Eine Smartphone-App kann Kreditkartennummern und das Ablaufdatum ausspähen – Ein Risiko?
München/Stuttgart - In Deutschland haben schon Millionen Kreditkarten einen NFC-Chip. Mit diesem können beim Einkaufen Zahlungen per Funk abgebucht werden. Doch Datenschützer warnen: Das neue Bezahlsystem hat Sicherheitslücken. Mit einem präparierten Handy könnten die Daten ausspioniert werden.
Wer sich schon immer schwer getan hat, Pins oder Codes zu merken, dem scheinen Kreditkartenanbieter die perfekte Lösung anzubieten: Das Zahlen per Funk. Visa nennt es Pay Wave, bei Mastercard heißt es Pay Pass. Das Prinzip ist aber dasselbe: Die Karteninhaber müssen beim Bezahlen nicht mehr die Kreditkarte hervorziehen, sondern können einfach das Portemonnaie vor ein Lesegerät halten. Schon wird der fällige Betrag abgebucht.
Möglich macht dies die Near-Field-Communication-Technik, auch NFC genannt. Ein Verfahren, das bereits in den USA üblich und auch in Deutschland weit verbreitet ist: Der Kreditkartenanbieter Mastercard beispielsweise hat bislang schon 1,2 Millionen dieser Karten an deutsche Kunden ausgegeben: Diese Kreditkarten mit NFC-Technik sind mit einem Mini-Funkchip ausgestattet. Diese ermöglichen den kontaktlosen Austausch von Daten auf kurzen Strecken bis zu vier Zentimetern Länge. Ein Teil der Daten wird dabei verschlüsselt übertragen, ein anderer Teil aber nicht: Die Nummer und das Ablaufdatum der Karte.
Daten lassen sich sehr leicht von Dritten abfangen
Und genau das ist die Sicherheitslücke: Nach gemeinsamen Recherchen unserer Zeitung, des Bayrischen Rundfunks (BR) und der Münchner Tageszeitung TZ lassen sich diese Daten sehr leicht auch von Dritten abfangen – beispielsweise per spezieller Apps, die sich Hacker für ihr Smartphone programmieren. Somit wird das Handy zum Lesegerät, das wie die Geräte funktioniert, die in Geschäften zum Zahlen per Kreditkarte dienen. So ausgerüstet müssen Datendiebe sich nur auf wenige Zentimeter ihrem Opfer nähern, prompt erscheinen auf dessen Handydisplay die Kartennummer und das Ablaufdatum der fremden Kreditkarte.
Damit allein kann der Datendieb allerdings noch nicht viel anfangen: Um auf Kosten seines Opfers einkaufen zu können, braucht es zusätzlich die Kartenprüfnummer, dem sogenannten CVV2. Dabei handelt es sich um eine Geheimzahl, die auf der Rückseite von Visa- und Masterkarten aufgedruckt ist. Sie soll laut der Kreditkartenbranche das Einkaufen im Internet oder per Telefon sicherer machen.
Tatsächlich lässt sich diese Prüfnummer auch nicht mit präpariertem Handy ablesen. – „aber sehr wohl auf anderem Wege knacken“, sagt Sebastian Schreiber, Geschäftsführer der Tübinger IT-Sicherheitsfirma SySS GmbH. Denn der Sicherheitscode auf den geläufigen Kreditkarten besteht aus lediglich drei Ziffern. „Da braucht es im Schnitt lediglich 500, aber allerhöchstens 1000 Versuche, um diesen Code zu knacken“, sagt Schreiber. Wie bei einem einfachen Fahrradnummernschloss könnten Datendiebe alle Möglichkeiten von 000, 001, 002 bis 999 durchprobieren, beispielsweise mit Hilfe eines Computerprogramms. Wer betrügen will, bräuchte also nur die Kreditkartendaten, die per Lesegerät ermittelt werden können, den Rest erledigt eine Software.
Kein Problem für Computerprogramm, Prüfnummer herauszubekommen
Die Kreditkartenanbieter wissen um diese Sicherheitslücke in ihrem System, wie Thorsten Klein, Sprecher von Mastercard, bestätigt. Nur: Für Mastercard ist es keine. Trial-by-Error-Versuche, wie das Durchprobieren der Zahlenkombinationen genannt wird, seien unter Praktikabilitäts-Gesichtspunkten nicht geeignet, um missbräuchliche Verfügungen durchzuführen, heißt es in einer Stellungnahme des Unternehmens. „E-Commerce-Transaktionen, bei denen wiederholt der falsche CVV2 eingegeben würde, werden üblicherweise nicht autorisiert aufgrund systemunterstützender Sicherheitssysteme auf Seite der Netzwerkbetreiber sowie der Kartenherausgeber.“ Sprich: Wird bei Online-Geschäften die Kartenprüfnummer ein paar Mal falsch eingegeben, bricht der Zahlungsdienstleister den Vorgang ab. Das Unternehmen Visa Europe weist in seiner Stellungnahme darauf hin, dass die meisten Internethändler neben dem CVV2 zusätzliche Sicherheitsinformationen wie den Namen des Karteninhabers und die Adresse verlangen. Das mache es für Betrüger schwierig, Kartendaten zu verwenden, selbst wenn Teile davon ausgelesen werden könnten. Das belegen auch die Zahlen: So seien die Verluste durch Betrugsfälle in Europa mit Visa-Karten im Jahr 2011 stark zurückgegangen – im Verhältnis zu Transaktionen auf 0,038 Prozent.
Die Praxis sieht aber anders aus: In einem Selbstversuch unserer Zeitung, des BR und der TZ wurden den IT-Experten von SySS die Daten verschiedener Kreditkarten überlassen – ohne deren Prüfnummer. Tatsächlich aber war es für das Computerprogramm kein Problem, diese herauszubekommen: Bei Online-Einkäufen wie bei Bestellungen von Bahntickets probierte es sämtliche Kombinationen aus, bis eine Meldung die erfolgreiche Bestellung bestätigte. Vier Wiederholungen des Selbstversuchs führten zum gleichen Ergebnis. Lediglich eine Bank schlug bei einem Durchgang Alarm.
Verbraucherschützer: Kartendaten müssen unbedingt besser verschlüsselt werden
Auch beim Verbraucherschutz läuten die Alarmglocken: Zwar gebe es effizientere Methoden, um an Kreditkartendaten zu kommen als die NFC-Technik per Smartphone auszutricksen, sagt Markus Feck von der Verbraucherzentrale Nordrhein-Westfalen. So könnten beispielsweise viele Kreditkartendaten über gefälschte Homepages abgefischt werden. Doch das Sicherheitsproblem mit der Kartenprüfnummer bleibt: „Das ist ein reiner Placebo-Effekt“, sagt Feck. Die Daten auf der Karte müssten daher unbedingt besser verschlüsselt werden.
Nach Meinung von IT-Experte Sebastian Schreiber ist dies technisch auch kein Problem. „Es ist eben nur sehr aufwendig.“ Und noch sind die Summen, die die Betrügereien der Kreditkartenanbieter an Schaden verursachen, zu gering, als dass es sich lohnt, in ein sicheres System zu investieren.
Immerhin: Kommt es tatsächlich zum Kreditkartenbetrug, so haftet der Kartenbesitzer meist nicht dafür, sagt Verbraucherschützer Feck. Das von Dritten abgebuchte Geld wird in aller Regel zurückerstattet.