Seit November 2013 geht das Bezahlen an Schweizer Kassen fix. Die neuen Kreditkarten erlauben kontaktloses Bezahlen bei Beträgen bis zu 40 Franken. Es genügt, die Karte nahe ans Bezahlterminal zu halten, das Eintippen des PINS oder das Unterschreiben entfällt.
Migros, McDonald’s, Ikea und zahlreiche Kioske haben das System im Einsatz. Aus gutem Grund: Ende 2013 waren in der Schweiz bereits 1,8 Millionen Kreditkarten für das kontaktlose Bezahlen im Umlauf. Diese neuen Karten haben einen NFC-Chip, auf dem die Kreditkartennummer, das Ablaufdatum und der Name gespeichert sind. Über NFC können Daten über kurze Distanzen kontaktlos übertragen werden. Und genau hier beginnen die Probleme, wie ein Test des Konsumentenmagazins «Saldo» enthüllt.
Kriminelle können mit einem NFC-fähigen Smartphone die Kreditkartendaten auslesen. Hierzu müssen sie das Handy bis auf ein, zwei Zentimeter an das Portemonnaie mit der Karte des Opfers halten – in einer Kassenschlange oder in öffentlichen Verkehrsmitteln kein unmögliches Unterfangen. Mit den ausgespähten Daten könnten Kriminelle auf Kosten der Opfer Online-Käufe tätigen, schreibt «Saldo». Besonders einfach geht dies bei Amazon, da der Online-Händler auf die Kontrolle der dreistelligen Prüfziffer auf der Rückseite der Kreditkarte verzichtet.
Stefan Friedli von der Sicherheitsfirma Scip hat den Kreditkarten-Test für «Saldo» unter Laborbedingungen durchgeführt und konnte zeigen, dass sich Visa- und Mastercard-Karten auslesen lassen. «Mit der Android-App Cardtest kann man dies selbst testen», sagt Friedli gegenüber watson. Aus naheliegenden Gründen zensiert die App gewisse Daten, die ausgelesen werden. Doch die App gibt einen Eindruck, wie einfach Kreditkartenbetrug mit den neuen Karten geworden ist.
«Das Risiko, dass ein solcher Angriff passiert, ist da», sagt Sicherheitsspezialist Friedli. Grund zur Panik gibt es trotzdem nicht. «Der Kriminelle muss genau gleich nahe an sein Opfer herankommen, wie ein Taschendieb.»
Insgesamt bleiben Kreditkarten sicherer als Bargeld. Die entscheidende Frage ist: Was passiert nach dem Diebstahl? Zwei 20er-Noten, die aus einem Portemonnaie gestohlen werden, sind definitiv verloren. «Werden die gleichen 40 Franken per Kreditkartenbetrug gestohlen, kann dieser vom Besitzer gemeldet werden und er kommt schadenfrei davon», sagt Friedli. Fakt ist: Das Risiko tragen die Kreditkartenfirmen, sofern der Nutzer die Sorgfaltspflicht eingehalten hat. Dazu zählt die Meldung betrügerischer Überweisungen bis 30 Tage nach Rechnungsdatum sowie die unverzügliche Sperrung der Karte bei Diebstahl.
Kreditkarten ohne NFC für kontaktloses Bezahlen können laut «Saldo» nur noch bei der UBS bestellt werden. Wer auf Nummer sicher gehen will, kann sich mit speziell abgeschirmten Portemonnaies oder Hüllen für die Kreditkarte schützen.