Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.

Im Vorbeigehen kontaktlos bezahlen ist bequem – aber auch sicher?
bild: obs/IG Schweizer Kartenanbieter/cashless.ch

«Wenn ich eine andere Identität vortäusche, kann ich in das Leben einer Person eindringen»

Kriminelle können persönliche Daten von Kreditkarten, Kundenkarten oder Personalausweisen quasi im Vorbeigehen auslesen. Der ehemalige Hacker und heutige Sicherheitsexperte Marc Ruef erklärt im Interview, welche Gefahren von kontaktlosen Karten ausgehen und wie man sich gegen Angriffe schützt.

23.11.15, 10:35 15.12.15, 10:51


Ob Kreditkarte, SBB-Abo, Personalausweis oder biometrischer Pass: RFID-Chips stecken heute in den meisten Karten und Ausweisen. Die darauf gespeicherten Daten können theoretisch im Vorbeigehen geklaut werden – ohne dass wir es mitbekommen. 

Alles, was der digitale Taschendieb zum RFID-Datenklau benötigt, ist ein Auslesegerät oder ein mit entsprechender Software ausgestattetes Smartphone, das er bei sich trägt und in die Nähe des Portemonnaies hält. Der Bund empfiehlt daher den Schutz des Schweizer E-Passes mit entsprechenden Schutzhüllen, damit die biometrischen Daten nicht von Unbefugten auf Distanz ausgelesen werden können.

Marc Ruef Scip AG

Der Schweizer IT-Sicherheitsexperte Marc Ruef analysiert seit mehreren Jahren die Schwachpunkte der RFID-Technologie. 
bild: zvg

Herr Ruef, stimmt es, dass man mit einem 14 Franken teuren Scanner von eBay Daten von Kreditkarten auslesen kann?
Marc Ruef: Grundsätzlich ja. Mittlerweile bieten auch viele Smartphones, vor allem im Android-Umfeld, diese Möglichkeit. Hierzu muss man lediglich die NFC-Funktion in den Einstellungen freischalten und bei manchen Geräten eine zusätzliche App herunterladen.

Die Handhabung ist denkbar einfach: Das Lesegerät ein paar Sekunden an den RFID-Chip halten und schon erscheinen die ausgelesenen Informationen auf dem Display. Da es unterschiedliche Chips und Technologien gibt, ist die Kompatibilität nicht immer gegeben. Ein professioneller Datendieb muss neben der Hardware auch ein erweitertes Verständnis für den Angriff mitbringen.

Per App kann die Nummer der Kontaktlos-Kreditkarte im Portemonnaie innert Sekunden ausgelesen werden. Das funktioniert auch, wenn das Portemonnaie in der Hosentasche ist.
bild: watson

Schütze deine Karten vor dem digitalen Datenklau

Das Schweizer Start-Up soomz.io produziert RFID-Schutzhüllen, mit denen die Daten auf deinen Karten sicher sind. Die Schutzhüllen in verschiedenen Formaten sind TÜV-geprüft und bewahren Kreditkarten, Reisepass, Zutrittskarten, etc. zuverlässig vor den Übergriffen digitaler Taschendiebe. 

Was kann schlimmstenfalls passieren, wenn jemand quasi beim Vorbeigehen heimlich meine Daten klaut?
RFID-Karten werden in erster Linie eingesetzt, um jemanden zu identifizieren (Wer ist es?) und zu authentisieren (Ist er es wirklich?). Durch das Vortäuschen einer falschen Identifikation könnte man sich als eine andere Person ausgeben oder Zugriffe erschleichen, die einem eigentlich nicht zustehen.

Können Sie ein Beispiel geben?
Bei einem Ausweis könnte man einen Identitätsdiebstahl vollziehen, bei Kreditkarten eine Zahlung mit niedrigen Beträgen durchführen, bei Fahrkarten eine Leistung erschleichen und bei Mitarbeiter-Badges unerlaubten Zugang zu einem Firmengebäude erlangen.

Verstehe ich richtig? Betrüger könnten heimlich die Daten auf meiner Schlüsselkarte fürs Hotel auslesen, die Daten auf eine andere Karte übertragen und so in mein Zimmer eindringen?
Dies ist stark vom eingesetzten Produkt abhängig. Die meisten Systeme, wie etwa der SwissPass der SBB, speichern auf dem RFID-Chip lediglich eine Identifikationsnummer. Diese wird übertragen und mit einer Datenbank abgeglichen, um die Zugriffsmöglichkeiten bestimmen zu können. Die sensiblen Kundendaten sind also meist nicht direkt auf der Karte gespeichert, sondern in einer gesicherten Datenbank des Unternehmens.

Der SwissPass speichert die Daten elektronisch. Kondukteure fragen mit einem Scanner die Daten zur Identität des Abonnenten direkt von der Karte ab. 

Das würde bedeuten, dass Kriminelle mit den ausgelesen Daten wenig bis nichts anfangen können?
Nicht zwingend. Andere Systeme speichern und übertragen weitaus mehr Daten. Da können beispielsweise geheime Schlüssel von Verschlüsselungssystemen, Passfotos oder biometrische Daten in Personalausweisen enthalten sein. Ein gutes RFID-System befolgt den Grundsatz: Weniger ist mehr. Umso mehr Daten gesammelt und gespeichert werden, desto höher ist das Risiko von Verlust und Missbrauch.

Was können Unbefugte mit den gestohlenen Daten anfangen, wenn sie eine Kopie meiner Karte erstellen?
Wenn zur Identifikation, etwa bei einem Mitarbeiterausweis, nur ein Abgleich einer Nummer stattfindet, kann diese einfach kopiert werden. Durch eine geklonte Karte oder einen Emulator kann dann der Zutritt zum Gebäude erlangt werden. Solche simplen Systeme pflegen meist keine zusätzlichen Schutzmechanismen einzusetzen, um etwa einen Missbrauch über längere Zeit zu verhindern.

Bei ausgeklügelteren Systemen kommen kryptografische Mechanismen hinzu. Wenn ein Angreifer ein solches System missbrauchen will, ist er meist zeitlich eingeschränkt. Eine abgegriffene Information kann nicht beliebig oft und beliebig lang missbraucht werden. Verschlüsselte Systeme sind bedeutend teurer als ihre simplen Varianten. Aus Kostengründen kommen deshalb oft die kaum geschützten Lösungen zum Tragen.

Was ist RFID?

Radio Frequenz Identifizierung bezeichnet eine Technologie, mit der sich kontaktlos, also über Funkwellen, Daten austauschen lassen. Ein RFID-System besteht aus einem winzigen Empfänger-Chip auf einer Karte und einem Lesegerät zum Auslesen der Daten. Die Empfänger können klein wie ein Reiskorn und flach wie ein Haar sein, so dass sie in beliebige Karten oder gar Textilien eingearbeitet werden können. Mit Kredit- und Debitkarten zum kontaktlosen Bezahlen an Ladenkassen sowie dem SwissPass der SBB landet die Technologie endgültig in fast jedem Schweizer Portemonnaie.

Wie nahe muss mir ein Betrüger kommen, um die Daten von der Kontaktlos-Karte auszulesen?
Das ist von verschiedenen Faktoren abhängig: Beispielsweise von der Ummantelung des RFID-Chips auf der Karte. Ist die Karte in einem Portemonnaie verstaut, das viele Münzen enthält und mit metallischen Elementen bestückt ist, erfordert der Zugriff eine Nähe von wenigen Zentimetern oder gar Millimetern. Ohne eine solche Abschirmung erfordert das Auslesen in der Regel eine Distanz von ein bis zehn Zentimetern.

Der Angreifer kann die Reichweite erweitern, indem er die Sendeleistung seines Lesegeräts erhöht. Hierbei sind mehrere Meter durchaus möglich. Dies erfordert aber spezielle Hardware, die mit viel Energie gespeist werden muss. Ohne Rucksack wird das eher schwierig.

Diebe können Kartendaten mit spezieller Hardware auch aus grösserer Distanz auslesen.

Die Kreditkartenfirmen und die SBB behaupten trotzdem, sie hätten alles im Griff
Im professionellen Umfeld mit einem hohen Missbrauchsrisiko, sprich bei Kreditkarten oder auch den SBB, kommen ausgeklügelte Systeme zum Tragen. Es ist dann nicht ohne weiteres Möglich, mit einem einfachen Lesegerät die Daten auszulesen, zu kopieren und Missbrauch zu betreiben. Um dies umsetzen zu können, ist meist spezielle Hardware und sehr viel Knowhow erforderlich. Es gibt nur wenige Leute in der Schweiz, die sich auf dieser Ebene mit dem Thema auseinandersetzen.

Die Kreditkarten-Herausgeber sagen auch, ihnen seien keine Fälle von RFID-Betrug bekannt.
Zu konkreten Fällen kann ich mich nicht äussern. Jedes System lässt sich mit genug Zeit und Geld überlisten.

Bei welchen Kontaktlos-Karten besteht das grösste Sicherheitsrisiko?
Risiken werden anhand ihrer Eintrittswahrscheinlichkeit und ihrer Auswirkungen bewertet. Eintrittswahrscheinlichkeiten können nur, falls überhaupt, statistisch erfasst werden. Das, was Benutzer eher nachvollziehen können und dementsprechend fürchten, sind die Auswirkungen.

Die da wären?
Die meisten fürchten eine unerlaubte Buchung ab ihren Kreditkarten. Solche Fälle werden aber meist zu Gunsten der Kunden durch die Bank abgearbeitet: Der Kunde wird kompensiert. Mir ist kein Fall bekannt, bei dem ein Kunde schlussendlich den entstandenen Schaden selber tragen musste.

Okay, mein Geld ist sicher. Aber Kriminelle könnten andere persönliche Informationen ergaunern.
Das Thema des Identitätsdiebstahls kennt man hierzulande in erster Linie nur aus dystopischen Science-Fiction-Filmen. Man ist sich der Auswirkungen davon, im Gegensatz zur Wahrnehmung in den USA, noch nicht bewusst. Hier werden in naher Zukunft erste Fälle bekannt werden, die das Ausmass der vernetzten Gesellschaft erahnen lassen.

Auf was müssen wir uns konkret gefasst machen?
Wenn ich eine andere Identität vortäuschen kann, kann ich in das Leben einer fremden Person eindringen und dieses übernehmen. Dies kann bei kleinen, unscheinbaren Dingen, wie der Einsicht in die gesammelten Cumulus-Punkte anfangen. Und enden kann es damit, dass ich die komplette Kontrolle über Daten und Repräsentation der Person habe. Dadurch lassen sich buchstäblich Karrieren und Leben zerstören.

Jetzt malen Sie den Teufel an die Wand.
Die Entwicklung der letzten Jahre ist vergleichbar mit dem Verlust eines Handys: Vor 10 Jahren hat man halt seine SIM-Karte deaktivieren lassen. Heutzutage muss man sofort seine iCloud- oder Google-Konten sperren und zig andere Passwörter ändern. Die Vernetzung ist Segen und Fluch zugleich.

Wie kann man sich gegen RFID-Skimming schützen?
Es gibt verschiedene Portmonnaies und Hüllen, mit denen sich die Chips abschirmen lassen. Dies funktioniert in der Regel sehr gut. Gleichzeitig führen sie aber die Idee der drahtlosen Technologie ad absurdum. Sie sollte ja möglichst flexibel nutzbar sein, ohne mühsam seine Karten aus den Taschen kramen zu müssen. Sind sie jedoch abgeschirmt, wird genau das wieder erforderlich. Da könnte man auch gleich wieder auf kontaktbehaftete Lösungen mit PIN-Codes wechseln.

Fehlermeldung am Bezahlterminal, weil sich im Portemonnaie mehrere Karten befinden: «Nur 1 Karte vorlegen», meint das verwirrte Lesegerät.
bild: watson

Wer mehrere Kontaktlos-Karten im Portemonnaie hat, kennt das Problem: Kreditkarte, SwissPass etc. blockieren sich gegenseitig. Hilft da eine Schutzhülle?
Falls mehrere Karten in Reichweite sind, ist es von verschiedenen Faktoren abhängig, welche ausgelesen wird. Auch hier kann mit einer Abschirmung dafür gesorgt werden, dass nur die gewünschte Karte ansprechbar bleibt. Alle anderen Karten wären dann aber natürlich nicht mehr kontaktlos nutzbar.

RFID-Kartenbetrug in 3 Minuten erklärt

YouTube/Evelyn Diamante

Das könnte dich auch interessieren: So überwacht uns der Staat

Wo war Herr Glättli die letzten sechs Monate? Minute für Minute, Ort für Ort? Swisscom oder Sunrise wissen es, Sie wissen es jetzt – und der Staat kann es jederzeit wissen

Was der Staat von Ihrem Smartphone will. Und wann. Und weshalb.

«Es ist nur eine Frage der Zeit, bis der Bund auch Telefongespräche und SMS speichern will»

«Dass die Speicherung von Handydaten nichts bringt, ist kompletter Unsinn»

Das Beziehungsnetz: Wer ist beruflich wichtig, wer ist verwandt? Mit wem hat Herr Glättli wirklich viel zu tun?

Wie der Staat Daten «wegen Terror» abgreift – und uns eigentlich bloss komplett verarscht

Die Kapo Bern hat bald ein teures neues Abhörsystem. Aber der eigentliche Skandal dahinter ist die Beschaffung

Die vergessenen Jahre des Terrors: In den 70ern und 80ern zogen Terroristen eine Blutspur durch Europa

Wenn Sie immer noch glauben, Datenschutz sei nur für Menschen, die etwas zu verbergen haben, bitte hier weiterlesen

Die unsäglich peinliche Geschichte der gehackten Hacker (und Kapo-ZH-Lieferanten) in 25 Tweets erzählt

Diese Politiker sorgten sich eben noch um unsere Privatsphäre – und sagen jetzt trotzdem Ja zu mehr Überwachung

Fremde Geheimdienste sollen die Leitungen von Swisscom und Co. angezapft haben. Das musst du wissen

Polizei und Staat wollen Sie im Internet umfassend überwachen. Jeder zweite Schweizer sagt «Nein, danke!»

Alle Artikel anzeigen

Fantasie vs. Realität: 11 Situationen, wie du sie dir vorstellst, und wie sie wirklich, wirklich sind

Best of watson: Die besten Artikel aus unserem Archiv

Die vergessenen Jahre des Terrors: In den 70ern und 80ern zogen Terroristen eine Blutspur durch Europa

14 Dinge, die jeder Mac- und Windows-Nutzer über Microsofts neuen Laptop-Killer wissen muss

Diese 13 Fehler veränderten den Lauf der Weltgeschichte

Dieser unverschämt witzige Fake-Kundendienst auf Facebook treibt Kunden zur Weissglut

«Spuk in Thun»: Der unheimliche Fall eines Mädchens, das Aschenbecher und Betten zum Schweben brachte   

Grabsch-Bars, Katzen-Cafés und 21 weitere Gründe, warum ich Japan auch nach drei Monaten nicht verstehe, überhaupt nicht

Wenn du diese 29 fantastischen historischen Bilder siehst, folgst auch du @History_Pics

35 lustige und skurrile Smartphone-Autokorrekturen, die kein Auge trocken lassen

Alle Artikel anzeigen

Abonniere unseren Daily Newsletter

16
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 72 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
16Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Joost232 04.02.2017 13:25
    Highlight Das Auslesen aus größerer Distanz ist eher selten, da die dazu fähigen Geräte auch entsprechend teuer sind. Neuerdings können allerdings die Scheckkartendaten einfach Per App mit dem Smartsphone in wenigen Sekunden ausgelesen werden. Hier hingegen helfen RFID Schutz Hüllen: http://rfid-schutzhuelle-24.de/index.php/rfid-schutz/
    0 0 Melden
  • ⚡ ⚡ ⚡☢❗andre ☢ ⚡⚡ 23.11.2015 14:12
    Highlight Bullshit und Panikmacherei. Einfacher Taschendiebstahl ist nicht nur viel wahrscheinlicher, er führt auch viel eher zum Erfolg.
    Zwar sind eine Handvoll Personen vielleicht in den bestem Umständen fähig, über meine Kreditkarte ein BicMac Menu im McDonald zu kaufen. Allerdings haftet die Kreditkarten-Firma dafür und es gibt keinen beiannten Fall.
    Und der Swiss-Pass? Hallo? Er müsste ihn ja nicht nur kopieren, sondern dann auch wieder in ein leeres rotes SwissPass Kärtchen tun....
    Und dann kann er damit Zug fahren. WOW
    5 11 Melden
    • Gantii 23.11.2015 14:55
      Highlight den taschendiebstahl merken sie aber 'sofort'

      und ein 'rotes leeres kärtchen' zu besorgen dürfte nicht all zu schwierig sein - just saying.
      1 3 Melden
    • Oliver Wietlisbach 23.11.2015 15:02
      Highlight Dieses Interview macht also Panik? Ich denke das Gegenteil ist der Fall. Es wird differenziert aufgezeigt, wo es Gefahren gibt und wo nicht.
      13 0 Melden
    • ⚡ ⚡ ⚡☢❗andre ☢ ⚡⚡ 23.11.2015 17:00
      Highlight Fangen wir mal bei der Headline an: «Wenn ich eine andere Identität vortäusche, kann ich in das Leben einer Person eindringen»
      Wieso heisst die nicht: Differenzierte Betrachtung zum Thema RFID?
      Und dann das herumreiten, on Kreditkarten sicher sind oder nicht. Fakt ist: es spielt keine Rolle, weil man nicht für die Sicherheit haftet.
      Auch bei der SBB Karte nicht.
      RFID gibts nicht erst seit gestern und seit Jahren sind die Schwächen bekannt, der Punkt ist, es ist sicher genug für bestimmte Anwendungsfälle im Massenmarkt.
      2 6 Melden
    Weitere Antworten anzeigen
  • Brummbaer76 23.11.2015 13:17
    Highlight Zitat Interwiew:
    "Die meisten Systeme, wie etwa der SwissPass der SBB, speichern auf dem RFID-Chip lediglich eine Identifikationsnummer. Diese wird übertragen und mit einer Datenbank abgeglichen, um die Zugriffsmöglichkeiten bestimmen zu können."

    Bildbeschreibung Watson
    "Der SwissPass speichert die Daten elektronisch. Kondukteure fragen mit einem Scanner die Daten zur Identität des Abonnenten direkt von der Karte ab."
    Die Bildbeschreibung ist falsch. Es ist nur die Nummer gespeichert und die wird mit der Datenbank auf dem Gerät verglichen.
    Aber lieber der SBB noch was unterstellen.

    5 2 Melden
    • Oliver Wietlisbach 23.11.2015 13:52
      Highlight Das steht genau so im Interview: "Die meisten Systeme, wie etwa der SwissPass der SBB, speichern auf dem RFID-Chip lediglich eine Identifikationsnummer. Diese wird übertragen und mit einer Datenbank abgeglichen, um die Zugriffsmöglichkeiten bestimmen zu können. Die sensiblen Kundendaten sind also meist nicht direkt auf der Karte gespeichert, sondern in einer gesicherten Datenbank des Unternehmens."

      Die Bildunterschrift ist die vereinfachte und nicht ganz präzise Aussage dieser Antwort und stammt nicht von uns, sondern direkt von der Sicherheitsfirma Scip AG. http://www.scip.ch/?labs.20150803
      5 3 Melden
    • Thanatos 23.11.2015 17:55
      Highlight Schlussendlich ist alles als Nummer gespeichert, da einfacher abzufragen als Name, Vorname, Geburtsdatum etc. In der Datenbank ist das alles zusammen verknüpft und abgespeichert. Man könnte auch die ID-Nummer oder AHV-Nummer nehmen.
      0 0 Melden
  • Pablo Zolan 23.11.2015 12:18
    Highlight Spannend! und beunruhigend..
    10 0 Melden
    • ⚡ ⚡ ⚡☢❗andre ☢ ⚡⚡ 23.11.2015 19:52
      Highlight Ich finde eben auch, dass der Artikel auf subtile Art versucht Unsicherheit und Panik zu schüren, aber der Autor hat oben klipp und klar erklärt, dass SwissPass und Kreditkarten sicher sind.
      1 2 Melden
    • ⚡ ⚡ ⚡☢❗andre ☢ ⚡⚡ 23.11.2015 22:39
      Highlight Was ist beunruhigend? RFID ist sicherer als wenn jemand dein Portemonnaie klaut. Zudem ist es schwieriger als dein Portemonnaie zu klauen. Und zudem haftet der Herausgeber der Kreditkarte. Es gibt technisch und faktisch gesehen keinen Grund zur Beunruhigung. Aber ich finde auch das Interview versucht bewusst Unruhe zu wecken.
      0 2 Melden
    • Brummbaer76 24.11.2015 06:27
      Highlight Ich finde solche Disskusionen witzig. Einerseits wird gefordert (nicht unbedingt von ihnen) das die SBB den Swisspass doch in ihre App integriert wird, das Bargeldlose zahlen per Smartphone so einfach wie möglich ist etc. Aber bei den RFID Kärtchen wird Panik geschoben.
      Also in einem Smartphone an Identitäsdaten zu kommen ist einfacher als beim Swisspass.
      2 0 Melden
    Weitere Antworten anzeigen

Tausende Schweizer fallen gerade auf diesen Facebook-Betrug herein – das steckt dahinter

Seit einigen Wochen grassiert im deutschsprachigen Raum eine regelrechte Welle an Fake-Gewinnspielen. Auf Facebook gebe es so viele betrügerische Gewinnspiele «wie noch nie», schreibt das auf Online-Betrug spezialisierte Portal Mimikama.

Betrüger machen im Namen bekannter Marken wie Aldi, MediaMarkt oder Ikea mit vermeintlichen Verlosungen gezielt Jagd auf Postadressen, E-Mail-Adressen und Telefonnummern von Facebook-Nutzern. 

Obwohl die Masche alt ist, fallen im Moment wieder …

Artikel lesen