Auch ich nenne mittlerweile eine Kreditkarte mit NFC-Funktion zum kontaktlosen Bezahlen mein Eigen. Umso mehr habe ich aktuelle Meldungen zur Sicherheit dieser Karten verfolgt und mit den mir bereits bekannten Risiken verknüpft.
Kurzgesagt ist es möglich die zum Online-Shoppen erforderlichen Kartendaten mittels selbstgebauter Antenne und einer Android-App über 20cm auszulesen. Die in den Artikeln und Fernsehsendungen genannte letzte Verteidigungslinie, der dreistellige Sicherheitscode auf der Rückseite der Karte, ist entgegen der von den Medien suggerierten Erwartung bereits im Dezember 2014 öffentlich gefallen. Der Sicherheitsexperte Andrea Barisani erwähnte nämlich am 28.12.2014 in seinem CCC-Vortrag "31c3: Practical EMV PIN interception and fraud detection" in Hamburg die Möglichkeit, den sogenannten Card-Verification-Code mittels manipuliertem Terminal und einer simplen Brute-Force-Attacke innerhalb von Minuten zu ermitteln.
ORF - Gratis-App spioniert Kreditkarten aus
"Um sensible Kreditkartendaten zu stehlen, braucht es nur ein Smartphone und eine kostenlose App aus dem Internet. Damit können Kreditkartennummer und Ablaufdatum ausgelesen werden, auch wenn die
Karte in einer Handtasche steckt."
Was sagt das Gesetz dazu?
Bereits 2012 stellten die Juristen Dr. jur. Karsten Kinast und Dipl.-Jur. Sebastian Schreiber in ihrem Artikel "Bei vier Zentimetern ist der Datenschutz passé" klar, dass die bereitstellenden Bankunternehmen gemäß dem deutschen Datenschutzgesetztes dazu verpflichtet sind, die Kartendaten nicht nur durch eine eingeschränkte Funkreichweite zu schützen. Die aktuelle Lösung kann nämlich die in § 6c Abs. 3 BDSG vorgeschriebene Transparenz bei Kommunikationsvorgängen, die eine Datenverarbeitung auslösen, nicht gewährleisten, wenn Kriminelle die Kartendaten ohne visuellen oder akustischen Hinweis/Warnung mittels App auslesen können.