die wahrscheinliche Antwort lautet ja, vorausgesetzt, die Betrüger arbeiten nicht für die fragliche Bank.

Gleichzeitig gibt es noch etwas anderes Unschönes: NFC kann beim Diebstahl der geheimen Daten von Zahlungskarten helfen, wenn die Zahlung selbst nicht gehackt werden kann. Der EMV-Standard verlangt, dass mache Daten unverschlüsselt im Speicher des Chips abgelegt werden. Dazu können die Kartennummer, die letzten Transaktionen und andere Daten gehören – je nach Richtlinien der ausstellenden Bank oder des Zahlungssystems. Die Daten können mit einem NFC-kompatiblen Smartphone und einer entsprechenden App (etwa Banking Card Reader NFC) gelesen werden – das können Sie selbst ausprobieren.

Bis jetzt galten die entsprechenden Daten als öffentlich und nicht ausreichend, um die Sicherheit einer Karte zu kompromittieren. Allerdings veröffentlichte die bekannte britische Webseite Which? einen Artikel, der diesen alten Mythos entzaubert.

Die Experten von Which? testeten eine Handvoll verschiedener kontaktloser Karte von britischen Banken. Mithilfe eines günstigen NFC-Lesegeräts und kostenloser Software schafften sie es, die Kartennummer und das Ablaufdatum aller getesteten Karten zu entschlüsseln. Aber braucht man für Online-Einkäufe nicht auch noch die CVV-Nummer? Leider verlangen viele Online-Händler diese Nummer nicht. Die Tester von Which? konnten daher erfolgreich einen 3.000 Pfund teuren Fernseher von einem großen Online-Händler bestellen.

Unter dem Strich

Auch wenn die Technologie der kontaktlosen Zahlung an sich mehrere Schutzebenen bietet, bedeutet das dennoch nicht, dass Ihr Geld zu 100 Prozent geschützt ist. Viele Elemente von Geldkarten basieren auf obsoleten Technologien wie Magnetstreifen, der Online-Zahlung ohne zusätzliche Authentifizierung usw.

https://twitter.com/kaspersky/status/561223684514672640/photo/1

In vielerlei Hinsicht hängt die Sicherheit von den Einstellungen der Bank und der Händler ab. Und gerade die Händler opfern die Zahlungssicherheit oft im Namen des schnelleren Einkaufens, um mehr Umsatz machen können. Deshalb gelten die grundlegenden Karten-Sicherheitstipps auch für kontaktlose Zahlungen. Verhindern Sie, dass andere Ihre PIN-Nummer und Kartendaten sehen können, seien Sie vorsichtig beim Herunterladen neuer Apps auf Ihr Smartphone, installieren Sie eine Sicherheitslösung, schalten Sie die SMS-Benachrichtigungen Ihrer Bank ein und informieren Sie Ihre Bank sofort, wenn Sie verdächtige Aktivitäten wahrnehmen.

Wenn Sie ganz sicher gehen möchten, dass niemand Ihre NFC-Karte auslesen kann, sollten Sie eine entsprechend abgeschirmte Geldbörse kaufen. Denn die physikalischen Gesetze kann man einfach nicht austricksen.