Interview
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Image

Im Vorbeigehen kontaktlos bezahlen ist bequem – aber auch sicher?
bild: obs/IG Schweizer Kartenanbieter/cashless.ch

«Wenn ich eine andere Identität vortäusche, kann ich in das Leben einer Person eindringen»

Kriminelle können persönliche Daten von Kreditkarten, Kundenkarten oder Personalausweisen quasi im Vorbeigehen auslesen. Der ehemalige Hacker und heutige Sicherheitsexperte Marc Ruef erklärt im Interview, welche Gefahren von kontaktlosen Karten ausgehen und wie man sich gegen Angriffe schützt.



Ob Kreditkarte, SBB-Abo, Personalausweis oder biometrischer Pass: RFID-Chips stecken heute in den meisten Karten und Ausweisen. Die darauf gespeicherten Daten können theoretisch im Vorbeigehen geklaut werden – ohne dass wir es mitbekommen. 

Alles, was der digitale Taschendieb zum RFID-Datenklau benötigt, ist ein Auslesegerät oder ein mit entsprechender Software ausgestattetes Smartphone, das er bei sich trägt und in die Nähe des Portemonnaies hält. Der Bund empfiehlt daher den Schutz des Schweizer E-Passes mit entsprechenden Schutzhüllen, damit die biometrischen Daten nicht von Unbefugten auf Distanz ausgelesen werden können.

Marc Ruef Scip AG

Der Schweizer IT-Sicherheitsexperte Marc Ruef analysiert seit mehreren Jahren die Schwachpunkte der RFID-Technologie. 
bild: zvg

Herr Ruef, stimmt es, dass man mit einem 14 Franken teuren Scanner von eBay Daten von Kreditkarten auslesen kann?
Marc Ruef: Grundsätzlich ja. Mittlerweile bieten auch viele Smartphones, vor allem im Android-Umfeld, diese Möglichkeit. Hierzu muss man lediglich die NFC-Funktion in den Einstellungen freischalten und bei manchen Geräten eine zusätzliche App herunterladen.

Die Handhabung ist denkbar einfach: Das Lesegerät ein paar Sekunden an den RFID-Chip halten und schon erscheinen die ausgelesenen Informationen auf dem Display. Da es unterschiedliche Chips und Technologien gibt, ist die Kompatibilität nicht immer gegeben. Ein professioneller Datendieb muss neben der Hardware auch ein erweitertes Verständnis für den Angriff mitbringen.

Image

Per App kann die Nummer der Kontaktlos-Kreditkarte im Portemonnaie innert Sekunden ausgelesen werden. Das funktioniert auch, wenn das Portemonnaie in der Hosentasche ist.
bild: watson

Schütze deine Karten vor dem digitalen Datenklau

Das Schweizer Start-Up soomz.io produziert RFID-Schutzhüllen, mit denen die Daten auf deinen Karten sicher sind. Die Schutzhüllen in verschiedenen Formaten sind TÜV-geprüft und bewahren Kreditkarten, Reisepass, Zutrittskarten, etc. zuverlässig vor den Übergriffen digitaler Taschendiebe. 

Was kann schlimmstenfalls passieren, wenn jemand quasi beim Vorbeigehen heimlich meine Daten klaut?
RFID-Karten werden in erster Linie eingesetzt, um jemanden zu identifizieren (Wer ist es?) und zu authentisieren (Ist er es wirklich?). Durch das Vortäuschen einer falschen Identifikation könnte man sich als eine andere Person ausgeben oder Zugriffe erschleichen, die einem eigentlich nicht zustehen.

Können Sie ein Beispiel geben?
Bei einem Ausweis könnte man einen Identitätsdiebstahl vollziehen, bei Kreditkarten eine Zahlung mit niedrigen Beträgen durchführen, bei Fahrkarten eine Leistung erschleichen und bei Mitarbeiter-Badges unerlaubten Zugang zu einem Firmengebäude erlangen.

Verstehe ich richtig? Betrüger könnten heimlich die Daten auf meiner Schlüsselkarte fürs Hotel auslesen, die Daten auf eine andere Karte übertragen und so in mein Zimmer eindringen?
Dies ist stark vom eingesetzten Produkt abhängig. Die meisten Systeme, wie etwa der SwissPass der SBB, speichern auf dem RFID-Chip lediglich eine Identifikationsnummer. Diese wird übertragen und mit einer Datenbank abgeglichen, um die Zugriffsmöglichkeiten bestimmen zu können. Die sensiblen Kundendaten sind also meist nicht direkt auf der Karte gespeichert, sondern in einer gesicherten Datenbank des Unternehmens.

Image

Der SwissPass speichert die Daten elektronisch. Kondukteure fragen mit einem Scanner die Daten zur Identität des Abonnenten direkt von der Karte ab. 

Das würde bedeuten, dass Kriminelle mit den ausgelesen Daten wenig bis nichts anfangen können?
Nicht zwingend. Andere Systeme speichern und übertragen weitaus mehr Daten. Da können beispielsweise geheime Schlüssel von Verschlüsselungssystemen, Passfotos oder biometrische Daten in Personalausweisen enthalten sein. Ein gutes RFID-System befolgt den Grundsatz: Weniger ist mehr. Umso mehr Daten gesammelt und gespeichert werden, desto höher ist das Risiko von Verlust und Missbrauch.

Was können Unbefugte mit den gestohlenen Daten anfangen, wenn sie eine Kopie meiner Karte erstellen?
Wenn zur Identifikation, etwa bei einem Mitarbeiterausweis, nur ein Abgleich einer Nummer stattfindet, kann diese einfach kopiert werden. Durch eine geklonte Karte oder einen Emulator kann dann der Zutritt zum Gebäude erlangt werden. Solche simplen Systeme pflegen meist keine zusätzlichen Schutzmechanismen einzusetzen, um etwa einen Missbrauch über längere Zeit zu verhindern.

Bei ausgeklügelteren Systemen kommen kryptografische Mechanismen hinzu. Wenn ein Angreifer ein solches System missbrauchen will, ist er meist zeitlich eingeschränkt. Eine abgegriffene Information kann nicht beliebig oft und beliebig lang missbraucht werden. Verschlüsselte Systeme sind bedeutend teurer als ihre simplen Varianten. Aus Kostengründen kommen deshalb oft die kaum geschützten Lösungen zum Tragen.

Was ist RFID?

Radio Frequenz Identifizierung bezeichnet eine Technologie, mit der sich kontaktlos, also über Funkwellen, Daten austauschen lassen. Ein RFID-System besteht aus einem winzigen Empfänger-Chip auf einer Karte und einem Lesegerät zum Auslesen der Daten. Die Empfänger können klein wie ein Reiskorn und flach wie ein Haar sein, so dass sie in beliebige Karten oder gar Textilien eingearbeitet werden können. Mit Kredit- und Debitkarten zum kontaktlosen Bezahlen an Ladenkassen sowie dem SwissPass der SBB landet die Technologie endgültig in fast jedem Schweizer Portemonnaie.

Wie nahe muss mir ein Betrüger kommen, um die Daten von der Kontaktlos-Karte auszulesen?
Das ist von verschiedenen Faktoren abhängig: Beispielsweise von der Ummantelung des RFID-Chips auf der Karte. Ist die Karte in einem Portemonnaie verstaut, das viele Münzen enthält und mit metallischen Elementen bestückt ist, erfordert der Zugriff eine Nähe von wenigen Zentimetern oder gar Millimetern. Ohne eine solche Abschirmung erfordert das Auslesen in der Regel eine Distanz von ein bis zehn Zentimetern.

Der Angreifer kann die Reichweite erweitern, indem er die Sendeleistung seines Lesegeräts erhöht. Hierbei sind mehrere Meter durchaus möglich. Dies erfordert aber spezielle Hardware, die mit viel Energie gespeist werden muss. Ohne Rucksack wird das eher schwierig.

Image

Diebe können Kartendaten mit spezieller Hardware auch aus grösserer Distanz auslesen.

Die Kreditkartenfirmen und die SBB behaupten trotzdem, sie hätten alles im Griff
Im professionellen Umfeld mit einem hohen Missbrauchsrisiko, sprich bei Kreditkarten oder auch den SBB, kommen ausgeklügelte Systeme zum Tragen. Es ist dann nicht ohne weiteres Möglich, mit einem einfachen Lesegerät die Daten auszulesen, zu kopieren und Missbrauch zu betreiben. Um dies umsetzen zu können, ist meist spezielle Hardware und sehr viel Knowhow erforderlich. Es gibt nur wenige Leute in der Schweiz, die sich auf dieser Ebene mit dem Thema auseinandersetzen.

Die Kreditkarten-Herausgeber sagen auch, ihnen seien keine Fälle von RFID-Betrug bekannt.
Zu konkreten Fällen kann ich mich nicht äussern. Jedes System lässt sich mit genug Zeit und Geld überlisten.

Bei welchen Kontaktlos-Karten besteht das grösste Sicherheitsrisiko?
Risiken werden anhand ihrer Eintrittswahrscheinlichkeit und ihrer Auswirkungen bewertet. Eintrittswahrscheinlichkeiten können nur, falls überhaupt, statistisch erfasst werden. Das, was Benutzer eher nachvollziehen können und dementsprechend fürchten, sind die Auswirkungen.

Die da wären?
Die meisten fürchten eine unerlaubte Buchung ab ihren Kreditkarten. Solche Fälle werden aber meist zu Gunsten der Kunden durch die Bank abgearbeitet: Der Kunde wird kompensiert. Mir ist kein Fall bekannt, bei dem ein Kunde schlussendlich den entstandenen Schaden selber tragen musste.

Okay, mein Geld ist sicher. Aber Kriminelle könnten andere persönliche Informationen ergaunern.
Das Thema des Identitätsdiebstahls kennt man hierzulande in erster Linie nur aus dystopischen Science-Fiction-Filmen. Man ist sich der Auswirkungen davon, im Gegensatz zur Wahrnehmung in den USA, noch nicht bewusst. Hier werden in naher Zukunft erste Fälle bekannt werden, die das Ausmass der vernetzten Gesellschaft erahnen lassen.

Auf was müssen wir uns konkret gefasst machen?
Wenn ich eine andere Identität vortäuschen kann, kann ich in das Leben einer fremden Person eindringen und dieses übernehmen. Dies kann bei kleinen, unscheinbaren Dingen, wie der Einsicht in die gesammelten Cumulus-Punkte anfangen. Und enden kann es damit, dass ich die komplette Kontrolle über Daten und Repräsentation der Person habe. Dadurch lassen sich buchstäblich Karrieren und Leben zerstören.

Jetzt malen Sie den Teufel an die Wand.
Die Entwicklung der letzten Jahre ist vergleichbar mit dem Verlust eines Handys: Vor 10 Jahren hat man halt seine SIM-Karte deaktivieren lassen. Heutzutage muss man sofort seine iCloud- oder Google-Konten sperren und zig andere Passwörter ändern. Die Vernetzung ist Segen und Fluch zugleich.

Wie kann man sich gegen RFID-Skimming schützen?
Es gibt verschiedene Portmonnaies und Hüllen, mit denen sich die Chips abschirmen lassen. Dies funktioniert in der Regel sehr gut. Gleichzeitig führen sie aber die Idee der drahtlosen Technologie ad absurdum. Sie sollte ja möglichst flexibel nutzbar sein, ohne mühsam seine Karten aus den Taschen kramen zu müssen. Sind sie jedoch abgeschirmt, wird genau das wieder erforderlich. Da könnte man auch gleich wieder auf kontaktbehaftete Lösungen mit PIN-Codes wechseln.

Image

Fehlermeldung am Bezahlterminal, weil sich im Portemonnaie mehrere Karten befinden: «Nur 1 Karte vorlegen», meint das verwirrte Lesegerät.
bild: watson

Wer mehrere Kontaktlos-Karten im Portemonnaie hat, kennt das Problem: Kreditkarte, SwissPass etc. blockieren sich gegenseitig. Hilft da eine Schutzhülle?
Falls mehrere Karten in Reichweite sind, ist es von verschiedenen Faktoren abhängig, welche ausgelesen wird. Auch hier kann mit einer Abschirmung dafür gesorgt werden, dass nur die gewünschte Karte ansprechbar bleibt. Alle anderen Karten wären dann aber natürlich nicht mehr kontaktlos nutzbar.

RFID-Kartenbetrug in 3 Minuten erklärt

Play Icon

YouTube/Evelyn Diamante

Das könnte dich auch interessieren: So überwacht uns der Staat

Fantasie vs. Realität: 11 Situationen, wie du sie dir vorstellst, und wie sie wirklich, wirklich sind

Best of watson: Die besten Artikel aus unserem Archiv

Abonniere unseren Newsletter

16
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
16Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Joost232 04.02.2017 13:25
    Highlight Highlight Das Auslesen aus größerer Distanz ist eher selten, da die dazu fähigen Geräte auch entsprechend teuer sind. Neuerdings können allerdings die Scheckkartendaten einfach Per App mit dem Smartsphone in wenigen Sekunden ausgelesen werden. Hier hingegen helfen RFID Schutz Hüllen: http://rfid-schutzhuelle-24.de/index.php/rfid-schutz/
  • ⚡ ⚡ ⚡☢❗andre ☢ ⚡⚡ 23.11.2015 14:12
    Highlight Highlight Bullshit und Panikmacherei. Einfacher Taschendiebstahl ist nicht nur viel wahrscheinlicher, er führt auch viel eher zum Erfolg.
    Zwar sind eine Handvoll Personen vielleicht in den bestem Umständen fähig, über meine Kreditkarte ein BicMac Menu im McDonald zu kaufen. Allerdings haftet die Kreditkarten-Firma dafür und es gibt keinen beiannten Fall.
    Und der Swiss-Pass? Hallo? Er müsste ihn ja nicht nur kopieren, sondern dann auch wieder in ein leeres rotes SwissPass Kärtchen tun....
    Und dann kann er damit Zug fahren. WOW
    • Gantii 23.11.2015 14:55
      Highlight Highlight den taschendiebstahl merken sie aber 'sofort'

      und ein 'rotes leeres kärtchen' zu besorgen dürfte nicht all zu schwierig sein - just saying.
    • Oliver Wietlisbach 23.11.2015 15:02
      Highlight Highlight Dieses Interview macht also Panik? Ich denke das Gegenteil ist der Fall. Es wird differenziert aufgezeigt, wo es Gefahren gibt und wo nicht.
    • ⚡ ⚡ ⚡☢❗andre ☢ ⚡⚡ 23.11.2015 17:00
      Highlight Highlight Fangen wir mal bei der Headline an: «Wenn ich eine andere Identität vortäusche, kann ich in das Leben einer Person eindringen»
      Wieso heisst die nicht: Differenzierte Betrachtung zum Thema RFID?
      Und dann das herumreiten, on Kreditkarten sicher sind oder nicht. Fakt ist: es spielt keine Rolle, weil man nicht für die Sicherheit haftet.
      Auch bei der SBB Karte nicht.
      RFID gibts nicht erst seit gestern und seit Jahren sind die Schwächen bekannt, der Punkt ist, es ist sicher genug für bestimmte Anwendungsfälle im Massenmarkt.
    Weitere Antworten anzeigen
  • Brummbaer76 23.11.2015 13:17
    Highlight Highlight Zitat Interwiew:
    "Die meisten Systeme, wie etwa der SwissPass der SBB, speichern auf dem RFID-Chip lediglich eine Identifikationsnummer. Diese wird übertragen und mit einer Datenbank abgeglichen, um die Zugriffsmöglichkeiten bestimmen zu können."

    Bildbeschreibung Watson
    "Der SwissPass speichert die Daten elektronisch. Kondukteure fragen mit einem Scanner die Daten zur Identität des Abonnenten direkt von der Karte ab."
    Die Bildbeschreibung ist falsch. Es ist nur die Nummer gespeichert und die wird mit der Datenbank auf dem Gerät verglichen.
    Aber lieber der SBB noch was unterstellen.

    • Oliver Wietlisbach 23.11.2015 13:52
      Highlight Highlight Das steht genau so im Interview: "Die meisten Systeme, wie etwa der SwissPass der SBB, speichern auf dem RFID-Chip lediglich eine Identifikationsnummer. Diese wird übertragen und mit einer Datenbank abgeglichen, um die Zugriffsmöglichkeiten bestimmen zu können. Die sensiblen Kundendaten sind also meist nicht direkt auf der Karte gespeichert, sondern in einer gesicherten Datenbank des Unternehmens."

      Die Bildunterschrift ist die vereinfachte und nicht ganz präzise Aussage dieser Antwort und stammt nicht von uns, sondern direkt von der Sicherheitsfirma Scip AG. http://www.scip.ch/?labs.20150803
    • Thanatos 23.11.2015 17:55
      Highlight Highlight Schlussendlich ist alles als Nummer gespeichert, da einfacher abzufragen als Name, Vorname, Geburtsdatum etc. In der Datenbank ist das alles zusammen verknüpft und abgespeichert. Man könnte auch die ID-Nummer oder AHV-Nummer nehmen.
  • Pablo Zolan 23.11.2015 12:18
    Highlight Highlight Spannend! und beunruhigend..
    • ⚡ ⚡ ⚡☢❗andre ☢ ⚡⚡ 23.11.2015 19:52
      Highlight Highlight Ich finde eben auch, dass der Artikel auf subtile Art versucht Unsicherheit und Panik zu schüren, aber der Autor hat oben klipp und klar erklärt, dass SwissPass und Kreditkarten sicher sind.
    • ⚡ ⚡ ⚡☢❗andre ☢ ⚡⚡ 23.11.2015 22:39
      Highlight Highlight Was ist beunruhigend? RFID ist sicherer als wenn jemand dein Portemonnaie klaut. Zudem ist es schwieriger als dein Portemonnaie zu klauen. Und zudem haftet der Herausgeber der Kreditkarte. Es gibt technisch und faktisch gesehen keinen Grund zur Beunruhigung. Aber ich finde auch das Interview versucht bewusst Unruhe zu wecken.
    • Brummbaer76 24.11.2015 06:27
      Highlight Highlight Ich finde solche Disskusionen witzig. Einerseits wird gefordert (nicht unbedingt von ihnen) das die SBB den Swisspass doch in ihre App integriert wird, das Bargeldlose zahlen per Smartphone so einfach wie möglich ist etc. Aber bei den RFID Kärtchen wird Panik geschoben.
      Also in einem Smartphone an Identitäsdaten zu kommen ist einfacher als beim Swisspass.
    Weitere Antworten anzeigen

Linksautonome Schweizer marschierten an «Gilets-jaunes»-Protesten mit

Unter die «gilets jaunes» in Paris mischten sich am Samstag auch Mitglieder der linksradikalen «Revolutionären Jugend». Sie wollten Solidarität bekunden, «Erfahrungen in Strassenkämpfen» sammeln und «untersuchen, inwiefern sich Rechtsextreme an den Protesten beteiligen.»

Proteste der «Gelbwesten» mit Krawallen und Ausschreitungen haben Frankreich an diesem Wochenende erneut in Atem gehalten. Unter die Demonstranten mischten sich anscheinend auch Schweizer Linksautonome.

Mitglieder der Revolutionären Jugend Bern schreiben auf Facebook, sie hätten sich in Paris ein Bild der Bewegung machen können, das «sehr positiv und motivierend» ausfalle. Darunter publizieren sie ein Foto eines brennenden Autos. 

Auch die Zürcher Sektion der Bewegung berichtet von …

Artikel lesen
Link to Article