NFC-Technologie an der Kasse

Per Funk bezahlen

d'Lëtzebuerger Land du 29.04.2016

Keine Frage, praktisch ist sie: Portemonnaie gezückt, Plastikkarte herausgenommen und an der Kasse vor ein spezielles Terminal gehalten – und der Einkauf ist erledigt. NFC-Chip heißt die Neuerung, die bereits auf verschiedenen Geldkarten zu haben ist und die das Bezahlen noch bequemer machen soll. Ein kleines Wifi-Logo zeigt die Funktion an. NFC steht für Near Field Communication und beschreibt die Technologie hinter dem Zahlungsvorgang: Um mit der Karte eine Rechnung begleichen zu können, muss der Chip in einem Abstand von wenigen Zentimetern über das Kassengerät gehalten werden, bei Beträgen bis zu 25 Euro erfolgt dann die Abbuchung, ganz ohne Pin.

In Luxemburg sind elf Banken dabei, diese Technologie einzuführen: die Banque BCP, die Banque de Luxembourg, die Spuerkeess, die Raffeisen, die Bil, die BGL BNP Paribas, die KBL, ING Luxembourg und die Post. Sukzessive, das heißt, die alte abgelaufene Kreditkarte wird durch eine neue NFC-Karte ersetzt; bis Ende des Jahres sollen etwa 80 Prozent aller Geldkarten diese Funktion haben. In Ländern wie Frankreich und Großbritannien ist die NFC-Technologie seit einigen Jahren auf dem Vormarsch, wenngleich begleitet von Warnungen der Datenschützern und Forscher.

In Luxemburg dagegen bezeichnete die Präsidentin der Datenschutzkommission (CNPD), Tina Larssen, die Funk-Bezahlkarten aus „datenschutzrechtlicher Perspektive unbedenklich“. Was insofern erstaunt, als auf Nachfrage des Land das CNPD-Mitglied Georges Wantz einräumt, dass nicht probiert wurde, die Technologie auf Sicherheitslücken zu prüfen. „Wir haben die Angaben der Banken geprüft, welche Daten sie auf dem Chip speichern wollen. Die Speicherung dieser Daten ist aus datenschutzrechtlicher Perspektive unbedenklich. Was passiert, wenn der Chip gehackt wird, oder wie leicht er gehackt werden kann, haben wir nicht getestet“, erläutert Georges Wantz. Bisher liegt keine offizielle Anfrage der Banken bei der CNPD vor; eine Genehmigung von der Datenschutzbehörde brauchen sie für die Einführung der Funk-Geldkarten nicht. Also keine Probleme mit den Luxemburger NFC-Karten? Der Luxemburger Zweig des Chaos Computer Clubs hält die dahinterliegende Technologie grundsätzlich für „gefährlich“, hat aber selbst noch keine Tests mit der neuen Karte durchgeführt.

Anders in Großbritannien, wo die NFC-Geldkarten bereits zum Alltag gehören. Dort fand ein Forscherteam der Universität Newcastle im November in einem Laborversuch heraus, dass wegen einer gravierenden Sicherheitslücke mit Hilfe eines Smartphone das in England geltende Limit von 20 Pfund Sterling umgangen werden und die Karte mit einer Fremdwährung in Beträgen von bis zu 999 999,99 Euro oder einer anderen Währung belastet werden kann.

Im Juli vergangenen Jahres testete die britische Verbraucherorganisation Which? zehn kontaktlose Giro- und Kreditkarten, auf denen angeblich hinter einer Schutzwand Kundendaten zugangssicher aufbewahrt waren. Mittels handelsüblichen Kartenlesegeräten hätten IT-Techniker doch Zugang zu persönlichen Bankdaten auf dem NFC-Chip erhalten. Diese nutzen sie wiederum für Online-Geschäfte und konnten so unter anderem einen Plasma-Fernsehbildschirm für 3 000 Pfund kaufen.

Der deutsche Chaos Computer Club Frankfurt hatte bereits 2012 vor der Funk-Bezahlung „Girogo“ gewarnt, die von den deutschen Sparkassen eingeführt wurde. Nach seinen Erkenntnissen waren auf dem Chip unter anderem die Kennung der Girokarte, die letzten 15 Bezahlvorgänge und die letzten Prepaid-Ladevorgänge gespeichert.

Von den Banken selbst wird die neue Bezahlweise allerdings, wenig erstaunlich, als sicher angepriesen. In Luxemburg scheinen die Finanzinstitute vorsichtiger vorgegangen zu sein. „Wir haben länger gebraucht, weil wir zunächst die Erfahrungen im Ausland abwarten wollten“, erzählt Lysiane Back, Chefin des elektronischen Bankings bei der Spuerkeess. Inzwischen seien die Sicherheitsstandards so ausgereift, dass die Funkkarten „unbedenklich und sicher“ seien. Alle Banken, die bei Euro-Pay und Lux-Visa dabei sind, haben sich dem Projekt mittlerweile angeschlossen. „Wir haben die höchsten Sicherheitsvorkehrungen. Das ist der beste Stand der Technik“, so Back weiter.

Ungewolltes Bezahlen im Vorübergehen wird dadurch verhindert, dass eine Entfernung von wenigen Zentimetern zum Bezahl-Terminal notwendig ist, um eine Transaktion zu ermöglichen. Auch wer aus Versehen seine Karte mehrmals vor den Terminal hält, bezahlt dennoch nur einmal, weil der Händler die Transaktion jedes Mal einzeln aktivieren muss.

Zu den Sicherheitsbarrieren gehört, dass grundsätzlich nur Transaktionen mit der kontaktlosen Karte bis zu 25 Euro möglich sind. Wer mehrmals kleinere Ausgaben hintereinander tätigt und dabei den Sockel von 100 Euro überschreitet, muss am Terminal seine Zahlen-Pin eingeben. Sicherheitsbedingt können auch nach dem Zufallsprinzip Kontrollen durchgeführt werden, und der Kunde wird aufgefordert, durch Einführen der Karte und Eingabe der Pin zu bezahlen. „So können wir Missbrauch verhindern, etwa wenn jemand die Karte geklaut haben sollte“, sagt Back. Bei den konventionellen Karten war das Problem eher, dass Betrüger Geldautomaten oder Lesegeräte so präpariert hatten, dass damit Informationen ausgelesen und große Geldbeträge abgebucht werden konnten. „Aber hier gibt der Kunde die Karte ja nicht aus der Hand. Bisher gibt es keinen einzigen Fall von Betrug“, sagt Lysiane Back. Im schlimmsten Fall hafte die Bank für den Schaden.

Darüber hinaus sind weitere Sicherheitsvorkehrungen eingebaut, über die die Banken allerdings nicht sprechen, schon um kriminellen Hackern das Handwerk zu erschweren. Anders als bei den beanstandeten Karten in den Labortests in England, seien die Karten im Feldversuch getestet und persönliche Daten hinter einem Schutzwall verschlüsselt abgelegt. Ansonsten gebe es bezüglich der Informationen „keine Änderung gegenüber herkömmlichen Karten“, betont Lysiane Back. Vom Lesegerät lesbar sei eine Identifika-tionsnummer der Karte, die aber keine Rückschlüsse auf Name, Adresse oder Kontonummer des Kunden zulasse. Der Kunde selbst sieht nur die Höhe der Transaktion. Wer ganz sicher gehen will, kann die Karte in eine spezielle Hülle aufbewahren oder in Alufolie einwickeln, so wird ein unbemerktes Auslesen durch Diebe verhindert.

Dass Luxemburger Kunden die kontaktlosen Karten aus Misstrauen ablehnen, scheint aber eher unwahrscheinlich: In einem internen Schreiben vom 21. März 2016 der „Kommunikationsgruppe NFC sur carte de crédit“ melden beteiligte Banken wie die ING oder die BGL eher wenig negative Reaktionen seitens der Kundschaft. Eine Kritik ist, dass mehrere solcher Karten in einem Portemonnaie ein schnelles Bezahlen erschweren: Der Kunde muss die entsprechende Karte herausnehmen, um Mehrfachabbuchungen zu vermeiden und die Buchung eindeutig einer Karte zuweisen zu können.

Andere haben wohl kritisch nachgefragt; die Finanzhäuser haben für diese Fälle ihre Berater geschult und ein Informationskonzept entwickelt, sprich eine Kommunikation, die die positiven Aspekte der Bezahlweise unterstreicht. Interessanterweise aber entschied sich die Arbeitsgruppe dagegen, den Frage-Antwort-Bogen für die Kunden so zu erweitern, dass er detailliert auf die Sicherheitsaspekte und eventuellen Risiken der Technologie eingeht. Wer skeptisch bleibt und gar kein Risiko eingehen will, kann die Funktion übrigens auch abschalten lassen: Laut Sitzungsbericht waren es bei der Spuerkees weniger als 30 NFC-Karten seit dem 20. Januar, bei der BGL 18 und bei der Bil 24 Karten, die auf ausdrücklichen Wunsch der Kunden desaktiviert wurden. Technikbegeisterte dürfen sich derweil auf die nächste Innovation freuen: Als nächsten Schritt prüfen die Banken Bezahlsysteme, die über das Smartphone laufen sollen.

Ines Kurschat
© 2017 d’Lëtzebuerger Land