Mit einer neuen Smartphone-App lassen sich Daten NFC-fähiger Kreditkarten auslesen, die Karte muss sich dazu nur in unmittelbarer Nähe des Handys befinden. Die Gründe dafür sind lasche Sicherheitsstandards für bargeldloses Bezahlen. Der Wiener Programmierer Johannes Zweng hat sich mit diesen Sicherheitslücken beschäftigt und anschließend eine Android-App für das Auslesen NFC-fähiger Bankomatkarten entwickelt. Nun hat er Visa-Kreditkarten, die ebenfalls mit der Funktechnik ausgerüstet sind, ins Visier genommen. 

Nummer, Name und Transaktionsdaten

Freilich lassen sich nicht alle Daten absaugen, so bleibt etwa der Sicherheitscode (CVV) unerreichbar. Dennoch könnte die Übermittlung der Kreditkartennummer, des Namens des Inhabers und Ablaufdatums der Karte für Bedenken bei Kreditkartenbesitzern sorgen. Zusätzlich schafft es die App, Transaktionsdaten auszulesen.

Visa zeigt sich gelassen

Das Auslesen funktioniert, weil die Daten unverschlüsselt auf dem NFC-Chip gespeichert werden. Sicherheitsmaßnahmen wie eine Authentifizierung der Lesegeräte sind nicht vorgesehen. Bei Visa gibt man sich gelassen und betont, dass die auslesbaren Daten nicht für Missbrauch genutzt werden könnten. Bisher gibt es keinen Fall, bei dem Kunden finanziell geschädigt wurden, weil sie eine NFC-Karte nutzten. Dass man auch Transaktionsdaten auslesen kann, sieht das Unternehmen durchaus kritisch. "Wir entwickeln die Technik weiter", heißt es dazu auf Anfrage des STANDARD.

Mit der Veröffentlichung seiner App "Bankomatkarten Infos" sorgte Zweng vor wenigen Wochen für Schlagzeilen, da damit auch Datum, Uhrzeit und Höhe von Transaktionen ausgelesen werden können. Eine Sicherheitslücke, die der NFC-Bankomatkartenanbieter Payment Services Austria bis März dieses Jahres beseitigen will.

NFC-Zwang wird kritisiert

Seit April 2013 werden alle Visa-Kreditkarten (Neukarten, Ersatzkarten und Kartenverlängerungen) mit NFC-Funktechnik ausgestattet. Near Field Communication ermöglicht es, an Bankomatkassen kontaktlos, also ohne Einstecken einer Kreditkarte in einen Kartenleser, Kleinbeträge von bis zu 25 Euro zu zahlen. Geht der Betrag über diese Grenze hinaus, müssen Nutzer einen PIN-Code eingeben. Die Zahlungsweise ist zwar bequem, Konsumentenschützer haben allerdings gegen den "NFC-Zwang" bei Bankomatkarten protestiert. Da einige Sicherheitslücken bekannt seien, sollte man sich, so Kritiker, zumindest aussuchen dürfen, ob man Karten mit dieser Technologie verwenden wolle. App-Programmierer Zweng kündigt indes an, künftig jedenfalls weiter mit NFC-fähigen Karten zu experimentieren. Er betont, dass seine App ausschließlich auslese und keine Internetverbindung nutze. (Markus Sulzbacher, DER STANDARD, 20.2.2014)