Hol dir jetzt die beste News-App der Schweiz!
- watson: 4,5 von 5 Sternchen im App-Store ☺
- Tages-Anzeiger: 3,5 von 5 Sternchen
- Blick: 3 von 5 Sternchen
- 20 Minuten: 3 von 5 Sternchen
Du willst nur das Beste? Voilà:
Ob Kreditkarte, SBB-Abo, Personalausweis oder biometrischer Pass: RFID-Chips stecken heute in den meisten Karten und Ausweisen. Die darauf gespeicherten Daten können theoretisch im Vorbeigehen geklaut werden – ohne dass wir es mitbekommen.
Alles, was der digitale Taschendieb zum RFID-Datenklau benötigt, ist ein Auslesegerät oder ein mit entsprechender Software ausgestattetes Smartphone, das er bei sich trägt und in die Nähe des Portemonnaies hält. Der Bund empfiehlt daher den Schutz des Schweizer E-Passes mit entsprechenden Schutzhüllen, damit die biometrischen Daten nicht von Unbefugten auf Distanz ausgelesen werden können.
Herr Ruef, stimmt es, dass man mit einem 14 Franken teuren Scanner von eBay Daten von Kreditkarten auslesen kann?
Marc Ruef: Grundsätzlich ja. Mittlerweile bieten auch viele Smartphones, vor allem im Android-Umfeld, diese Möglichkeit. Hierzu muss man lediglich die NFC-Funktion in den Einstellungen freischalten und bei manchen Geräten eine zusätzliche App herunterladen.
Die Handhabung ist denkbar einfach: Das Lesegerät ein paar Sekunden an den RFID-Chip halten und schon erscheinen die ausgelesenen Informationen auf dem Display. Da es unterschiedliche Chips und Technologien gibt, ist die Kompatibilität nicht immer gegeben. Ein professioneller Datendieb muss neben der Hardware auch ein erweitertes Verständnis für den Angriff mitbringen.
Was kann schlimmstenfalls passieren, wenn jemand quasi beim Vorbeigehen heimlich meine Daten klaut?
RFID-Karten werden in erster Linie eingesetzt, um jemanden zu identifizieren (Wer ist es?) und zu authentisieren (Ist er es wirklich?). Durch das Vortäuschen einer falschen Identifikation könnte man sich als eine andere Person ausgeben oder Zugriffe erschleichen, die einem eigentlich nicht zustehen.
Können Sie ein Beispiel geben?
Bei einem Ausweis könnte man einen Identitätsdiebstahl vollziehen, bei Kreditkarten eine Zahlung mit niedrigen Beträgen durchführen, bei Fahrkarten eine Leistung erschleichen und bei Mitarbeiter-Badges unerlaubten Zugang zu einem Firmengebäude erlangen.
Verstehe ich richtig? Betrüger könnten heimlich die Daten auf meiner Schlüsselkarte fürs Hotel auslesen, die Daten auf eine andere Karte übertragen und so in mein Zimmer eindringen?
Dies ist stark vom eingesetzten Produkt abhängig. Die meisten Systeme, wie etwa der SwissPass der SBB, speichern auf dem RFID-Chip lediglich eine Identifikationsnummer. Diese wird übertragen und mit einer Datenbank abgeglichen, um die Zugriffsmöglichkeiten bestimmen zu können. Die sensiblen Kundendaten sind also meist nicht direkt auf der Karte gespeichert, sondern in einer gesicherten Datenbank des Unternehmens.
Das würde bedeuten, dass Kriminelle mit den ausgelesen Daten wenig bis nichts anfangen können?
Nicht zwingend. Andere Systeme speichern und übertragen weitaus mehr Daten. Da können beispielsweise geheime Schlüssel von Verschlüsselungssystemen, Passfotos oder biometrische Daten in Personalausweisen enthalten sein. Ein gutes RFID-System befolgt den Grundsatz: Weniger ist mehr. Umso mehr Daten gesammelt und gespeichert werden, desto höher ist das Risiko von Verlust und Missbrauch.
Was können Unbefugte mit den gestohlenen Daten anfangen, wenn sie eine Kopie meiner Karte erstellen?
Wenn zur Identifikation, etwa bei einem Mitarbeiterausweis, nur ein Abgleich einer Nummer stattfindet, kann diese einfach kopiert werden. Durch eine geklonte Karte oder einen Emulator kann dann der Zutritt zum Gebäude erlangt werden. Solche simplen Systeme pflegen meist keine zusätzlichen Schutzmechanismen einzusetzen, um etwa einen Missbrauch über längere Zeit zu verhindern.
Bei ausgeklügelteren Systemen kommen kryptografische Mechanismen hinzu. Wenn ein Angreifer ein solches System missbrauchen will, ist er meist zeitlich eingeschränkt. Eine abgegriffene Information kann nicht beliebig oft und beliebig lang missbraucht werden. Verschlüsselte Systeme sind bedeutend teurer als ihre simplen Varianten. Aus Kostengründen kommen deshalb oft die kaum geschützten Lösungen zum Tragen.
Wie nahe muss mir ein Betrüger kommen, um die Daten von der Kontaktlos-Karte auszulesen?
Das ist von verschiedenen Faktoren abhängig: Beispielsweise von der Ummantelung des RFID-Chips auf der Karte. Ist die Karte in einem Portemonnaie verstaut, das viele Münzen enthält und mit metallischen Elementen bestückt ist, erfordert der Zugriff eine Nähe von wenigen Zentimetern oder gar Millimetern. Ohne eine solche Abschirmung erfordert das Auslesen in der Regel eine Distanz von ein bis zehn Zentimetern.
Der Angreifer kann die Reichweite erweitern, indem er die Sendeleistung seines Lesegeräts erhöht. Hierbei sind mehrere Meter durchaus möglich. Dies erfordert aber spezielle Hardware, die mit viel Energie gespeist werden muss. Ohne Rucksack wird das eher schwierig.
Die Kreditkartenfirmen und die SBB behaupten trotzdem, sie hätten alles im Griff.
Im professionellen Umfeld mit einem hohen Missbrauchsrisiko, sprich bei Kreditkarten oder auch den SBB, kommen ausgeklügelte Systeme zum Tragen. Es ist dann nicht ohne weiteres Möglich, mit einem einfachen Lesegerät die Daten auszulesen, zu kopieren und Missbrauch zu betreiben. Um dies umsetzen zu können, ist meist spezielle Hardware und sehr viel Knowhow erforderlich. Es gibt nur wenige Leute in der Schweiz, die sich auf dieser Ebene mit dem Thema auseinandersetzen.
Die Kreditkarten-Herausgeber sagen auch, ihnen seien keine Fälle von RFID-Betrug bekannt.
Zu konkreten Fällen kann ich mich nicht äussern. Jedes System lässt sich mit genug Zeit und Geld überlisten.
Bei welchen Kontaktlos-Karten besteht das grösste Sicherheitsrisiko?
Risiken werden anhand ihrer Eintrittswahrscheinlichkeit und ihrer Auswirkungen bewertet. Eintrittswahrscheinlichkeiten können nur, falls überhaupt, statistisch erfasst werden. Das, was Benutzer eher nachvollziehen können und dementsprechend fürchten, sind die Auswirkungen.
Die da wären?
Die meisten fürchten eine unerlaubte Buchung ab ihren Kreditkarten. Solche Fälle werden aber meist zu Gunsten der Kunden durch die Bank abgearbeitet: Der Kunde wird kompensiert. Mir ist kein Fall bekannt, bei dem ein Kunde schlussendlich den entstandenen Schaden selber tragen musste.
Okay, mein Geld ist sicher. Aber Kriminelle könnten andere persönliche Informationen ergaunern.
Das Thema des Identitätsdiebstahls kennt man hierzulande in erster Linie nur aus dystopischen Science-Fiction-Filmen. Man ist sich der Auswirkungen davon, im Gegensatz zur Wahrnehmung in den USA, noch nicht bewusst. Hier werden in naher Zukunft erste Fälle bekannt werden, die das Ausmass der vernetzten Gesellschaft erahnen lassen.
Auf was müssen wir uns konkret gefasst machen?
Wenn ich eine andere Identität vortäuschen kann, kann ich in das Leben einer fremden Person eindringen und dieses übernehmen. Dies kann bei kleinen, unscheinbaren Dingen, wie der Einsicht in die gesammelten Cumulus-Punkte anfangen. Und enden kann es damit, dass ich die komplette Kontrolle über Daten und Repräsentation der Person habe. Dadurch lassen sich buchstäblich Karrieren und Leben zerstören.
Jetzt malen Sie den Teufel an die Wand.
Die Entwicklung der letzten Jahre ist vergleichbar mit dem Verlust eines Handys: Vor 10 Jahren hat man halt seine SIM-Karte deaktivieren lassen. Heutzutage muss man sofort seine iCloud- oder Google-Konten sperren und zig andere Passwörter ändern. Die Vernetzung ist Segen und Fluch zugleich.
Wie kann man sich gegen RFID-Skimming schützen?
Es gibt verschiedene Portmonnaies und Hüllen, mit denen sich die Chips abschirmen lassen. Dies funktioniert in der Regel sehr gut. Gleichzeitig führen sie aber die Idee der drahtlosen Technologie ad absurdum. Sie sollte ja möglichst flexibel nutzbar sein, ohne mühsam seine Karten aus den Taschen kramen zu müssen. Sind sie jedoch abgeschirmt, wird genau das wieder erforderlich. Da könnte man auch gleich wieder auf kontaktbehaftete Lösungen mit PIN-Codes wechseln.
Wer mehrere Kontaktlos-Karten im Portemonnaie hat, kennt das Problem: Kreditkarte, SwissPass etc. blockieren sich gegenseitig. Hilft da eine Schutzhülle?
Falls mehrere Karten in Reichweite sind, ist es von verschiedenen Faktoren abhängig, welche ausgelesen wird. Auch hier kann mit einer Abschirmung dafür gesorgt werden, dass nur die gewünschte Karte ansprechbar bleibt. Alle anderen Karten wären dann aber natürlich nicht mehr kontaktlos nutzbar.