Digital
Schweiz

Wie Betrüger Kreditkarten auslesen und wie du dich schützt

Im Vorbeigehen kontaktlos bezahlen ist bequem – aber auch sicher?
Im Vorbeigehen kontaktlos bezahlen ist bequem – aber auch sicher?
bild: obs/IG Schweizer Kartenanbieter/cashless.ch
Interview

«Wenn ich eine andere Identität vortäusche, kann ich in das Leben einer Person eindringen»

Kriminelle können persönliche Daten von Kreditkarten, Kundenkarten oder Personalausweisen quasi im Vorbeigehen auslesen. Der ehemalige Hacker und heutige Sicherheitsexperte Marc Ruef erklärt im Interview, welche Gefahren von kontaktlosen Karten ausgehen und wie man sich gegen Angriffe schützt.
23.11.2015, 10:3515.12.2015, 10:51
Mehr «Digital»

Ob Kreditkarte, SBB-Abo, Personalausweis oder biometrischer Pass: RFID-Chips stecken heute in den meisten Karten und Ausweisen. Die darauf gespeicherten Daten können theoretisch im Vorbeigehen geklaut werden – ohne dass wir es mitbekommen. 

Alles, was der digitale Taschendieb zum RFID-Datenklau benötigt, ist ein Auslesegerät oder ein mit entsprechender Software ausgestattetes Smartphone, das er bei sich trägt und in die Nähe des Portemonnaies hält. Der Bund empfiehlt daher den Schutz des Schweizer E-Passes mit entsprechenden Schutzhüllen, damit die biometrischen Daten nicht von Unbefugten auf Distanz ausgelesen werden können.

Der Schweizer IT-Sicherheitsexperte Marc Ruef analysiert seit mehreren Jahren die Schwachpunkte der RFID-Technologie. 
Der Schweizer IT-Sicherheitsexperte Marc Ruef analysiert seit mehreren Jahren die Schwachpunkte der RFID-Technologie. 
bild: zvg

Herr Ruef, stimmt es, dass man mit einem 14 Franken teuren Scanner von eBay Daten von Kreditkarten auslesen kann?
Marc Ruef: Grundsätzlich ja. Mittlerweile bieten auch viele Smartphones, vor allem im Android-Umfeld, diese Möglichkeit. Hierzu muss man lediglich die NFC-Funktion in den Einstellungen freischalten und bei manchen Geräten eine zusätzliche App herunterladen.

Die Handhabung ist denkbar einfach: Das Lesegerät ein paar Sekunden an den RFID-Chip halten und schon erscheinen die ausgelesenen Informationen auf dem Display. Da es unterschiedliche Chips und Technologien gibt, ist die Kompatibilität nicht immer gegeben. Ein professioneller Datendieb muss neben der Hardware auch ein erweitertes Verständnis für den Angriff mitbringen.

Per App kann die Nummer der Kontaktlos-Kreditkarte im Portemonnaie innert Sekunden ausgelesen werden. Das funktioniert auch, wenn das Portemonnaie in der Hosentasche ist.
Per App kann die Nummer der Kontaktlos-Kreditkarte im Portemonnaie innert Sekunden ausgelesen werden. Das funktioniert auch, wenn das Portemonnaie in der Hosentasche ist.
bild: watson
Schütze deine Karten vor dem digitalen Datenklau
Das Schweizer Start-Up soomz.io produziert RFID-Schutzhüllen, mit denen die Daten auf deinen Karten sicher sind. Die Schutzhüllen in verschiedenen Formaten sind TÜV-geprüft und bewahren Kreditkarten, Reisepass, Zutrittskarten, etc. zuverlässig vor den Übergriffen digitaler Taschendiebe. 

Was kann schlimmstenfalls passieren, wenn jemand quasi beim Vorbeigehen heimlich meine Daten klaut?
RFID-Karten werden in erster Linie eingesetzt, um jemanden zu identifizieren (Wer ist es?) und zu authentisieren (Ist er es wirklich?). Durch das Vortäuschen einer falschen Identifikation könnte man sich als eine andere Person ausgeben oder Zugriffe erschleichen, die einem eigentlich nicht zustehen.

Können Sie ein Beispiel geben?
Bei einem Ausweis könnte man einen Identitätsdiebstahl vollziehen, bei Kreditkarten eine Zahlung mit niedrigen Beträgen durchführen, bei Fahrkarten eine Leistung erschleichen und bei Mitarbeiter-Badges unerlaubten Zugang zu einem Firmengebäude erlangen.

Verstehe ich richtig? Betrüger könnten heimlich die Daten auf meiner Schlüsselkarte fürs Hotel auslesen, die Daten auf eine andere Karte übertragen und so in mein Zimmer eindringen?
Dies ist stark vom eingesetzten Produkt abhängig. Die meisten Systeme, wie etwa der SwissPass der SBB, speichern auf dem RFID-Chip lediglich eine Identifikationsnummer. Diese wird übertragen und mit einer Datenbank abgeglichen, um die Zugriffsmöglichkeiten bestimmen zu können. Die sensiblen Kundendaten sind also meist nicht direkt auf der Karte gespeichert, sondern in einer gesicherten Datenbank des Unternehmens.

Der SwissPass speichert die Daten elektronisch. Kondukteure fragen mit einem Scanner die Daten zur Identität des Abonnenten direkt von der Karte ab. 
Der SwissPass speichert die Daten elektronisch. Kondukteure fragen mit einem Scanner die Daten zur Identität des Abonnenten direkt von der Karte ab. 

Das würde bedeuten, dass Kriminelle mit den ausgelesen Daten wenig bis nichts anfangen können?
Nicht zwingend. Andere Systeme speichern und übertragen weitaus mehr Daten. Da können beispielsweise geheime Schlüssel von Verschlüsselungssystemen, Passfotos oder biometrische Daten in Personalausweisen enthalten sein. Ein gutes RFID-System befolgt den Grundsatz: Weniger ist mehr. Umso mehr Daten gesammelt und gespeichert werden, desto höher ist das Risiko von Verlust und Missbrauch.

Was können Unbefugte mit den gestohlenen Daten anfangen, wenn sie eine Kopie meiner Karte erstellen?
Wenn zur Identifikation, etwa bei einem Mitarbeiterausweis, nur ein Abgleich einer Nummer stattfindet, kann diese einfach kopiert werden. Durch eine geklonte Karte oder einen Emulator kann dann der Zutritt zum Gebäude erlangt werden. Solche simplen Systeme pflegen meist keine zusätzlichen Schutzmechanismen einzusetzen, um etwa einen Missbrauch über längere Zeit zu verhindern.

Bei ausgeklügelteren Systemen kommen kryptografische Mechanismen hinzu. Wenn ein Angreifer ein solches System missbrauchen will, ist er meist zeitlich eingeschränkt. Eine abgegriffene Information kann nicht beliebig oft und beliebig lang missbraucht werden. Verschlüsselte Systeme sind bedeutend teurer als ihre simplen Varianten. Aus Kostengründen kommen deshalb oft die kaum geschützten Lösungen zum Tragen.

Was ist RFID?
Radio Frequenz Identifizierung bezeichnet eine Technologie, mit der sich kontaktlos, also über Funkwellen, Daten austauschen lassen. Ein RFID-System besteht aus einem winzigen Empfänger-Chip auf einer Karte und einem Lesegerät zum Auslesen der Daten. Die Empfänger können klein wie ein Reiskorn und flach wie ein Haar sein, so dass sie in beliebige Karten oder gar Textilien eingearbeitet werden können. Mit Kredit- und Debitkarten zum kontaktlosen Bezahlen an Ladenkassen sowie dem SwissPass der SBB landet die Technologie endgültig in fast jedem Schweizer Portemonnaie.

Wie nahe muss mir ein Betrüger kommen, um die Daten von der Kontaktlos-Karte auszulesen?
Das ist von verschiedenen Faktoren abhängig: Beispielsweise von der Ummantelung des RFID-Chips auf der Karte. Ist die Karte in einem Portemonnaie verstaut, das viele Münzen enthält und mit metallischen Elementen bestückt ist, erfordert der Zugriff eine Nähe von wenigen Zentimetern oder gar Millimetern. Ohne eine solche Abschirmung erfordert das Auslesen in der Regel eine Distanz von ein bis zehn Zentimetern.

Der Angreifer kann die Reichweite erweitern, indem er die Sendeleistung seines Lesegeräts erhöht. Hierbei sind mehrere Meter durchaus möglich. Dies erfordert aber spezielle Hardware, die mit viel Energie gespeist werden muss. Ohne Rucksack wird das eher schwierig.

Diebe können Kartendaten mit spezieller Hardware auch aus grösserer Distanz auslesen.
Diebe können Kartendaten mit spezieller Hardware auch aus grösserer Distanz auslesen.

Die Kreditkartenfirmen und die SBB behaupten trotzdem, sie hätten alles im Griff
Im professionellen Umfeld mit einem hohen Missbrauchsrisiko, sprich bei Kreditkarten oder auch den SBB, kommen ausgeklügelte Systeme zum Tragen. Es ist dann nicht ohne weiteres Möglich, mit einem einfachen Lesegerät die Daten auszulesen, zu kopieren und Missbrauch zu betreiben. Um dies umsetzen zu können, ist meist spezielle Hardware und sehr viel Knowhow erforderlich. Es gibt nur wenige Leute in der Schweiz, die sich auf dieser Ebene mit dem Thema auseinandersetzen.

Die Kreditkarten-Herausgeber sagen auch, ihnen seien keine Fälle von RFID-Betrug bekannt.
Zu konkreten Fällen kann ich mich nicht äussern. Jedes System lässt sich mit genug Zeit und Geld überlisten.

Bei welchen Kontaktlos-Karten besteht das grösste Sicherheitsrisiko?
Risiken werden anhand ihrer Eintrittswahrscheinlichkeit und ihrer Auswirkungen bewertet. Eintrittswahrscheinlichkeiten können nur, falls überhaupt, statistisch erfasst werden. Das, was Benutzer eher nachvollziehen können und dementsprechend fürchten, sind die Auswirkungen.

Die da wären?
Die meisten fürchten eine unerlaubte Buchung ab ihren Kreditkarten. Solche Fälle werden aber meist zu Gunsten der Kunden durch die Bank abgearbeitet: Der Kunde wird kompensiert. Mir ist kein Fall bekannt, bei dem ein Kunde schlussendlich den entstandenen Schaden selber tragen musste.

Okay, mein Geld ist sicher. Aber Kriminelle könnten andere persönliche Informationen ergaunern.
Das Thema des Identitätsdiebstahls kennt man hierzulande in erster Linie nur aus dystopischen Science-Fiction-Filmen. Man ist sich der Auswirkungen davon, im Gegensatz zur Wahrnehmung in den USA, noch nicht bewusst. Hier werden in naher Zukunft erste Fälle bekannt werden, die das Ausmass der vernetzten Gesellschaft erahnen lassen.

Auf was müssen wir uns konkret gefasst machen?
Wenn ich eine andere Identität vortäuschen kann, kann ich in das Leben einer fremden Person eindringen und dieses übernehmen. Dies kann bei kleinen, unscheinbaren Dingen, wie der Einsicht in die gesammelten Cumulus-Punkte anfangen. Und enden kann es damit, dass ich die komplette Kontrolle über Daten und Repräsentation der Person habe. Dadurch lassen sich buchstäblich Karrieren und Leben zerstören.

Jetzt malen Sie den Teufel an die Wand.
Die Entwicklung der letzten Jahre ist vergleichbar mit dem Verlust eines Handys: Vor 10 Jahren hat man halt seine SIM-Karte deaktivieren lassen. Heutzutage muss man sofort seine iCloud- oder Google-Konten sperren und zig andere Passwörter ändern. Die Vernetzung ist Segen und Fluch zugleich.

Wie kann man sich gegen RFID-Skimming schützen?
Es gibt verschiedene Portmonnaies und Hüllen, mit denen sich die Chips abschirmen lassen. Dies funktioniert in der Regel sehr gut. Gleichzeitig führen sie aber die Idee der drahtlosen Technologie ad absurdum. Sie sollte ja möglichst flexibel nutzbar sein, ohne mühsam seine Karten aus den Taschen kramen zu müssen. Sind sie jedoch abgeschirmt, wird genau das wieder erforderlich. Da könnte man auch gleich wieder auf kontaktbehaftete Lösungen mit PIN-Codes wechseln.

Fehlermeldung am Bezahlterminal, weil sich im Portemonnaie mehrere Karten befinden: «Nur 1 Karte vorlegen», meint das verwirrte Lesegerät.
Fehlermeldung am Bezahlterminal, weil sich im Portemonnaie mehrere Karten befinden: «Nur 1 Karte vorlegen», meint das verwirrte Lesegerät.
bild: watson

Wer mehrere Kontaktlos-Karten im Portemonnaie hat, kennt das Problem: Kreditkarte, SwissPass etc. blockieren sich gegenseitig. Hilft da eine Schutzhülle?
Falls mehrere Karten in Reichweite sind, ist es von verschiedenen Faktoren abhängig, welche ausgelesen wird. Auch hier kann mit einer Abschirmung dafür gesorgt werden, dass nur die gewünschte Karte ansprechbar bleibt. Alle anderen Karten wären dann aber natürlich nicht mehr kontaktlos nutzbar.

RFID-Kartenbetrug in 3 Minuten erklärt

So überwacht uns der Staat (11.4.2016)

Alle Storys anzeigen
Digital
AbonnierenAbonnieren

Fantasie vs. Realität: 11 Situationen, wie du sie dir vorstellst, und wie sie wirklich, wirklich sind

1 / 35
Fantasie vs. Realität: 11 Situationen, wie du sie dir vorstellst, und wie sie wirklich, wirklich sind
... wie es wirklich, wirklich ist.
Auf Facebook teilenAuf X teilen

Hol dir jetzt die beste News-App der Schweiz!

  • watson: 4,5 von 5 Sternchen im App-Store ☺
  • Tages-Anzeiger: 3,5 von 5 Sternchen
  • Blick: 3 von 5 Sternchen
  • 20 Minuten: 3 von 5 Sternchen

Du willst nur das Beste? Voilà:

So überwacht uns der Staat (11.4.2016)

Alle Storys anzeigen
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Das könnte dich auch noch interessieren:
16 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
16
Scroll dich durch den Stauporn – und du wirst schneller (vorwärts-)kommen
Sie ist fast so bekannt (und zuverlässig) wie das Schweizer Sackmesser: die Blechlawine vor dem Gotthard an Festtagen im Frühling. Und das schon seit Jahren. Eine kurze Zeitreise gegen die Langeweile.

Und dann kamen dann schon bald die ersten Staus ...

Zur Story