DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Im Vorbeigehen kontaktlos bezahlen ist bequem – aber auch sicher?
bild: obs/IG Schweizer Kartenanbieter/cashless.ch

Interview

«Wenn ich eine andere Identität vortäusche, kann ich in das Leben einer Person eindringen»

Kriminelle können persönliche Daten von Kreditkarten, Kundenkarten oder Personalausweisen quasi im Vorbeigehen auslesen. Der ehemalige Hacker und heutige Sicherheitsexperte Marc Ruef erklärt im Interview, welche Gefahren von kontaktlosen Karten ausgehen und wie man sich gegen Angriffe schützt.



Ob Kreditkarte, SBB-Abo, Personalausweis oder biometrischer Pass: RFID-Chips stecken heute in den meisten Karten und Ausweisen. Die darauf gespeicherten Daten können theoretisch im Vorbeigehen geklaut werden – ohne dass wir es mitbekommen. 

Alles, was der digitale Taschendieb zum RFID-Datenklau benötigt, ist ein Auslesegerät oder ein mit entsprechender Software ausgestattetes Smartphone, das er bei sich trägt und in die Nähe des Portemonnaies hält. Der Bund empfiehlt daher den Schutz des Schweizer E-Passes mit entsprechenden Schutzhüllen, damit die biometrischen Daten nicht von Unbefugten auf Distanz ausgelesen werden können.

Marc Ruef Scip AG

Der Schweizer IT-Sicherheitsexperte Marc Ruef analysiert seit mehreren Jahren die Schwachpunkte der RFID-Technologie. 
bild: zvg

Herr Ruef, stimmt es, dass man mit einem 14 Franken teuren Scanner von eBay Daten von Kreditkarten auslesen kann?
Marc Ruef: Grundsätzlich ja. Mittlerweile bieten auch viele Smartphones, vor allem im Android-Umfeld, diese Möglichkeit. Hierzu muss man lediglich die NFC-Funktion in den Einstellungen freischalten und bei manchen Geräten eine zusätzliche App herunterladen.

Die Handhabung ist denkbar einfach: Das Lesegerät ein paar Sekunden an den RFID-Chip halten und schon erscheinen die ausgelesenen Informationen auf dem Display. Da es unterschiedliche Chips und Technologien gibt, ist die Kompatibilität nicht immer gegeben. Ein professioneller Datendieb muss neben der Hardware auch ein erweitertes Verständnis für den Angriff mitbringen.

Bild

Per App kann die Nummer der Kontaktlos-Kreditkarte im Portemonnaie innert Sekunden ausgelesen werden. Das funktioniert auch, wenn das Portemonnaie in der Hosentasche ist.
bild: watson

Schütze deine Karten vor dem digitalen Datenklau

Das Schweizer Start-Up soomz.io produziert RFID-Schutzhüllen, mit denen die Daten auf deinen Karten sicher sind. Die Schutzhüllen in verschiedenen Formaten sind TÜV-geprüft und bewahren Kreditkarten, Reisepass, Zutrittskarten, etc. zuverlässig vor den Übergriffen digitaler Taschendiebe. 

Was kann schlimmstenfalls passieren, wenn jemand quasi beim Vorbeigehen heimlich meine Daten klaut?
RFID-Karten werden in erster Linie eingesetzt, um jemanden zu identifizieren (Wer ist es?) und zu authentisieren (Ist er es wirklich?). Durch das Vortäuschen einer falschen Identifikation könnte man sich als eine andere Person ausgeben oder Zugriffe erschleichen, die einem eigentlich nicht zustehen.

Können Sie ein Beispiel geben?
Bei einem Ausweis könnte man einen Identitätsdiebstahl vollziehen, bei Kreditkarten eine Zahlung mit niedrigen Beträgen durchführen, bei Fahrkarten eine Leistung erschleichen und bei Mitarbeiter-Badges unerlaubten Zugang zu einem Firmengebäude erlangen.

Verstehe ich richtig? Betrüger könnten heimlich die Daten auf meiner Schlüsselkarte fürs Hotel auslesen, die Daten auf eine andere Karte übertragen und so in mein Zimmer eindringen?
Dies ist stark vom eingesetzten Produkt abhängig. Die meisten Systeme, wie etwa der SwissPass der SBB, speichern auf dem RFID-Chip lediglich eine Identifikationsnummer. Diese wird übertragen und mit einer Datenbank abgeglichen, um die Zugriffsmöglichkeiten bestimmen zu können. Die sensiblen Kundendaten sind also meist nicht direkt auf der Karte gespeichert, sondern in einer gesicherten Datenbank des Unternehmens.

Bild

Der SwissPass speichert die Daten elektronisch. Kondukteure fragen mit einem Scanner die Daten zur Identität des Abonnenten direkt von der Karte ab. 

Das würde bedeuten, dass Kriminelle mit den ausgelesen Daten wenig bis nichts anfangen können?
Nicht zwingend. Andere Systeme speichern und übertragen weitaus mehr Daten. Da können beispielsweise geheime Schlüssel von Verschlüsselungssystemen, Passfotos oder biometrische Daten in Personalausweisen enthalten sein. Ein gutes RFID-System befolgt den Grundsatz: Weniger ist mehr. Umso mehr Daten gesammelt und gespeichert werden, desto höher ist das Risiko von Verlust und Missbrauch.

Was können Unbefugte mit den gestohlenen Daten anfangen, wenn sie eine Kopie meiner Karte erstellen?
Wenn zur Identifikation, etwa bei einem Mitarbeiterausweis, nur ein Abgleich einer Nummer stattfindet, kann diese einfach kopiert werden. Durch eine geklonte Karte oder einen Emulator kann dann der Zutritt zum Gebäude erlangt werden. Solche simplen Systeme pflegen meist keine zusätzlichen Schutzmechanismen einzusetzen, um etwa einen Missbrauch über längere Zeit zu verhindern.

Bei ausgeklügelteren Systemen kommen kryptografische Mechanismen hinzu. Wenn ein Angreifer ein solches System missbrauchen will, ist er meist zeitlich eingeschränkt. Eine abgegriffene Information kann nicht beliebig oft und beliebig lang missbraucht werden. Verschlüsselte Systeme sind bedeutend teurer als ihre simplen Varianten. Aus Kostengründen kommen deshalb oft die kaum geschützten Lösungen zum Tragen.

Was ist RFID?

Radio Frequenz Identifizierung bezeichnet eine Technologie, mit der sich kontaktlos, also über Funkwellen, Daten austauschen lassen. Ein RFID-System besteht aus einem winzigen Empfänger-Chip auf einer Karte und einem Lesegerät zum Auslesen der Daten. Die Empfänger können klein wie ein Reiskorn und flach wie ein Haar sein, so dass sie in beliebige Karten oder gar Textilien eingearbeitet werden können. Mit Kredit- und Debitkarten zum kontaktlosen Bezahlen an Ladenkassen sowie dem SwissPass der SBB landet die Technologie endgültig in fast jedem Schweizer Portemonnaie.

Wie nahe muss mir ein Betrüger kommen, um die Daten von der Kontaktlos-Karte auszulesen?
Das ist von verschiedenen Faktoren abhängig: Beispielsweise von der Ummantelung des RFID-Chips auf der Karte. Ist die Karte in einem Portemonnaie verstaut, das viele Münzen enthält und mit metallischen Elementen bestückt ist, erfordert der Zugriff eine Nähe von wenigen Zentimetern oder gar Millimetern. Ohne eine solche Abschirmung erfordert das Auslesen in der Regel eine Distanz von ein bis zehn Zentimetern.

Der Angreifer kann die Reichweite erweitern, indem er die Sendeleistung seines Lesegeräts erhöht. Hierbei sind mehrere Meter durchaus möglich. Dies erfordert aber spezielle Hardware, die mit viel Energie gespeist werden muss. Ohne Rucksack wird das eher schwierig.

Bild

Diebe können Kartendaten mit spezieller Hardware auch aus grösserer Distanz auslesen.

Die Kreditkartenfirmen und die SBB behaupten trotzdem, sie hätten alles im Griff
Im professionellen Umfeld mit einem hohen Missbrauchsrisiko, sprich bei Kreditkarten oder auch den SBB, kommen ausgeklügelte Systeme zum Tragen. Es ist dann nicht ohne weiteres Möglich, mit einem einfachen Lesegerät die Daten auszulesen, zu kopieren und Missbrauch zu betreiben. Um dies umsetzen zu können, ist meist spezielle Hardware und sehr viel Knowhow erforderlich. Es gibt nur wenige Leute in der Schweiz, die sich auf dieser Ebene mit dem Thema auseinandersetzen.

Die Kreditkarten-Herausgeber sagen auch, ihnen seien keine Fälle von RFID-Betrug bekannt.
Zu konkreten Fällen kann ich mich nicht äussern. Jedes System lässt sich mit genug Zeit und Geld überlisten.

Bei welchen Kontaktlos-Karten besteht das grösste Sicherheitsrisiko?
Risiken werden anhand ihrer Eintrittswahrscheinlichkeit und ihrer Auswirkungen bewertet. Eintrittswahrscheinlichkeiten können nur, falls überhaupt, statistisch erfasst werden. Das, was Benutzer eher nachvollziehen können und dementsprechend fürchten, sind die Auswirkungen.

Die da wären?
Die meisten fürchten eine unerlaubte Buchung ab ihren Kreditkarten. Solche Fälle werden aber meist zu Gunsten der Kunden durch die Bank abgearbeitet: Der Kunde wird kompensiert. Mir ist kein Fall bekannt, bei dem ein Kunde schlussendlich den entstandenen Schaden selber tragen musste.

Okay, mein Geld ist sicher. Aber Kriminelle könnten andere persönliche Informationen ergaunern.
Das Thema des Identitätsdiebstahls kennt man hierzulande in erster Linie nur aus dystopischen Science-Fiction-Filmen. Man ist sich der Auswirkungen davon, im Gegensatz zur Wahrnehmung in den USA, noch nicht bewusst. Hier werden in naher Zukunft erste Fälle bekannt werden, die das Ausmass der vernetzten Gesellschaft erahnen lassen.

Auf was müssen wir uns konkret gefasst machen?
Wenn ich eine andere Identität vortäuschen kann, kann ich in das Leben einer fremden Person eindringen und dieses übernehmen. Dies kann bei kleinen, unscheinbaren Dingen, wie der Einsicht in die gesammelten Cumulus-Punkte anfangen. Und enden kann es damit, dass ich die komplette Kontrolle über Daten und Repräsentation der Person habe. Dadurch lassen sich buchstäblich Karrieren und Leben zerstören.

Jetzt malen Sie den Teufel an die Wand.
Die Entwicklung der letzten Jahre ist vergleichbar mit dem Verlust eines Handys: Vor 10 Jahren hat man halt seine SIM-Karte deaktivieren lassen. Heutzutage muss man sofort seine iCloud- oder Google-Konten sperren und zig andere Passwörter ändern. Die Vernetzung ist Segen und Fluch zugleich.

Wie kann man sich gegen RFID-Skimming schützen?
Es gibt verschiedene Portmonnaies und Hüllen, mit denen sich die Chips abschirmen lassen. Dies funktioniert in der Regel sehr gut. Gleichzeitig führen sie aber die Idee der drahtlosen Technologie ad absurdum. Sie sollte ja möglichst flexibel nutzbar sein, ohne mühsam seine Karten aus den Taschen kramen zu müssen. Sind sie jedoch abgeschirmt, wird genau das wieder erforderlich. Da könnte man auch gleich wieder auf kontaktbehaftete Lösungen mit PIN-Codes wechseln.

Bild

Fehlermeldung am Bezahlterminal, weil sich im Portemonnaie mehrere Karten befinden: «Nur 1 Karte vorlegen», meint das verwirrte Lesegerät.
bild: watson

Wer mehrere Kontaktlos-Karten im Portemonnaie hat, kennt das Problem: Kreditkarte, SwissPass etc. blockieren sich gegenseitig. Hilft da eine Schutzhülle?
Falls mehrere Karten in Reichweite sind, ist es von verschiedenen Faktoren abhängig, welche ausgelesen wird. Auch hier kann mit einer Abschirmung dafür gesorgt werden, dass nur die gewünschte Karte ansprechbar bleibt. Alle anderen Karten wären dann aber natürlich nicht mehr kontaktlos nutzbar.

RFID-Kartenbetrug in 3 Minuten erklärt

abspielen

YouTube/Evelyn Diamante

Das könnte dich auch interessieren: So überwacht uns der Staat

Wo war Herr Glättli die letzten sechs Monate? Minute für Minute, Ort für Ort? Swisscom oder Sunrise wissen es, Sie wissen es jetzt – und der Staat kann es jederzeit wissen

Link zum Artikel

Was der Staat von Ihrem Smartphone will. Und wann. Und weshalb.

Link zum Artikel

«Es ist nur eine Frage der Zeit, bis der Bund auch Telefongespräche und SMS speichern will»

Link zum Artikel

«Dass die Speicherung von Handydaten nichts bringt, ist kompletter Unsinn»

Link zum Artikel

Das Beziehungsnetz: Wer ist beruflich wichtig, wer ist verwandt? Mit wem hat Herr Glättli wirklich viel zu tun?

Link zum Artikel

Wie der Staat Daten «wegen Terror» abgreift – und uns eigentlich bloss komplett verarscht

Link zum Artikel

Die Kapo Bern hat bald ein teures neues Abhörsystem. Aber der eigentliche Skandal dahinter ist die Beschaffung

Link zum Artikel

Die vergessenen Jahre des Terrors: In den 70ern und 80ern zogen Terroristen eine Blutspur durch Europa

Link zum Artikel

Wenn Sie immer noch glauben, Datenschutz sei nur für Menschen, die etwas zu verbergen haben, bitte hier weiterlesen

Link zum Artikel

Die unsäglich peinliche Geschichte der gehackten Hacker (und Kapo-ZH-Lieferanten) in 25 Tweets erzählt

Link zum Artikel

Diese Politiker sorgten sich eben noch um unsere Privatsphäre – und sagen jetzt trotzdem Ja zu mehr Überwachung

Link zum Artikel

Fremde Geheimdienste sollen die Leitungen von Swisscom und Co. angezapft haben. Das musst du wissen

Link zum Artikel

Polizei und Staat wollen Sie im Internet umfassend überwachen. Jeder zweite Schweizer sagt «Nein, danke!»

Link zum Artikel
Alle Artikel anzeigen

Fantasie vs. Realität: 11 Situationen, wie du sie dir vorstellst, und wie sie wirklich, wirklich sind

Best of watson: Die besten Artikel aus unserem Archiv

Die vergessenen Jahre des Terrors: In den 70ern und 80ern zogen Terroristen eine Blutspur durch Europa

Link zum Artikel

14 Dinge, die jeder Mac- und Windows-Nutzer über Microsofts neuen Laptop-Killer wissen muss

Link zum Artikel

Diese 13 Fehler veränderten den Lauf der Weltgeschichte

Link zum Artikel

Dieser unverschämt witzige Fake-Kundendienst auf Facebook treibt Kunden zur Weissglut

Link zum Artikel

«Spuk in Thun»: Der unheimliche Fall eines Mädchens, das Aschenbecher und Betten zum Schweben brachte   

Link zum Artikel

Grabsch-Bars, Katzen-Cafés und 21 weitere Gründe, warum ich Japan auch nach drei Monaten nicht verstehe, überhaupt nicht

Link zum Artikel

Wenn du diese 29 fantastischen historischen Bilder siehst, folgst auch du @History_Pics

Link zum Artikel

35 lustige und skurrile Smartphone-Autokorrekturen, die kein Auge trocken lassen

Link zum Artikel
Alle Artikel anzeigen
DANKE FÜR DIE ♥
Würdest du gerne watson und Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Interview

«Über Social Media tragen Rechtsextreme ihre Ideologien in die Mitte der Gesellschaft»

Andre Wolf ist Faktenchecker bei der österreichischen Rechercheplattform Mimikama. In seinem Buch «Angriff auf die Demokratie» schreibt er über die Gefahren rechtsextremer Netzwerke, die das Internet unterwandern.

Herr Wolf, in Ihrem Buch schreiben Sie, dass seit Beginn der Pandemie intensiver Fake News verbreitet werden und der Hass im Netz zugenommen haben. Warum?Andre Wolf: Dieses Phänomen kann man immer dann beobachten, wenn etwas passiert, das viele Menschen betrifft und das Thema stark medial aufgegriffen wird. Im Fahrwasser der Berichterstattung tauchen dann viele Falschmeldungen auf. Das passierte schon 2015 bei der Flüchtlingskrise. Oder immer, wenn es islamistisch-motivierte Terroranschläge …

Artikel lesen
Link zum Artikel