Kurz die Karte vors Lesegerät halten, es piept und schon ist der Einkauf bezahlt. Ohne PIN-Eingabe. Daniel Köhler hat so eine neue EC-Karte erhalten.
"Und zu meiner Überraschung hat sich herausgestellt, dass das ein anderes System ist, das auf meiner Karte funktioniert. Und das ist mir ein bisschen sauer aufgestoßen."
Der Düsseldorfer ist IT-Sicherheitsexperte. Er hält die neuen Funk-Karten für unsicher. Es sei möglich, mit diesen Karten die eigene Rechnung unbemerkt anderen aufzudrücken. Der Betrüger halte dabei sein Portemonnaie, in dem ein Sender versteckt ist, an das Kassenterminal. Damit schickt er das Funksignal zu einem Sender in der anderen Hand, die er hinter sich hält. Von dort wird das Signal weitergefunkt. So wird es von der kontaktlosen Bezahlkarte gelesen, die der Kunde hinter ihm in der Tasche hat.
"Damit stelle ich auf Funkbasis eine Verbindung zwischen den beiden Geräten her. Das heißt, nicht ich bezahle gerade den Einkauf, sondern die Person hinter mir mit seiner Funkkarte bezahlt den Einkauf."
Die Kunden müssen die neuen funkenden EC-Karten akzeptieren, werden aber noch nicht ausreichend informiert, moniert Markus Feck von der Verbraucherzentrale Nordrhein-Westfalen.
"Es ist tatsächlich so, dass diese Karten herausgegeben werden, oftmals sogar so, dass die Kunden gar nicht wissen, dass sie ein funkendes Schätzchen in der Tasche haben. Es wird nur gesagt, dass das die Bezahlform der Zukunft ist, dass alles viel schneller geht. Aber über mögliche Risiken wird gar nicht gesprochen."
Die ausgebenden Banken begrenzen allerdings den Betrag, der ohne PIN-Eingabe im Vorbeigehen mit der Funk-Karte bezahlt werden kann. Bei Sparkassen auf 20 Euro. Bei allen anderen Banken, die die Technik von Mastercard oder VISA benutzen, auf 25 Euro. Adib Sisani, Pressesprecher der Targo-Bank hält die Betrugsszenarien für unrealistisch.
"Wir sagen unseren Kunden, wir verstehen, dass der ein oder andere vielleicht ein bisschen Bauchschmerzen damit hat, aber man muss sich keine Sorgen machen. Falls doch einmal etwas passiert, wäre das dann Missbrauch und dann würde der Kunde nicht haften. Darüber hinaus ist der maximale Schaden bei uns 25 Euro. Auch nicht ein sonderlich großer Betrag."
Über jeden kontaktlosen Zahlvorgang werde der Kunde zudem per SMS oder E-Mail informiert. Die Banken übernehmen auch die Haftung, wenn ein Kunde nur behauptet, er wäre Opfer eines Missbrauchs geworden. Experten kritisieren zudem, dass auch Daten aus funkenden Kreditkarten gelesen werden könnten. VISA erklärt hierzu schriftlich:
"Ein Einsatz von abgegriffenen Kreditkarten-Daten ist nur bei Onlinehändlern möglich, die nicht die von Visa vorgesehenen Sicherheitsmechanismen für Onlinetransaktionen verwenden: Abfrage der dreistelligen Kartenprüfnummer und/oder des Verified by Visa Passwortes."
Auch hier bekommt der Kunde, dessen Kreditkartendaten per Funktechnik gestohlen wurden, das Geld zurück. Daniel Köhler möchte gar nicht erst in diese Situation kommen.
"Benutze ich auch nicht, möchte ich nicht haben und ich habe mich dann dazu entschieden, dass ich die Karte nur benutze, um ab und zu Bargeld zu holen und ansonsten lasse ich die Karte zu Hause in der Schublade liegen und bezahle dann auch nicht mehr mit Karte."
Der IT-Experte zahlt seine Einkäufe im Supermarkt jetzt lieber in bar. Bislang sind aber noch keine Missbrauchsfälle bekannt geworden, sagt Verbraucherschützer Markus Feck - mit einer Einschränkung.
"Je größer die Verbreitung dieser Karten ist, desto wahrscheinlicher ist dann auch, dass die Kriminellen ihr Interesse darauf lenken, sodass wir aktuell warten müssen."
"Und zu meiner Überraschung hat sich herausgestellt, dass das ein anderes System ist, das auf meiner Karte funktioniert. Und das ist mir ein bisschen sauer aufgestoßen."
Der Düsseldorfer ist IT-Sicherheitsexperte. Er hält die neuen Funk-Karten für unsicher. Es sei möglich, mit diesen Karten die eigene Rechnung unbemerkt anderen aufzudrücken. Der Betrüger halte dabei sein Portemonnaie, in dem ein Sender versteckt ist, an das Kassenterminal. Damit schickt er das Funksignal zu einem Sender in der anderen Hand, die er hinter sich hält. Von dort wird das Signal weitergefunkt. So wird es von der kontaktlosen Bezahlkarte gelesen, die der Kunde hinter ihm in der Tasche hat.
"Damit stelle ich auf Funkbasis eine Verbindung zwischen den beiden Geräten her. Das heißt, nicht ich bezahle gerade den Einkauf, sondern die Person hinter mir mit seiner Funkkarte bezahlt den Einkauf."
Die Kunden müssen die neuen funkenden EC-Karten akzeptieren, werden aber noch nicht ausreichend informiert, moniert Markus Feck von der Verbraucherzentrale Nordrhein-Westfalen.
"Es ist tatsächlich so, dass diese Karten herausgegeben werden, oftmals sogar so, dass die Kunden gar nicht wissen, dass sie ein funkendes Schätzchen in der Tasche haben. Es wird nur gesagt, dass das die Bezahlform der Zukunft ist, dass alles viel schneller geht. Aber über mögliche Risiken wird gar nicht gesprochen."
Die ausgebenden Banken begrenzen allerdings den Betrag, der ohne PIN-Eingabe im Vorbeigehen mit der Funk-Karte bezahlt werden kann. Bei Sparkassen auf 20 Euro. Bei allen anderen Banken, die die Technik von Mastercard oder VISA benutzen, auf 25 Euro. Adib Sisani, Pressesprecher der Targo-Bank hält die Betrugsszenarien für unrealistisch.
"Wir sagen unseren Kunden, wir verstehen, dass der ein oder andere vielleicht ein bisschen Bauchschmerzen damit hat, aber man muss sich keine Sorgen machen. Falls doch einmal etwas passiert, wäre das dann Missbrauch und dann würde der Kunde nicht haften. Darüber hinaus ist der maximale Schaden bei uns 25 Euro. Auch nicht ein sonderlich großer Betrag."
Über jeden kontaktlosen Zahlvorgang werde der Kunde zudem per SMS oder E-Mail informiert. Die Banken übernehmen auch die Haftung, wenn ein Kunde nur behauptet, er wäre Opfer eines Missbrauchs geworden. Experten kritisieren zudem, dass auch Daten aus funkenden Kreditkarten gelesen werden könnten. VISA erklärt hierzu schriftlich:
"Ein Einsatz von abgegriffenen Kreditkarten-Daten ist nur bei Onlinehändlern möglich, die nicht die von Visa vorgesehenen Sicherheitsmechanismen für Onlinetransaktionen verwenden: Abfrage der dreistelligen Kartenprüfnummer und/oder des Verified by Visa Passwortes."
Auch hier bekommt der Kunde, dessen Kreditkartendaten per Funktechnik gestohlen wurden, das Geld zurück. Daniel Köhler möchte gar nicht erst in diese Situation kommen.
"Benutze ich auch nicht, möchte ich nicht haben und ich habe mich dann dazu entschieden, dass ich die Karte nur benutze, um ab und zu Bargeld zu holen und ansonsten lasse ich die Karte zu Hause in der Schublade liegen und bezahle dann auch nicht mehr mit Karte."
Der IT-Experte zahlt seine Einkäufe im Supermarkt jetzt lieber in bar. Bislang sind aber noch keine Missbrauchsfälle bekannt geworden, sagt Verbraucherschützer Markus Feck - mit einer Einschränkung.
"Je größer die Verbreitung dieser Karten ist, desto wahrscheinlicher ist dann auch, dass die Kriminellen ihr Interesse darauf lenken, sodass wir aktuell warten müssen."